Newsletter ABBC 18/10/07 A Governança Corporativa e a Conscientização na Segurança das Informações da Organização. Mário Sérgio Ribeiro (*) “Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade.” (www.ibgc.org.br) A Governança Corporativa é o valor criado a partir de boas práticas que adotam como linhas mestras: a transparência, a prestação de contas e a equidade quando se tem ao lado um negócio de qualidade, lucrativo e bem administrado. Desde que isso ocorra, a boa governança cria a possibilidade de uma administração ainda melhor, beneficiando a todos, dos acionistas até o funcionário do mais baixo escalão. Aliado a essas boas práticas de governança corporativa, as pessoas que são responsáveis em comandar essas corporações sabem e devem conhecer muito bem que um dos principais ativos a ser devidamente administrado é a Informação. Informação esta que pode estar representada por sua própria propriedade intelectual, essência e sobrevivência de seu negócio, pelas informações confidenciais de seus clientes sob sua guarda, etc. Informação essa que é criada e manuseada internamente, que é transportada interna e externamente, que é armazenada em meios tecnológicos e não tecnológicos e que também é descartada, em seu último ciclo de vida. Informação também tem Valor. Alguém tem idéia do valor da informação contida na fórmula da Coca Cola? Se descoberta essa informação, qual o valor acionário da Coca Cola no dia seguinte? Ou em um caso mais recente, das informações vazadas pelo engenheiro da Ferrari ao amigo engenheiro da Mc Laren, e que pode ter valido o campeonato desse ano a um dos pilotos da Mc Laren, em um ramo de negócios de centenas de milhões de dólares? O valor que a Informação representa para a corporação tem a ver com a sua sobrevivência, continuidade e crescimento no mercado, ou a sua derrocada. Mas isso só não basta. É necessário também entender que as informações são trabalhadas em seu ciclo de vida pelas pessoas, o ativo mais importante nessa cadeia. As pessoas que trabalham nas organizações devem conhecer que as informações têm um ciclo de vida, que tem valor, que tem a ver com a continuidade e crescimento da organização que lhe dá trabalho e o devido sustento. Dessa forma, precisam ser conscientizadas em praticar o ciclo de vida da informação (manuseio, transporte, armazenamento e descarte) de forma segura, para o bem da organização, das boas práticas de governança e para seu próprio bem. Conscientizar colaboradores na prática da segurança das informações corporativas é trazer a consciência (atributo pelo qual o homem pode conhecer e julgar sua própria realidade) sobre os cuidados que se deve ter com relação a segurança das informações na execução de seus deveres. É chamar a tona o senso de responsabilidade de cada um desses colaboradores para com um ativo de tão valiosa importância. Elemento básico para essa conscientização, essa chamada de responsabilidade é a organização ter elaborado e devidamente aprovada nas camadas superiores da pirâmide organizacional a Política Geral de Segurança das Informações Corporativas (PGSIC). A PGSIC deve funcionar como um regulamento a ser cumprido por aqueles que trabalham na organização, sendo eles, funcionários, terceiros alocados, etc. Deve ser clara e de fácil entendimento. São diretrizes de alto nível, mostrando claramente as práticas corretas a serem seguidas no que tange a segurança das informações corporativas. Este documento tem caráter meramente informativo, baseado em informações disponíveis ao público e consolidadas ou elaboradas pela Assessoria Econômica da ABBC. Esse trabalho reflete a opinião pessoal, não devendo ser interpretado como oferta ou solicitação de oferta para comprar ou vender quaisquer títulos e valores mobiliários ou produtos e instrumentos financeiros. É vedada a reprodução, distribuição ou publicação deste material, integral ou parcialmente. Mas a PGSIC apenas elaborada e aprovada não significa muita coisa. Pode estar cumprindo apenas a regulamentações e não as boas práticas de Governança Corporativa. Também não serve dizer que a PGSIC encontra-se disponível na Intranet da corporação, no link xyz e pronto, está divulgada. Não, a PGSIC precisa ser encarada como a peça chave no processo de Conscientização em Segurança da Informação Corporativa (SIC), que objetiva a prática da responsabilidade de todos os colaboradores com a SIC. Existem algumas maneiras de desenvolver essa consciência às pessoas, sendo que um dessas boas maneiras é através de workshops com colaboradores e outros internos. A prática tem demonstrado que essa interação em uma sala de aula, auditório, ou qualquer espaço, é extremamente benéfico e com a obtenção de resultados expressivos em corporações de qualquer tamanho. De tudo isso que comentamos é importante entendermos que o processo de conscientizar funcionários e terceiros em uma organização sobre as boas práticas de segurança da informação, tem uma relação direta com a Governança Corporativa. Isso se explica pela clara demonstração em se estabelecer uma PGSIC alinhada a um processo de Conscientizar os funcionários sobre as melhores práticas da SIC. Essa demonstração é importante para a organização em seus relacionamentos com seus parceiros, clientes, mercado, etc. Isso eleva a confiança e credibilidade da empresa. O mercado e investidores sinalizam positivamente ao verificarem de fato que a organização tem um processo que trata do chamado elo fraco da SIC, as pessoas que lá executam seus trabalhos. E os acionistas, donos da propriedade, sentem-se mais tranqüilos em perceber que medidas de prevenção a incidentes sobre o maior de seus ativos estão sendo realizadas. Até a próxima! (*)Mário Sérgio Ribeiro - Engenheiro, 48 anos, especialista em Segurança da Informação e Governança de TI. Consultor, professor universitário e palestrante nacional. Instrutor da ABBC. Este documento tem caráter meramente informativo, baseado em informações disponíveis ao público e consolidadas ou elaboradas pela Assessoria Econômica da ABBC. Esse trabalho reflete a opinião pessoal, não devendo ser interpretado como oferta ou solicitação de oferta para comprar ou vender quaisquer títulos e valores mobiliários ou produtos e instrumentos financeiros. É vedada a reprodução, distribuição ou publicação deste material, integral ou parcialmente.