Tuesday, August 31, 2004

Governança Corporativa: Segurança da Informação na Mira dos Conselhos

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

No atual modelo de governança corporativa, aspectos como a segurança da informação raramente são considerados. “Criar valor para o acionista” – esta é uma das principais premissas de qualquer empresa da iniciativa privada. Observando sob esta fria óptica, existe um grande contrasenso na abordagem utilizada por alguns executivos.

Alguns dos indicadores que posicionam o valor da empresa quando de um processo de valoração, são diretamente influenciados pela capacidade da organização em proteger sua informação. Significa que empresas da nova economia, e empresas da velha economia que estão buscando a modernização, tem seu maior valor concentrado nos ativos intangíveis, como marca, percepção de mercado e conhecimento.

Analisando este cenário, percebemos que os ativos de valor para a empresa se desdobram sob o prisma da informação. O que conta hoje não é mais o patrimônio imobilizado, e sim a capacidade que ela tem de gerar retorno sobre o investimento em uma perspectiva de dois ou cinco anos, em conseqüência dos seus diferenciais. Muitos destes diferenciais, que agregam valor para a empresa, são personificados em: bases de dados, cadastros, planejamento estratégico, fórmulas, projetos dentre outros. Ou seja, informação pura.

Os últimos cinco anos estão aí para confirmar; algumas empresas que surgiram no início deste nosso novo século já valem muito mais do que indústrias centenárias. Existe um movimento forte para a informatização, processos digitalizados; frente a isso, ou as empresas modernizam sua forma de pensar a gestão do negócio, ou terão que sair do jogo. Na estrada rumo ao desenvolvimento e a modernização, informatização é palavra chave.

Então, o que fazer para seguir um bom modelo de governança, considerando a segurança da informação como uma das regras do jogo? A exemplo do que muitas empresas já fazem nos EUA e em toda a Europa, as empresas brasileiras devem começar a olhar com mais seriedade para as questões dos riscos relacionados a tecnologia da informação. O que muitos executivos não percebem, é que a responsabilidade final caso ocorra algum incidente relacionado ao vazamento de informação, ataque de um hacker, perda de dados entre outros, será da Alta Administração. O impacto de qualquer um dos incidentes citados refletirá no potencial competitivo da empresa, minimizando sua vantagem competitiva e em alguns casos trazendo sérias conseqüências financeiras e administrativas, como quebra de contratos, multas e até mesmo degradação da imagem.

Para que haja caracterização de Due Dilligence, o Conselho Administrativo da empresa deverá prestar atenção em aspectos como:

• existência de uma política de segurança da informação dando o direcionamento das ações para o manuseio dos dados no ambiente corporativo e também por parceiros de negócio;

• analise dos riscos relacionados a informação, para poder tomar decisões em relação a implementação de controles

• acompanhamento dos incidentes expressivos no ambiente organizacional

• garantia da privacidade da informação de clientes e parceiros

• segurança da informação deve fazer parte das tomadas de decisão das empresas

Deve-se considerar também a formação de um Fórum de Segurança. Este Fórum já está presente nas grandes organizações e geralmente é composto por membros da Alta Administração e pelo Security Officer (pessoa responsável pelas questões táticas da segurança na empresa). Estas são algumas das medidas que devem ser estudadas para configurar um bom modelo de governança, considerando a proteção dos ativos de informação. Este processo não é simples e traz consigo uma mudança nos paradigmas administrativos, mas é tão importante, que deve ser tratado como ponto chave na estratégia de uma empresa que pretende continuar posicionada no mercado pelos próximos cinco anos.

No comments: