Qual a diferença entre avaliações de gestão de segurança da informação, auditoria, compliance, clima organizacional e controle interno?
Confesso que muitas vezes tive dificuldade de separar e entender a diferença entre as diversas avaliações.
Confesso que muitas vezes tive dificuldade de separar e entender a diferença entre as diversas avaliações que existem no mundo corporativo em relação à controles sobre o recurso informação. Como consultor, entendo que uma das missões é facilitar o entendimento de conceitos para todas as pessoas, principalmente aqueles que não são e nem precisam ser especialistas nos temas relacionados à proteção da informação.
Defino a seguir, o que são e o objetivo principal, das avaliações realizadas pela gestão de segurança da informação, auditoria, conformidade (compliance), clima organizacional e controle interno. Estas definições não possuem o rigor científico e acadêmico, que se eu fosse seguir, teríamos mais de cinco páginas de justificativas. Mas, elas têm o rigor de facilitar o entendimento para todos nós que trabalhamos e utilizamos controles de informação.
Gestão de Segurança da Informação
Analisa a maturidade da gestão dos controles e macro controles de segurança da informação, tomando como base a arquitetura de segurança da informação.
Objetivo principal: garantir que a informação está protegida e possibilita que os objetivos organizacionais sejam atingidos.
Auditoria no ambiente da informação
Seleciona um seguimento de informação (sistema) ou seleciona um grupo de atividades/processos e avalia se os controles referentes a este escopo estão sendo executados.
Objetivo principal: garantir que as atividades são realizadas da maneira que deveriam ser realizadas.
Conformidade (Compliance)
Examina se a organização considera e cumpre a legislação nacional/internacional, os normativos de agencias reguladoras do governo, os padrões exigidos pelo mercado, as exigências contratuais e outros controles legais que a organização está subordinada.
Objetivo principal: garantir que a organização cumpre a legislação e obrigações contratuais ou similar.
Clima organizacional
Analisa se o relacionamento entre as pessoas na organização acontece em um nível de confiança e camaradagem de maneira a facilitar a execução dos controles que a organização necessita cumprir para alcançar os objetivos corporativos.
Objetivo principal: melhorar o desempenho do trabalho humano, considerando as relações entra as pessoas da organização.
Controle Interno
Avalia se as atividades realizadas nas áreas organizacionais, consideram atividades ou processos de controles que possibilitam mais facilmente a identificação de desvios quando da execução de tarefas ou da não realização de tarefas.
Objetivo principal: eficiência operacional.
Existem outros tipos de avaliações de controles de informação. mas, entendo que estas citadas á cima, são as que mais acontecem nas nossas vidas profissionais.
