O que aprendemos na estruturação da área de Governança em Segurança da Informação e Privacidade, como dar os primeiros passos

Estruturar um time de Governança em Segurança da Informação e Privacidade não é uma tarefa fácil, por mais que nos dias de hoje o nível de acesso a informação, cursos e o desenvolvimento de processos e métodos na área seja de grande volume e qualidade, fazer com que esse métodos sejam “aplicáveis” na prática é um grande desafio mesmo para profissionais experientes, pois cada empresa, segmento ou produto possui um viés único.

Por esse motivo essas escolhas e esse iniciar devem estar embasados em diretrizes, suportes legais, conhecimento técnico e principalmente no estudo das características e necessidades únicas de cada contexto.

O objetivo deste artigo é falar um pouco sobre as vivências e experiências adquiridas durante o ano 1 da estruturação de uma área de Governança em Segurança da Informação e Privacidade durante a criação das áreas em uma empresa do segmento de Tecnologia e Marketing Digital.

Entender o foco da área

De forma geral a área de Governança em Segurança da Informação e Privacidade é uma vertente da área de Governança Corporativa, que tem por objetivo levar os padrões de compliance e adequação de normas, processos e procedimentos para a área específica, adicionando os fatores especialistas, neste caso, os relacionados a segurança da informação e privacidade.

A governança de segurança da informação envolve a definição de estruturas e processos que permitem a identificação e gestão de riscos de segurança, a implementação de controles de segurança apropriados, a resposta a incidentes de segurança e a conformidade com regulamentações e padrões aplicáveis. Isso inclui a definição de políticas de segurança, a realização de avaliações de risco, a implementação de controles técnicos e organizacionais, a realização de treinamentos e conscientização, e a realização de auditorias e monitoramento contínuo.

A governança de privacidade, por sua vez, está relacionada à proteção dos dados pessoais e ao cumprimento das leis e regulamentações de privacidade, como a Lei Geral de Proteção de Dados (LGPD) do Brasil. Ela envolve a definição de políticas e processos para o tratamento adequado dos dados pessoais, a obtenção de consentimento adequado, a implementação de medidas de segurança apropriadas para proteção dos dados e a resposta a solicitações e incidentes relacionados à privacidade.

A área de governança de segurança da informação e privacidade é essencial para garantir a confidencialidade, integridade e disponibilidade das informações em uma organização, bem como para estabelecer a confiança dos clientes e parceiros comerciais em relação ao tratamento de seus dados.

Muitas empresas desenvolvem essas áreas de forma individualizada, pelo tamanho do universo de atuação de cada uma delas, mas a convergência em apenas uma área também possui pontos positivos, principalmente em uma fase inicial, pois permite centrar objetivos, traçar uma operação otimizada e alinhar perspectivas que vão se tornar o cerne das áreas, dando maior potencial de crescimento partindo dos mesmos princípios e criando uma cultura de conexão e alinhamento.

Dando os primeiros passos na estruturação

Um dos primeiros pontos na estruturação é entender o modelo de negócio, perspectivas da evolução da empresa, analisar a potencial estrutura e expansão dos times de Segurança da Informação e Privacidade, para então, criar uma visão realista sobre as necessidades e a ordem de prioridade dentro de cada uma delas.

A maior parte das empresas não parte de um investimento massivo para desenvolvimento destas áreas, o habitual é um crescimento progressivo, tanto de time (número de pessoas), quanto de outros recursos como a contratação de ferramentas e a implementação de processos. Por esse motivo é importante entender junto à alta gestão a expectativa de evolução e crescimento destas áreas.

Outro ponto a se considerar é que, não é porque as melhores práticas indicam uma determinada ação, que ela será prioritária no seu contexto, cada empresa exige, pelo seu core business, um nível de maturidade em segurança da informação e/ou privacidade diferentes, uma healthtech ou fintech, terá exigências diferentes de maturidade de empresas de outros segmentos, que trabalham com outras informações, com tanto, é claro, que alguns critérios básicos, como atendimento de leis, sejam cumpridos.

Então, defina sua estratégia, comece estabelecendo os objetivos e metas da área de governança de segurança da informação e privacidade, alinhados aos objetivos estratégicos da organização. Para isso, o “não reinventar a roda” acelera o processo e reduz potenciais atritos. Olhe o planejamento da empresa, processos que já são executados e veja como o planejamento da área pode se encaixar, isso ajuda a ganhar permeabilidade e articulação para o estágio pós-estruturação.

A partir desses pontos é possível criar um belo diagnóstico de área!

Estudando modelos e métodos

Hoje em dia no mercado temos diversos modelos, métodos, processos e frameworks em segurança da informação e privacidade, um passo importante é estudar os que já são utilizados pela empresa ou ainda, caso não haja um método definido, escolher um que melhor se adeque às necessidades. Nesse ponto é importante considerar que não precisa ser aplicado o famoso “by the book”, os métodos podem ser parcialmente implementados e evoluídos de forma incremental, método bom é o método que funciona para sua finalidade!

O método (nesse contexto considerem a forma ampla, podendo ser frameworks, processos, modelos, etc.) não define a área, ou limita sua expansão, mas ele serve como um guia operacional que permite uma comparação da evolução da empresa com o mercado, com as melhores práticas e cria bases para uma posterior evolução da adequação e certificação de normas. Iniciar a estruturação das áreas e já implementar normativas, pode ser um desafio inicial grande, dependendo da maturidade de segurança da informação e privacidade da empresa, é claro que o que tiver sinergia será aproveitado e já implementado, mas o principal é a empresa estar segura!

Para empresas com um baixo nível de maturidade, muitas vezes é necessário criar uma base para depois trabalhar adequações mais complexas. Ainda assim, normas em geral são genéricas, justamente para se adequarem de forma ampla, os métodos acabam sendo mais direcionadores operacionais, ainda mais porque você pode escolher um que se adeque melhor à necessidade da sua empresa.

Depois da escolha do método, a partir da primeira análise de maturidade, que é basicamente a realização de um check list do modelo, onde são avaliados os pontos que a empresa “possui” e “não possui” ou ainda os níveis de adequação de cada item, é gerada uma nota que localiza a empresa no ponto de maturidade. A partir dos “não possui” marcados na planilha, associado aos itens de diagnóstico de área que discutimos anteriormente, você já tem belos ingredientes para um plano de ação.

Instrumentalizar é o guia

Na maior parte dos métodos, os primeiros passos de desenvolvimento da maturidade estão relacionados à criação de documentações, além de ser um passo importante também para governança corporativa e até mesmo para produtividade da empresa e organização do trabalho.

Portanto, elabore políticas e procedimentos de segurança da informação e privacidade que sejam adequados às necessidades e regulamentações da organização. Isso inclui políticas de acesso, autenticação, proteção de dados, gerenciamento de incidentes, privacidade e conformidade e documente ou crie procedimentos que já são executados.

A partir desse passo você já possui instrumentos que servirão de guia para orientar ações, indicar melhores práticas e apoiar nas execuções do dia a dia. Por mais que nesse estágio inicial, muitas vezes não seja possível garantir o cumprimento dos requisitos documentados, você terá um material básico para iniciar. Muitas vezes essas criações são mais autônomas, podem ser criadas pelo próprio time de governança, mas é claro que as demais áreas da empresa e que executarão as políticas e documentos, precisam ser envolvidas e consultadas, afinal, tem que ser exequível por elas e ao fazerem parte da criação cria-se um laço de corresponsabilidade.

Embora todas essas ações citadas sejam primordiais, o “golden step” da instrumentalização é fazer com que as pessoas criem consciência dessa responsabilidade, entramos assim na esfera que alimenta qualquer processo de mudança, a educação: pense desde o dia 0 na criação de materiais que se comuniquem com a empresa e abordem os tópicos de segurança da informação e privacidade, desde de o processo de compreensão das expectativas com a alta gestão, eduque antes de falar com eles, ensine o que é a área e qual sua importância. Aplique também nas ações de implementação com seu time, com outros times e em todo restante da vida da área. Pense materiais, crie vídeos, mesmo que caseiros para cada processo ou política que será implementada, pense em contratar ferramentas que já tenham cursos prontos sobre questões básicas ou indique materiais disponíveis online — de boa procedência é claro.

Por fim, estabeleça parcerias, a área não vive só: Colabore com outras áreas da organização, como administração, produto e engenharia, jurídico e recursos humanos, para garantir uma abordagem integrada à governança de segurança da informação e privacidade e serem aliados nos processos de implementação.

O segredo é a mão na massa!

Não é só de criar documentações e educar que a área vive! Começar a implementação nas áreas não é fácil, mas precisa ser iniciado por algum lugar, nesse momento, priorizar é fundamental!

Para priorização um ponto importante é não considerar apenas a análise técnica da área, ou o passo a passo que as boas práticas trazem, por mais que aparentem ser uma receita de sucesso com uma priorização ideal, não se esqueça, não serão elas que irão executar o planejamento e para executar precisamos considerar o que falamos no tópico de primeiros passos da estruturação, cada contexto é um contexto.

Veja seus recursos! Movimente primeiro o que tem um baixo custo de implementação e maior autonomia de decisão e execução. Depois desse primeiro passo você consegue mostrar o primeiro valor e então passa a conquistar mais recursos, sejam eles financeiros com a gestão, ou ainda, engajar pessoas a impulsionarem os próximos passos.

Alguns pontos podem servir de direcionadores quando falamos do apoio estrutural à área de segurança da informação e privacidade como um todo:

Participe da implementação de controles de segurança: Estabeleça junto ao time técnico os controles técnicos e organizacionais para proteger as informações e os dados. Isso pode incluir a implementação de firewalls, sistemas de detecção de intrusões, criptografia, implementar sistema de análise de vulnerabilidade periódica e a realização de pentestes externos. Para algumas empresas a contratação de serviços terceirizados para alguns desses pontos acaba se tornando uma estratégia interessante e o time de governança deve estar próximo também desses terceiros.

Realizar avaliações de risco: Mesmo não tendo uma área de riscos na empresa, você pode implementar uma análise de riscos de forma mais orgânica e passiva, criando um canal de comunicação com as demais áreas da empresa a fim de receber o relato de potenciais riscos. Ou ainda realizar avaliações periódicas de risco em áreas chaves para identificar vulnerabilidades e ameaças aos sistemas de informação e dados pessoais. Isso permitirá o desenvolvimento de medidas de segurança apropriadas e a priorização dos investimentos em segurança e privacidade.

Monitorar e auditar: Realize monitoramento contínuo dos controles de segurança e privacidade para garantir sua eficácia, avaliando periodicamente o nível de maturidade e certifique que nos planejamentos de segurança da informação e privacidade, está sendo colocada a intencionalidade de evolução de maturidade nos pontos críticos priorizados. Além disso, pense na coleta de indicadores, sejam eles operacionais (KPIs) que vão apontar o equilíbrio das ações ou ainda crie indicadores baseados em objetivos a serem atingidos (OKRs). Caso não seja possível realizar auditorias internas, tente contratar uma vez ao ano ou em algum momento decisivo, auditorias externas para verificar a conformidade com as políticas e padrões estabelecidos e como os passos estão sendo dados.

Finalizou? Agora é começar tudo de novo em uma nova perspectiva!

Você passa a perceber que essa fase de estruturação chegou ao fim, quando tudo que foi criado não cabe mais no modelo e você precisa expandir, o time ganhou maturidade, a alta gestão entendeu a entrega de valor, os clientes e o mercado querem mais da empresa, novos serviços e atendimentos são direcionados ao time e o foco de atuação é ampliado.

Você entende que o método selecionado já está muito genérico e você precisa praticamente de um modelo para cara frente de atuação da área. A base estrutural já está bem consolidada, com processos que “rodam sozinhos” com indicadores marcados e os times que antes “fugiam” da sua área, passam a procurá-los. Isso marca o início de uma nova e desafiadora etapa, a de crescer!

Mas é claro que tudo isso só vai acontecer se a área estiver o tempo todo em movimento, em contato com as demais áreas e a gestão, acompanhando as mudanças nas regulamentações de segurança da informação e privacidade e mantendo-se atualizada sobre as melhores práticas e tendências do setor. Isso permitirá que esses ajustes contínuos na área de governança aconteçam de forma orgânica.

Espero que esse artigo tenha colaborado no compartilhamento de experiências e que em breve possamos falar também sobre esse crescimento nas diferentes perspectivas de evolução da área!