Destaques Empresariais

Sistema de Gestão da Segurança da Informação SGSI, Por Que e Para Quê?

Posted on: 02/09/2015

Toni Hebert*

A gestão da Tecnologia da Informação tornou-se um dos pilares para alavancar e promover a eficiência das operações do negócio. Com o objetivo de buscar um posicionamento de destaque, os stakeholders exigem controles que garantam a segurança da informação, mitigando os riscos, reduzindo a exposição dos processos das organizações e atendimento das exigências dos órgãos públicos.

A inovação tecnológica tem provocado a busca de controles pelas pessoas e empresas para a gestão da tecnologia da informação. Por um lado, ela promove praticidade, agilidade e diversidade de recursos para tratamento e transferência de dados. Mas por outro, facilita o acesso de pessoas mal intencionadas e organizações criminosas interessadas em obter vantagens financeiras ou de imagem, caso o ambiente não seja devidamente monitorado.s

É evidente que todas as ações de uma organização têm como objetivo atingir resultados positivos, sejam estes financeiros ou de imagem. Mas, apesar de a cultura das empresas brasileiras viver um processo de mudança, poucas mantêm uma boa política de segurança da informação. O Return on Investment (ROI) nem sempre é fácil de ser demonstrado com gestão de segurança da informação.

Um exemplo prático é o seguro de veículo, o qual muitos clientes possuem por anos sem nunca utilizar os serviços da seguradora, mas decidem mantê-lo justamente no intuito de reduzir a exposição de prejuízos caso ocorra um incidente ou sinistro.

A conscientização do adequado sistema de gestão da segurança da informação, aliada estrategicamente à correta definição dos processos de negócio, devem ser considerados temas importantíssimos no planejamento empresarial, principalmente entre a alta administração. A mudança cultural precisa ser disseminada e exercida por todos, a fim de garantir, inclusive, que a informação seja tratada e classificada, levando-se em conta treinamentos periódicos para fixação das diretrizes estabelecidas.

A gestão da segurança da informação não visa simplesmente investir em recursos, aplicativos e ferramentas tecnológicas como firewall, antivírus e etc. É essencial que se atue em sua organização para prevenir situações de vazamento de informação, sejam por erros nos processos de tratamento e transferência de dados ou oriundos da atuação de pessoas mal intencionadas.

De acordo com o novo Código Civil, é responsabilidade dos gestores a preservação dos ativos da organização. Estes devem agir de forma preventiva perante as vulnerabilidades, inclusive em sistemas eletrônicos, bem como responsabilizar os indivíduos por fraudes ou vazamento de informação. Casos recentes tramitam na Justiça do Trabalho por motivos de dispensa por justa causa de funcionários que se ausentavam do computador logado no sistema, com perdas em primeira e em segunda instância da causa pela empresa reclamada.

No acórdão, o entendimento dos magistrados foi baseado nos procedimentos adotados pela própria empresa, quando foi averiguado que tais práticas eram rotineiras na organização e o sistema não provia mecanismos de controle. Segundo os juízes, a empresa deveria ter tomado medidas administrativas acauteladoras (políticas internas e treinamentos de conscientização), bem como efetuar a correção do sistema.

Atualmente existem diversos processos judiciais relacionados diretamente ou indiretamente à segurança da informação nos tribunais. É extremamente importante que as empresas mantenham o domínio na criação, processamento e saída da informação.

A gestão da segurança da informação surge e atua desde que a informação passa a existir dentro de uma organização e ela deve estar alinhada ao planejamento estratégico da empresa. Ajustes e/ou atualizações devem ocorrer a cada novo negócio, mudanças tecnológicas ou sempre que os gestores envolvidos julgarem necessário.

*Toni Hebert é auditor líder em ISO/IEC 27001 e gerente da área de Consultoria de TI da BDO, uma das Big 5 do setor de auditoria e consultoria no Brasil

Uma coletânea de aspectos relevantes de controle empresarial. Além de uma linguagem acessível, é uma obra atualizável. Contém abordagens sobre controles internos imprescindíveis a qualquer empresa. Anos de prática de controladoria reunidas em um só lugar! Clique aqui para mais informações. Controladoria Empresarial

Mais informações

Pague em até 6x sem juros no cartão de crédito!

ComprarClique para baixar uma amostra!

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: