O uso de boas práticas e frameworks de controle tem ganhado cada vez mais espaço no ambiente corporativo, principalmente na Tecnologia da Informação. As organizações tem se empenhado em implantar processos, sistemas de monitoramento de desempenho e resultados, exigindo certificações específicas de seus colaboradores, como ITIL e COBIT. Em alguns casos podemos realmente entender que se chegou a Governança de TI, talvez não tão duradoura ou oferecendo o retorno esperado.
Quando abordamos o tema Governança dentro de uma organização, é muito importante ressaltar as cinco áreas que são o foco de todo este trabalho:
-
Alinhamento com o Negócio;
-
Entrega de Valor;
-
Gestão de Riscos;
-
Gestão de Recursos;
-
Monitorar o Desempenho.
Dentro do próprio COBIT, podemos entender mais sobre a Governança de TI e como estas cinco áreas se relacionam com os processos apresentados pelo framework.
Mas como abordamos a Governança da Segurança da Informação, se não existe um framework especialmente desenvolvido para este fim? E como podemos relacionar todas estas metodologias, boas práticas e normas existentes no mercado a fim de realizarmos um projeto efetivo de Governança da Segurança da Informação?
Vamos propor neste texto uma estrutura para abordar a Governança da Segurança da Informação. A característica mais importante é que utilizaremos todo o conhecimento existente em outras áreas, que já são utilizados com sucesso, para organizar a Governança em todas as cinco áreas foco. Será possível identificar uma forte influência do COBIT nesta estrutura.
O primeiro passo é definir como serão abordadas as cinco áreas foco da Governança, respondendo as seguintes questões:
-
Alinhamento com o Negócio: as ações de Segurança da Informação estão alinhadas com os requisitos de negócio da organização? Estamos protegendo os ativos de segurança certos?
-
Entrega de Valor: O investimento em Segurança da Informação está tomando como base qual critério? Nossas ações estão realmente contribuindo para agregar valor ao negócio? As ações de segurança estão atingindo seus objetivos com clareza, eficiência e eficácia?
-
Gestão de Riscos: Estamos analisando criteriosamente os riscos de Segurança da Informação, baseado em quais requisitos? Nossa matriz de riscos está sendo adequadamente criada, avaliada e criticada?
-
Gestão de Recursos: Como estamos utilizando os recursos na hora de fazer a Segurança da Informação da organização? Estamos colocando as pessoas certas, com as ferramentas certas nos processos certos?
-
Monitorar o Desempenho: Quais os indicadores de Segurança da Informação que estamos utilizando? Eles refletem os requisitos de negócio? O monitoramento da Segurança da Informação está apontando para alguma direção específica?
O segundo passo é estabelecer os Objetivos de Controle da Governança de Segurança da Informação. Neste momento não existe referência melhor de Controles do que a norma ISO/IEC 27002:2005. Esta norma estabelece 39 objetivos de controle, compostos por 133 controles específicos, distribuídos em 11 seções específicas.
Uma estrutura resumida destes objetivos de controles e controles pode ser vista abaixo. O importante neste momento é ter conhecimento da norma.
As caixas A5, A6 e assim por diante fazem referência a seção da norma. As caixas A5.1, A.5.2, A.6.1 fazem referência aos objetivos de controle de cada seção e por fim as caixas A.5.1.1, A.5.1.2, A.6.1.8 fazem referência as controles.
O terceiro passo é definir como se avalia a maturidade de cada um destes objetivos de controles. Neste caso voltamos a referenciar a estrutura do COBIT. O modelo de maturidade do COBIT é baseado no modelo CMMi, e utilizaremos o mesmo modelo para Segurança da Informação, customizando as perguntas genéricas propostas pelo CMMi para as áreas específicas de Segurança da Informação. Para cada objetivo de controle deve haver uma avaliação de Maturidade.
O quarto e último passo é definir os indicadores de Desempenho e Resultado dos Objetivos de Controle. Esta parte da estrutura, que anteriormente poderia parecer confusa, se tornou extremamente simples, pois basta analisarmos os objetivos de controles e seus controles para formularmos os indicadores que nos fornecerão as informações necessárias.