A governança da segurança da informação (GSI) é o sistema pelo qual as atividades de segurança da informação de uma determinada organização são dirigidas e controladas. A GSI, a exemplo da governança da tecnologia da informação (GTI), representa um desdobramento da governança organizacional e, embora existam diversos modelos possíveis em geral, a GSI e a GTI possuem certa sobreposição, em função dos seus respectivos objetivos e abrangência.

A governança da segurança da informação consiste em: (1) alinhar os objetivos e estratégias da segurança da informação com os objetivos e estratégias do negócio; (2) entregar valor para as partes interessadas – isso inclui qualquer pessoa ou organização que possa afetar, ser afetada ou perceber-se afetada por uma atividade da organização; e (3) garantir que os riscos estejam devidamente resolvidos.

Para alcançar essas metas, é fundamental que a organização conheça e coloque em prática princípios que forneçam uma base sólida para a implementação de processos de governança para a segurança da informação. São seis os princípios da governança da segurança da informação:

Estabelecer a segurança da informação em toda a organização

Para integrar a proteção da informação às atividades e aos processos da organização, é fundamental a definição de papéis e responsabilidades para coordenar as ações e engajar as diversas áreas da empresa.

Adotar uma abordagem baseada em riscos

As decisões relacionadas à segurança da informação devem ser tomadas com base nos riscos. A abordagem da gestão de riscos de segurança da informação deve estar integrada ao modelo corporativo de gestão de riscos.   

Estabelecer a direção de decisões de investimento

Identificar o investimento adequado é tema de pesquisa em aberto e uma dor de cabeça para os responsáveis pela condução da estratégia de GSI. Convém estabelecer uma estratégia de investimento em segurança da informação com base nos resultados e objetivos do negócio. A alta administração deve assegurar que a segurança da informação esteja integrada aos atuais processos da organização para gastos com capital e operação.

Assegurar conformidade com os requisitos internos e externos.

A segurança da informação deve atender à legislação e às regulamentações pertinentes. Um programa de segurança consistente, cuja tomada de decisões seja baseada em riscos, é o primeiro passo para que as organizações busquem conformidade com as novas leis e regulamentações sem as incertezas que a Lei Geral de Proteção de Dados Pessoais (LGPD) deve provocar nas organizações que não possuam um programa consistente de segurança.  

Promover um ambiente positivo de segurança

O comportamento humano é um componente fundamental para que possamos manter o nível apropriado de segurança da informação. De forma sucinta e objetiva: é importante que a alta administração viabilize a implementação de programas de educação, treinamento e conscientização em segurança.

Análise de desempenho

A alta administração deve analisar criticamente o desempenho da segurança da informação em relação ao seu impacto no negócio. Não basta apenas avaliar a eficácia e a eficiência dos controles implementados.

Convém que a alta administração garanta que esses princípios sejam aplicados. Para tanto, é imperativo definir e atribuir essa responsabilidade a alguém, como, normalmente, o chief information security officer (CISO), que exerce um papel estratégico de articulação entre as áreas de negócio, segurança da informação e as partes interessadas.   

Os princípios mencionados neste artigo são, em última análise, regras que devem ser observadas no desenho dos processos de governança (avaliação, direção, monitoramento, comunicação e garantia).

As organizações conseguem elevar o nível de maturidade da governança e, consequentemente, da gestão da segurança da informação, à medida que estabelecem estratégias e programas de segurança que estejam alinhados aos objetivos de negócios.