Introdução
A Segurança da Informação (SI) é uma área relativamente nova e que tem amadurecido muito nos últimos anos, o que é facilmente constatado através do desenvolvimento de normas, padrões, modelos e boas práticas voltadas à Gestão da Segurança da Informação.
Entretanto, ainda há uma enorme dificuldade de demonstrar, para algumas organizações, o valor real da Segurança da Informação e o retorno do investimento realizado nessa área. Por exemplo, quantas vezes você propôs a implementação de um sistema de gestão de continuidade de negócio é ouviu como resposta algo como “esse ainda não é o momento” ou “o que isso irá agregar ao nosso negócio”?
Para os diretores de uma organização o número de vulnerabilidades corrigidas em determinada aplicação ou a quantidade de ataques sofridos no último mês não são informações relevantes, já o número de horas paradas dos principais processos de negócio são informações que realmente os interessam. Portanto, precisamos direcionar as ações de gestão de modo que estejam coerentes com os objetivos do negócio.
Essa matéria apresenta uma visão geral sobre Governança da Segurança da Informação. Porém iremos iniciar descrevendo a Governança Corporativa e os seus componentes.
Governança Corporativa
Provê elementos para que uma organização estabeleça seus objetivos, determine os meios necessários para alcançá-los e monitore seu desempenho.
Ao conjunto de procedimentos e processos segundo os quais uma organização é dirigida e controlada denomina-se de Governança Corporativa (GC). A estrutura da governança corporativa especifica a distribuição de direitos e responsabilidades entre os diferentes participantes de uma organização – tais como o conselho, os gestores, os acionistas e outras partes interessadas - e estabelece regras e procedimentos para tomada de decisões.
A Figura 1 ilustra a relação entre a GC e algumas das suas subdivisões (diferentes partes que compõem uma organização). Por exemplo, a Governança de Recursos Humanos