Onde a segurança da informação se encaixa em uma organização?

Frequentemente, ouço discussões controversas sobre se a segurança da informação é parte da TI, ou se ela deveria estar separada dela, parte de algum departamento de conformidade ou de riscos, etc.

Mas, antes de determinarmos quem deveria estar lidando com a segurança da informação e a partir de qual unidade organizacional, vejamos primeiro o ponto de vista conceitual – onde a segurança da informação se encaixa em uma organização?

Geralmente, a segurança da informação e parte da gestão geral de riscos em uma organização, com áreas que se sobrepõem com a segurança cibernética, gestão da continuidade do negócio, e gestão da TI, como mostrado abaixo.

information_security_inside_organization_pt

Figura: Relação entre segurança da informação, gestão de riscos, continuidade de negócio, TI, e segurança cibernética

Segurança cibernética é basicamente um subconjunto da segurança da informação porque ela foca na proteção da informação no formato digital, enquanto a segurança da informação é um conceito ligeiramente maior porque ela protege a informação em qualquer mídia.

A sobre posição com a continuidade de negócio existe porque seu propósito é, entre outras coisas, permitir a disponibilidade da informação, que também é um dos papéis chave da segurança da informação. Veja também este artigo: Como usar a ISO 22301 para implementar a continuidade de negócio na ISO 27001.

Naturalmente, a tecnologia da informação tem um papel extremamente importante na segurança da informação; assim, consequentemente, também existe uma área de sobreposição; a tecnologia da informação não é apenas sobre segurança, então é por isso que boa parte da TI não está relacionada a segurança.

Por que gestão de riscos?

Mas, a coisa mais importante é que a segurança da informação, a segurança cibernética, e a continuidade de negócio têm o mesmo objetivo: reduzir os riscos para as operações do negócio. Você pode não chamar de gestão de riscos no dia a dia do seu trabalho, mas basicamente isto é o que a segurança da informação faz – avalia quais potenciais problemas podem ocorrer, e estão aplica várias salvaguardas ou controles para reduzir estes riscos.

Alguns setores possuem a segurança da informação formalmente reconhecida como parte da gestão de riscos – ex.: no mundo bancário, a segurança da informação frequentemente pertence a gestão dos riscos operacionais. Meu palpite é que no futuro veremos mais e mais profissionais de segurança da informação trabalhando na parte de gestão de riscos de suas organizações, e a segurança da informação tenderá a se fundir com a continuidade de negócio.

Veja também este artigo: Chief Information Security Officer (CISO) – where does he belong in an org chart?

Segurança é mais do que TI

Assim, o ponto é: pensar em segurança da informação apenas em termos de TI é errado – esta é uma forma de estreitar a segurança apenas para assuntos de tecnologia, o que não resolverá a principal fonte de incidentes: o comportamento das pessoas.

Se você quer que sua segurança da informação seja eficaz, você deve permitir a ela acessar tanto as partes de TI quanto a de negócio da organização – e para que isto tenha sucesso, você precisará de ao menos duas coisas: mudar a percepção sobre segurança, e prover uma posição organizacional apropriada para as pessoas lidando com a segurança.

Estre artigo é uma amostra do livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your OwnClique aqui  o que está incluído no livro…

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.