No cenário digital em constante evolução, garantir a segurança dos ativos de uma organização nunca foi tão crucial. Mas por onde começar? Os alicerces da segurança da informação repousam sobre conceitos fundamentais, que evoluíram da clássica Tríade CIA (Confidencialidade, Integridade e Disponibilidade) para um modelo mais abrangente. Vamos explorar esses pilares e sua importância para a governança de segurança.
A Essencial Tríade CIA
A Tríade CIA é um modelo fundamental que ajuda as organizações a projetar, estruturar e implementar a função de segurança. Seus elementos são:
- Confidencialidade: Protege e previne a divulgação não autorizada. Utiliza princípios como a necessidade de saber e o menor privilégio.
- Integridade: Protege e agrega valor aos ativos, tornando-os mais precisos, oportunos e atuais.
- Disponibilidade: Garante que os ativos organizacionais estejam acessíveis quando necessário pelas partes interessadas. A proteção de ativos críticos baseada em seu valor é fundamental para a disponibilidade.
Embora esses três pilares sejam frequentemente referidos como os objetivos da segurança da informação, uma visão mais moderna considera que esses objetivos devem ser aplicados a todas as formas de valor para a organização, e não apenas à informação. Assim, falar em "objetivos da segurança de ativos" seria mais preciso.
Além da Tríade: Autenticidade e Não Repúdio
Os pilares tradicionais da segurança foram expandidos para incluir autenticidade e não repúdio, eu costumo lembrar como CIA + 2.
- Autenticidade: Prova a fonte e a origem de ativos valiosos importantes. Demonstra que os ativos são legítimos, confiáveis e verificados.
- Não Repúdio: Fornece a garantia de que alguém não pode negar ter feito algo. Garante que a validade de algo não possa ser disputada.
A Importância da Governança de Segurança Alinhada à Estratégia de Negócios
A segurança não pode operar isoladamente. A governança de segurança deve estar intrinsecamente ligada à governança corporativa, alinhando seus objetivos com a estratégia, metas, missão e objetivos gerais da organização. O objetivo principal da governança é aumentar o valor organizacional.
A governança pode ser definida como o ato de governar ou supervisionar o processo de direcionamento de algo para que a organização alcance seus objetivos. No contexto da segurança, isso inclui todas as atividades, iniciativas e programas que a função de segurança impulsiona e apoia, sempre alinhadas com as atividades de governança corporativa. Esse alinhamento só pode ser garantido em uma estrutura de cima para baixo. Aqueles responsáveis pela governança corporativa precisam direcionar o que a segurança precisa fazer.
A segurança deve ser uma habilitadora proativa, e não apenas uma função reativa focada em processos de informação ou correção de problemas técnicos. Para que isso ocorra, o apoio da alta gerência (Conselho de Diretores, CEO e gestão sênior) é fundamental. Eles devem adotar, promover e comunicar consistentemente uma cultura de segurança. Se não houver esse apoio, a segurança se torna um incômodo reativo.
Alinhamento Estratégico Através de Escopo e Tailoring
Para garantir que os controles de segurança estejam adequadamente alinhados aos objetivos organizacionais, são utilizadas as práticas de escopo (scoping) e adaptação (tailoring).
- O escopo determina quais elementos de controle de segurança estão dentro ou fora do contexto dos objetivos organizacionais, considerando, por exemplo, leis e regulamentações aplicáveis.
- A adaptação refina e aprimora os elementos de controle que estão dentro do escopo, tornando-os mais eficazes e alinhados com os objetivos de cada área funcional, buscando um equilíbrio entre custo-benefício e valor agregado.
Responsabilidade (Responsibility) vs. Accountabilidade (Accountability): Entendendo a Diferença
No contexto da governança de segurança, é vital distinguir responsabilidade de accountabilidade.
- Accountabilidade significa ter que prestar contas e não pode ser delegada. A responsabilidade final recai sempre sobre uma única pessoa, grupo ou entidade. Em caso de impacto negativo no valor da organização, o CEO é, em última instância, o accountable. Embora em grandes empresas a gestão sênior seja accountable pelos ativos que gerencia, o Conselho e o CEO são os últimos accountables por todos os ativos. A função de segurança é accountable pelas atividades de governança de segurança impulsionadas pela alta administração. A accountability implica em propriedade e responsabilidade final.
- Responsabilidade pode ser delegada a várias pessoas que executam tarefas ou processos. Delegar responsabilidades é uma forma eficaz de atingir os objetivos organizacionais. A responsabilidade se refere a estar encarregado de uma tarefa ou processo.
Mesmo que terceiros gerenciem certas funções (como provedores de serviços em nuvem), a accountabilidade pelos ativos gerenciados permanece com o proprietário desses ativos. Por exemplo, o proprietário dos dados armazenados na nuvem é sempre accountable por esses dados, mesmo que o provedor de serviços tenha responsabilidade contratual por sua proteção.
Conclusão das minhas notas de estudo
Compreender os pilares da segurança – Confidencialidade, Integridade, Disponibilidade, Autenticidade e Não Repúdio – e como eles se integram à governança corporativa é essencial para construir uma postura de segurança robusta e eficaz. O alinhamento da governança de segurança com os objetivos de negócios, liderado pela alta administração, juntamente com a clara distinção entre responsabilidade e accountabilidade, permite que as organizações protejam seus ativos de forma proativa, agregando valor e garantindo sua sustentabilidade a longo prazo.
Referência: Destination CISSP: A Concise Guide
Fiquem Seguros!
Matheus Damacena
