A Governança de TI é um conjunto de controles, práticas e ações específicas da área de tecnologia que tem o objetivo de ser uma estratégia de TI com o negócio; Proporcionar à Governança Corporativa de uma empresa, maior probabilidade de controle e monitorar os resultados, tais como metas e objetivos propostos, e os riscos para viabilizar maior transparência, ética e credibilidade perante o mercado.

Vamos partir do início nos perguntando: o que é governança corporativa ?

De acordo com o IBGC (Instituto Brasileiro de Governança Corporativa), uma Governança Corporativa é o órgão que mais e melhor e as empresas são dirigidas, monitoradas e incentivadas, que reúnem as mais novas empresas do setor, como conselho de administração, diretor de fiscalização e controle. e demais partes interessadas ”.

Parcialmente este principle, podemos definir o que é, configurar e manter uma empresa eficaz, é estruturar uma forma segmentada e hierárquica.

Cada departamento é responsável por sustentar o principal da organização, ou seja, o foco do negócio. Essa estrutura é chamada de Governança Corporativa.

Cada departamento possui seus próprios pilares, que nada mais são do que um conjunto de ferramentas, regras e conceitos replicáveis que garantem o cumprimento dos objetivos de cada setor dentro dessa governança corporativa, atendendo as necessidades específicas de cada área.

COBIT

A Tecnologia da Informação é um dos departamentos dentro da gestão de negócios que compõe a governança corporativa.

Sendo assim ela possui sua própria governança, um dos modelos internacionalmente conhecidos é denominada como COBIT (Control Objectives for Information and related Technology).

Esse modelo é mantido pelo ISACA, um instituto de atuação internacional formado por diversas empresas de TI ao redor do globo e que gere certificações de segurança, auditoria, governança e risco reconhecidas mundialmente.

Quais são os 5 pilares?

Os pilares – como disse anteriormente – é um conjunto de boas práticas, conceitos e diversas ferramentas dentro da governança de T.I.

Essas ferramentas foram desenvolvidas ao longo dos anos por diferentes organizações e hoje, servem como referência para serem aplicadas em cada pilar.

Todas tem o propósito de gerar maior valor agregado em suas entregas, através de estratégias processuais e mensuráveis, contribuindo com o resultado final da gestão do negócio.

Poderíamos discorrer sobre muitas outras, porém neste artigo vamos destacar as mais populares:

  • Gestão de Serviço

Para gerir os serviços de tecnologia dentro dessa estrutura, podemos adotar o ITIL (do inglês Information Technology Infrastructure Library).

Como o próprio nome já diz, é uma biblioteca de processos para infraestrutura, ou seja um conjunto de boas práticas aderente ao COBIT, com o objetivo de contribuir na execução dos controles propostos.

Satisfação do cliente, eficiência operacional, redução nos custos, suporte útil e alinhamento do setor de TI com a área de negócios são alguns dos objetivos desta biblioteca.

  • Gestão de Projeto

Na área de projetos, o PMBOK (Project Management Base of Knowledgement) é um conjunto de disciplinas e ferramentas que formam um referencial completo para a gestão de projetos, adeptos ao COBIT.

O gerenciamento de projeto a partir do PMBOK tornou-se um divisor de águas no mundo de gestão de projetos, e hoje é o conceito mais difundido no universo dos projetos.

  • Nível de Maturidade em Desenvolvimento

O CMMI (Capability Maturity Model Integration) é a ferramenta criada para aprimorar e garantir a qualidade do que é desenvolvido na fábrica de software.

O objetivo com essa proposta é elevar o nível de maturidade no desenvolvimento, reduzir falhas não identificadas em testes e retrabalhos, diminuir riscos gerais, melhorar a produtividade e assertividade da produção e atender requisitos legais do contratante que necessidade de maturidade no desenvolvimento.

  • Gestão de Processos

O Business Process Management (BPM) é um conceito antigo, porém continua a ser extremamente atual, talvez mais do que nunca, pela sua visão holística das organizações e da importância que a tecnologia têm como facilitadora na criação de valor.

É também sequaz ao COBIT e possui uma abordagem disciplinar para identificar, desenhar, executar, documentar, medir, monitorar, controlar e melhorar processos de negócios para alcançar resultados consistentes e alinhados com os objetivos estratégicos da organização.

  • Gestão da Segurança da Informação

Este tem sido um dos pilares mais populares e merecedores de atenção nos últimos anos.

No cenário onde crimes e fraudes tornam-se mais populares diariamente, a Segurança da informação tem ganhado importância e força nas empresas.

No campo da segurança temos a ISO 27001 como norma na segurança da informação e contamos com a certificação PCI-DDS, com foco em segmentos relacionados a transações financeiras.

Assista o Webinar a seguir para conhecer um pouco mais sobre a Segurança Cibernética:

Banner_blog-copy-2

Porque devemos nos atentar mais na Segurança da informação?

A prevenção, a proteção e a sobrevivência de tudo o que é construído, desenvolvido e disponibilizado por todas os pilares da Governança Corporativa de uma organização, se torna dependente da gestão da segurança da informação.

A proteção de dados e a prevenção de ataques, são temas cada vez mais comuns, isso porque os crimes e ataques cibernéticos se aprimoram e se intensificam proporcionalmente com o crescimento e o avanço da tecnologia.

Para prevenir é necessário conhecer, e para conhecer é necessário saber como gerir os riscos que se manifestam.

Dentro desse campo da segurança, destacamos o Gerenciamento de Riscos em Segurança da Informação, uma disciplina fundamental para garantir a continuidade do negócio no tocante à segurança da informação.

Quem não gerencia seus riscos, não consegue tomar ações preventivas, corretivas e muito menos se antecipa aos fatos.

Alguns riscos comuns:

  • Falta de proteção dos dados - pode ocasionar a violação e perda dos dados da empresa, dos clientes, senhas e etc.
  • O não uso de mecanismo de antivírus – permite a entrada de vírus nos computadores e outros tipos de softwares nocivos à rede e ao sistema operacional.
  • Não estabelecer política de controle de acesso – perda de produtividade dos funcionários e acessos indevidos pelo quadro de colaboradores.
  • Ausência de um plano DRP (Disaster Recovery Plan) – pode ocasionar na perda de todas as informações da empresa que não passaram por uma política de backup, ou seja, se ocorrer um desastre, tudo terá de ser feito do zero.
  • Falta de gerenciamento dos riscos – ficar às cegas e não saber como se proteger / prevenir desses perigos. De uma maneira geral, a gestão destes riscos pode evitar o prejuízo nos negócios, proporcionando e garantindo a continuidade do negócio.

Gerenciamento de Riscos

Gerenciamento de risco é basicamente a capacidade de identificar, classificar e tomar ações sobre os riscos, proporcionando um nível de segurança da informação mais coerente com a realidade da instituição.

Para conseguir colocar em prática essa metodologia, um planejamento deve ser traçado e nutrido a cada etapa, que se definem em: conhecer, construir, gerenciar e aplicar o plano de ação.

No Brasil, os crimes e os ataques têm sido mais frequentes e o país se destacou negativamente pelo baixo nível de prevenção. Poucos profissionais estão capacitados no mercado para gerenciar os riscos de segurança da informação, até por que não existe grande oferta de capacitação no mercado. Portanto, podemos dizer que é uma especialidade em ascensão e torna o profissional de TI / segurança mais completo.

As grandes empresas têm tratado como a profissão do hoje, pois o profissional que consegue gerenciar, se proteger e minimizar esses riscos, pode evitar prejuízos e até mesmo falência.

Conclusão

Analisando de forma macroscópica, todos os pilares e ferramentas que explanamos exercem o mesmo objetivo de fazer da TI um parceiro estratégico do negócio.

O conceito de governança corporativa se estende em cada uma dessas ramificações e cada uma delas são fundamentais para o sucesso do negócio.

Conhecemos frameworks, normas, boas práticas, ferramentas e mecanismos de controles que dizem “o que fazer” e “como fazer”.  

É hora de colocar em prática e se atentar com as tendências evolutivas do mercado; assim também como as suas necessidades.

Os recursos foram criados para tornar o processo eficiente e eficaz, portanto, a aprendizagem foi utilizada para garantir o bom desempenho e a execução do seu departamento.

Quem é um Starti

Nós, em segurança, da Informação e dos Ajudantes, há mais de 10 anos, pequenas e médias empresas no Brasil e os riscos de riscos em segurança.