1. Home >
  2. Colunas >

Arquitetura da Governança e Gestão da Segurança da Informação, Cibersegurança e Proteção à Privacidade

A Arquitetura possibilita que a Organização atinja seus objetivos corporativos, naquilo que depende da informação.

Author Photo
12:20 pm - 06 de julho de 2023

Fonte: Autor, Edison Fontes, CISM, CISA, CRISC, Ms. 2023

Arquitetura da Governança e Gestão da Segurança da Informação, Cibersegurança e Proteção à Privacidade é uma estrutura que define como deve ser planejado, desenhado, implementado e mantido o conjunto de controles que possibilita que a Organização atinja seus objetivos corporativos, naquilo que depende da informação.

Esta arquitetura possibilita o alinhamento e a conformidade da Proteção da Informação com a Governança Corporativa, que possui quatro Princípios:

  1. Transparência: Informar e disponibilizar informação corretamente.
  2. Equidade: Tratamento justo, não discriminatório.
  3. Prestação de Contas: Responsabilidade (Accountability).
  4. Continuidade Corporativa: Sustentabilidade da organização.

Mas, como elaborar e cristalizar na prática a Arquitetura de Governança e Gestão da Segurança da Informação, Cibersegurança e Proteção à Privacidade?  Descrevemos abaixo as Dimensões da Arquitetura, que são os elementos mínimos que devem ser considerados, baseadas em normativos ISO e na experiencia em implementação, gestão e sustentação em Proteção da informação. Em conjunto elas formam a Arquitetura da Governança e Gestão da Segurança da Informação, Cibersegurança e Proteção à Privacidade.

 

  1. RESPONSABILIDADES

Definir formalmente as reponsabilidades de cada área e/ou atores envolvidos no ambiente de proteção da informação.

É importante lembrar que muitas vezes as responsabilidades existem, mas, não estão formalizadas e estão mal definidas. A formalização permite que todos estejam cientes, e possibilita avaliar se os controles das Estruturas de Referência foram adequadamente tratados.

Devemos validar ou ajustar, outros documentos que definam papéis e responsabilidades.

 

  1. ESTRUTURA ORGANIZACIONAL E EMPRESAS ENVOLVIDAS

Estabelecer a Estrutura Organizacional de cada organização e verificar se estamos considerando (por exemplo) de um Grupo de Empresas (Corporação). A partir daí devemos definir qual é o escopo de atuação da Proteção da Informação. Este escopo é o limite de atuação da arquitetura.

Esta explicitação da estrutura organizacional e empresas envolvidas facilita o entendimento por todos, quais unidades organizacionais são consideradas e receberão a cobertura de controles de segurança da informação, cibersegurança e proteção à privacidade.

 

  1. POLÍTICAS E NORMAS

Os regulamentos, tipo políticas, norma, procedimentos ou outro tipo de artefato de legislação interna, definem os controles que obrigatoriamente devem ser seguidos, ou em algumas situações, são desejáveis. Eles formam as regras que todas as pessoas que se relacionam com a informação sob responsabilidade da organização devem seguir.

Neste elemento, devemos definir como será a Arquitetura de Regulamentos. Nela definimos se existirão Regulamentos Corporativos, válidos para toadas as organizações do Grupo e se existirão Regulamentos Organizacionais, aqueles que valerão apenas para uma organização específica.

A definição desta arquitetura facilita o entendimento e evita a duplicidade de regulamentos.

Esta dimensão considera a Dimensão Responsabilidades e considera que deve aprovar cada regulamento.

 

  1. AMBIENTES DE TI E OT

A Tecnologia da Informação considera o ambiente dos recursos de informação tradicionais que possibilitam o funcionamento e administração do negócio da organização.

Porém, recentemente com o aparecimento da Internet das Coisas (IoT) e da informatização dos equipamentos industriais, mas não se restringindo à indústria, à exemplo da área da saúde e medicina, a Tecnologia Operacional (OT – Operational Technology) chegou para as organizações. Evidentemente dependendo do tipo de negócio, com mais impacto ou menos impacto. Mas todas as organizações vão tratar ou vão prestar serviços utilizando Internet das Coisas.

Sendo assim, é fundamental ter definido como a organização trata estas duas frentes da informação. Definição de áreas responsáveis por cada uma, modelo de interação e comunicação devem ser documentados e fazer parte da Arquitetura.

É muito importante que este novo tema seja apresentado para o Corpo Diretivo.

 

  1. Prestação de Serviços a Clientes

Muitas organizações prestam serviços para Clientes. Desta forma é importante a definição em ralação ao tratamento de dados pessoais e comuns, o ambiente de tecnologia onde será desenvolvido o serviço, controles de segurança, Plano de Continuidade de Negócio da prestadora de serviços e da empresa Cliente, Plano de Continuidade de Serviços da parte organizacional da prestadora de serviços, controles de segurança exigidos nos contratos, tempo de máximo de indisponibilidade (RTO) e tempo máximo deperda de dados (POR) da prestadora de serviço.

Deve existir ser formalizada uma estrutura de Arquitetura de Prestação de Serviços explicitando de maneira fácil de entendimento os limites de responsabilidade e expectativa do serviço prestado.

 

  1. Parceiros e Fornecedores

Da mesma maneira que a organização recebe exigência dos clientes sobre proteção da informação, ela deve exigir dos seus parceiros e fornecedores de produtos e serviços um padrão adequado de segurança da informação.

É obrigatório uma estrutura de Gestão de Parceiros e Fornecedores, onde a organização vai identificar a criticidade de cada um deles no seu processo de atendimento aos objetivos corporativos. Quanto mais crítico for o parceiro ou fornecedor para a cadeia de valor estratégica e operacional da organização, mais rígidos devem ser os controles de segurança.

Estes controles devem constar nos contratos ou outro tipo de documento que tenha validade jurídica e que fique explicito e sem dúvidas as responsabilidades de cada empresa ou organização.

 

  1. Estruturas de Referência

Estruturas de Referências, são definições de padrões publicadas por entidades de reconhecimento no mercado, que foram elaboradas normalmente por grupos de profissionais e revisadas, e, portanto, tem uma alta qualidade e efetividade. É importante que os trabalhos realizados tenham o direcionamento de uma ou mais Estruturas de Referências.

A utilização de Estruturas de Referências pode ser mesclada. O importante é utilizar da melhor forma para a organização.

Existem muitos documentos que mostram que os controles ou objetivos de controles desta estruturas são bem parecidos. Algumas detalham mais alguns aspectos.

Exemplo de Estruturas de Referências:

ISO – International Organization for Standardization. Muitas Normas Publicadas pela ABNT

NIST – National Institute of Standards and Technology

ISF – Information Security Forum

COSO –  The Comitee of Sponsoring Organizations

COBIT – Control Objectives for Information and Related Technologies

ITIL – Information Technology Infrastructure Library

CIS – Center for Internet Security

PCI-DSS (Payment Card Industry – Data Security Standard).

  

  1. Estruturas Obrigatórias

Estrutura Obrigatórias são controles e regras que a organizações não pode deixar de cumprir.

A legislação é o exemplo mais objetivo de Estruturas Obrigatórias.

No caso de segurança da informação, cibersegurança e proteção à privacidade, considerando o Brasil, recentemente temos legislação como a LGPD – Lei Geral de Proteção de Dados Pessoais, que há alguns anos não tínhamos. E cada vez mais teremos legislação sobre o tratamento de informação, seja dado pessoal, ou dado comum.

Mas existem outros tipos de Estruturas Obrigatórias, por exemplo:

a. Contrato

Em um contrato de prestação de serviços pode existir exigência de controles específicos e isso precisa ser considerado.

b. Normativos de Agencias Reguladoras ou órgãos como o Banco Central para as Instituições Financeiras. Sendo assim se a organização vai contratar ou vai prestar serviços a outra organização de um segmento que possui normativos específicos estes controles precism ser considerados na arquitetura de proteção.

c. Estruturas de Referência que pelo tipo de negócio se transforma em Estrutura Obrigatória. Um exemplo mais fácil para entendimento é o PCI-DSS que é uma estrutura de controles obrigatórios definidas pela indústria de cartões para todos os atores que tratam informação utilizada pelos cartões. Sendo assim, apesar de ser uma Estrutura de Referência, em função de uma exigência de mercado e tipo de negócio, torna-se uma Estrutura Obrigatória.

 

  1. Cibersegurança

Cibersegurança é a utilização da tecnologia para a segurança da informação. Cada vez mais a informação repousa no ambiente de tecnologia. Cada vez mais os recursos de informação são tecnológicos. Sendo assim é importante o destaque como Cibersegurança para a definição de responsabilidades das diversas áreas envolvidas, evidentemente que varia segundo o porte e tipo de negócio: segurança da informação, tecnologia da informação, auditoria de sistemas e similar.

A utilização de soluções mais ou menos automatizadas, aceleram esta proteção, porém precisa estar em conformidade com as demais dimensões da arquitetura. Muitas funções de Cibersegurança são executadas por parceiros ou prestadores de serviços e nestes casos precisamos ter muito bem definido, responsabilidades, performance de execução e respeito as leis atuais e que virão em relação à decisões automatizadas.

 

  1. Governança Corporativa

Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle.

As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade. Fonte: IBGC, Documento Código das Melhores Práticas de Governança Corporativa, 4ª. Edição

A Governança Corporativa possui quatro Princípios:

  1. Transparência: Informar e disponibilizar informação corretamente.
  2. Equidade: Tratamento justo, não discriminatório.
  3. Prestação de Contas: Accountability.
  4. Continuidade Corporativa: Sustentabilidade da organização.

É importante a arquitetura considerar como está a maturidade da Governança Corporativa, que permite e torna coerente a Governança da Segurança da Informação e da Governança da Tecnologia da Informação, por exemplo.

 

CONCLUSÃO

Considerar a Arquitetura da Governança e Gestão da Segurança da Informação, Cibersegurança e Proteção à Privacidade para a organização demonstra conhecimento, profissionalismo, minimização de riscos corporativos, facilidade para a coerência das demais Governanças e aplicabilidade da Gestão dos Controles.

Não considerar esta arquitetura, considero uma negligência organizacional que poderá gerar sérios problemas para o atendimento dos objetivos corporativos.

Solução completa para a segurança da informação, cibersegurança e proteção à privacidade exige uma arquitetura aprovada pelo Corpo Diretivo.

Eu sou Edison Fontes, Cybersecurity Evangelist NTT DATA Europe & Latam e fico disponível para conversarmos sobre este aspecto da proteção da informação.

 

Edison Fontes, CISM, CISA, CRISC, Ms. [email protected]

Cybersecurity Evangelist NTT DATA Europe & Latam – Brasil

 

 

 

Notícias relacionadas

Notícias
Lucila Orsini assume diretoria de TI Brasil da Nutrien
Notícias
Huawei domina mercado chinês enquanto Apple enfrenta queda nas vendas
Notícias
Empresas ainda não estão preparadas para implementar plenamente a IA, segundo pesquisa
Notícias
12 oportunidades de ingressar na área de tecnologia
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.