A governança da segurança da informação (parte 1)

informationUm estudo do Instituto Brasileiro de Planejamento Tributário (IBPT), depois de analisar a segurança das informações prestadas por um universo de 121 mil empresas em todo o país, detectou que 47% dos estabelecimentos pesquisados tem um sistema de segurança inadequado. A pesquisa foi realizada tendo como base mais de 50 milhões de Notas Fiscais Eletrônicas (NF-e), emitidas por estes 121 mil estabelecimentos, como forma de subsidiar o desenvolvimento de sistemas de identificação dos tributos na notas e cupons.

A primeira conclusão do estudo está relacionada à extrema fragilidade com que as empresas guardam e mantêm seus arquivos eletrônicos de notas fiscais: cerca de 47% das empresas analisadas têm baixo grau de segurança das suas informações; 35% têm grau médio de segurança; enquanto somente 18% das empresas possuem elevado nível de segurança. A metodologia utilizada para aferir o grau de segurança da guarda das informações fiscais foi feita a partir das validações de segurança e exposição das Notas Fiscais Eletrônicas. A partir desta análise, foi possível verificar se a empresa tem maior ou menor preocupação com o sigilo das suas informações, já que no arquivo XML da NF-e estão contidas informações sigilosas como nome, endereço, e-mail e telefone dos clientes, discriminação das mercadorias vendidas, valor unitário e condições de pagamento da transação.

Segundo o presidente do Conselho Superior e coordenador de estudos do IBPT, Gilberto Luiz do Amaral, “o resultado assustou os técnicos envolvidos na análise, pois demonstra a fragilidade na segurança das informações motivada, principalmente, pelo complexo sistema tributário brasileiro”. O estudo do IBPT aponta, por exemplo, que boa parte das NFes está arquivada em extensões dos próprios sites das empresas, sem qualquer exigência de login e senha para acesso às informações.

Na verdade, a segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Pode-se entender como informação todo o conteúdo ou dado valioso para um indivíduo/organização, que consiste em qualquer conteúdo com capacidade de armazenamento ou transferência, que serve a determinado propósito e que é de utilidade do ser humano.

Atualmente, a informação digital é um dos principais produtos de nossa era e necessita ser convenientemente protegida. A segurança de determinadas informações podem ser afetadas por vários fatores, como os comportamentais e do usuário, pelo ambiente/infraestrutura em que ela se encontra e por pessoas que têm o objetivo de roubar, destruir ou modificar essas informações. Confidencialidade, disponibilidade e integridade são algumas das características básicas da segurança da informação, e podem ser consideradas até mesmo atributos.

A confidencialidade diz respeito à inacessibilidade da informação, que não pode ser divulgada para um usuário, entidade ou processo não autorizado; a integridade diz que a informação não deve ser alterada ou excluída sem autorização; a e disponibilidade está relacionada com o acesso aos serviços do sistema/máquina para usuários ou entidades autorizadas. Toda a vulnerabilidade de um sistema ou computador pode representar possibilidades de ponto de ataque de terceiros. Esse tipo de segurança não é somente para sistemas computacionais, como imaginamos. Além de também envolver informações eletrônicas e sistemas de armazenamento, esse tipo de segurança também se aplica a vários outros aspectos e formas de proteger, monitorar e cuidar de dados.

Acaba de ser publicada a NBR ISO/IEC 27014 de 06/2013 – Tecnologia da Informação – Técnicas de Segurança – Governança de segurança da informação que fornece orientação sobre conceitos e princípios para a governança de segurança da informação, pela qual as organizações podem avaliar, dirigir, monitorar e comunicar as atividades relacionadas com a segurança da informação dentro da organização. É aplicável a todos os tipos e tamanhos de organizações.

Esta recomendação/norma fornece orientações sobre a governança de segurança da informação. A segurança da informação tornou-se uma questão-chave para as organizações. Não somente os requisitos regulamentares estão aumentando, mas também as falhas nas medidas de segurança da informação de uma organização podem ter um impacto direto na reputação da organização.

Portanto é altamente recomendado que o corpo diretivo, como parte de suas responsabilidades de governança, supervisione, cada vez mais, a segurança da informação para garantir que os objetivos da organização sejam alcançados. Além disso, a governança de segurança da informação provê uma forte ligação entre o corpo diretivo de uma organização, a gerência executiva e os responsáveis pela implementação e operação de um sistema de gestão de segurança da informação. Ela fornece a ordem essencial para direcionar as iniciativas de segurança da informação por toda a organização.

Ademais, uma governança de segurança da informação eficaz garante que o corpo diretivo receba informação relevante – dentro de um contexto de negócios – sobre as atividades relacionadas com a segurança da informação. Isso permite decisões pertinentes e oportunas sobre as questões de segurança da informação em apoio aos objetivos estratégicos da organização. A governança de segurança da informação necessita alinhar os objetivos e estratégias de segurança da informação com os objetivos e estratégias do negócio e requer a conformidade com leis, regulamentos e contratos. Convém que seja avaliada, analisada e implementada por meio de uma abordagemde gestão de riscos, apoiada por um sistema de controles internos.

O corpo diretivo é o maior responsável pelas decisões de uma organização e pelo seu desempenho. Em relação à segurança da informação, o foco principal do corpo diretivo é garantir que a abordagem da organização para a segurança da informação seja eficiente, eficaz, aceitável e alinhada com os objetivos e estratégias de negócios, dando devida consideração às expectativas das partes interessadas. Diversas partes interessadas podem ter diferentes valores e necessidades.

Os objetivos da governança da segurança da informação são para: alinhar os objetivos e estratégia da segurança da informação com os objetivos e estratégia do negócio (alinhamento estratégico); agregar valor para o corpo diretivo e para as partes interessadas (entrega de valor); e garantir que os riscos da informação estão sendo adequadamente endereçados (responsabilidade). Os resultados desejados a partir da implementação efi caz da governança da segurança da informação incluem: visibilidade do corpo diretivo sobre a situação da segurança da informação; uma abordagem ágil para a tomada de decisões sobre os riscos da informação; investimentos eficientes e eficazes em segurança da informação; conformidade com requisitos externos (legais, regulamentares ou contratuais).

Pessoa física ou jurídica? O desafio de separar os interesses e os bens

COLETÂNEAS DE NORMAS TÉCNICAS

Coletânea Série Resíduos Sólidos

Coletânea Digital Target com as Normas Técnicas, Regulamentos, etc, relacionadas à Resíduos Sólidos!
Saiba Mais…

Coletânea Série Segurança Contra Incêndios

Vagner Miranda

Uma regra que consta em todas as listas sobre práticas para o sucesso na gestão dos negócios, diz que é preciso haver uma completa separação do patrimônio que pertence à pessoa física do sócio e o da pessoa jurídica. Mesmo assim, por mais que a regra seja do conhecimento de empreendedores e empresários experientes, é mais comum encontrar confusão patrimonial e também de interesses, do que a separação recomendada.

Responder o porquê isso acontece não é tarefa simples e mesmo que se encontre a resposta certa, não significa que passará a ser praticada com facilidade. É possível que essa regra seja uma das mais difíceis de ser seguida por donos e dirigentes de empresa, mesmo naquelas já consolidadas no mercado. Para confirmar, basta observar que grandes empresas abordam o tema ao construírem seus sistemas de governança corporativa e que nos relatórios de auditoria, recomendações de melhorias das práticas e controles relacionados com o tema são comuns.

Há que se considerar que essa segregação não diz respeito apenas e tão somente aos bens corpóreos da empresa e dos sócios, como dinheiro, carros e dependências, mas considera também a necessidade de separar interesses pessoais dos empresariais. O tema é complexo e discutir com profundidade a ponto de entendê-lo demanda tempo e dedicação, visto que envolve questões que permitem abordagens de profissionais de diversas áreas do conhecimento, passando por administração, economia, direito, psicologia, sociologia, ética, etc.

Principalmente em empresas de sucesso, quem decide passa a ter que lidar com pressões internas e externas, cujo tipo e origem aumentam e dificultam o gerenciamento com eficiência. Pressões com origem em pessoas que ele não gosta de decepcionar por questões de ordem sentimental e emocional ou decorrente das características da própria pessoa, como ego, exibicionismo, demonstração de poder, entre outros, contribuem bastante para dificultar uma atuação mais firme do administrador. Devido a tudo isso, cabe citar alguns pontos para alertar aqueles que estão se iniciando como empreendedores, donos ou gestores de pequenas, médias ou grandes empresas.

Remuneração: o salário do dono que trabalha na empresa deve ser compatível com a capacidade financeira da corporação e o parâmetro deve ser o mesmo que é pago a um profissional que exerce funções semelhantes no mercado.

Bens: a empresa deve ser equipada apenas com bens cuja finalidade seja exclusivamente para o alcance dos seus objetivos. Nada de comprar itens apenas para satisfazer o ego de seus donos. Os bens da empresa devem ser de uso comum dos funcionários e ser úteis para a execução dos trabalhos.

Horário de trabalho: mesmo o dono da empresa deve procurar estabelecer uma rotina de trabalho que atenda aos interesses da empresa. Evite marcar compromissos pessoais em horário comercial e, da mesma forma, procure não trabalhar em horas de lazer.

Transações: os recursos provenientes de empréstimos contraídos e despesas incorridas em nome da empresa devem ser utilizados no desenvolvimento das atividades da mesma. Usar cartões corporativos para sanar despesas pessoais está fora de cogitação.

Contratação: se um profissional contratado for um familiar ou amigo, convém que o critério usado seja apenas a capacidade em realizar eficientemente as tarefas do cargo e resolver problemas. Não cabe uma escolha pautada nas questões de ordem sentimental. Não deixe a empresa se tornar um cabide de empregos.

Compras e vendas: as compras e vendas feitas pela empresa devem ter como parâmetro os preços e práticas do mercado, sem benevolências e que tirem a eficiência da empresa. Nada de ter fornecedores que cobram mais caro sem oferecer um benefício elevado em troca. Também não venda mais barato aos amigos, sacrificando assim a lucratividade e principalmente a sustentabilidade da empresa.

“Caixa dois”: não convém aceitar ofertas do mercado onde o dinheiro da venda realizada deixa de entrar no caixa da empresa, assim como pagar dívidas da empresa com dinheiro da pessoa física. Mantenha as contas da empresa sempre em ordem com a contabilidade.

Em suma, entenda que sua empresa não é um bem único e exclusivo seu, que deve favorecer apenas aos seus interesses. Lembre-se que a empresa é da sociedade, da comunidade onde está inserida e principalmente dos seus funcionários. Todos são interdependentes dela e, tomar atitudes descabidas pode colocar sua própria existência em risco. Mantenha-se na posição de presidente, como um funcionário que recebe salário para tomar as melhores decisões para todos.

Vagner Miranda Rocha é administrador de empresas e sócio da VSW Soluções Empresariais.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Skype: hayrton.prado1