Da conformidade à resiliência: como os CISO podem corrigir a lacuna de governação
O alerta das 3 da manhã: uma falha de governação disfarçada
Maria, CISO de uma fintech em rápido crescimento, acordou sobressaltada com um alerta P1. Uma base de dados de produção, supostamente isolada, estava a comunicar com um endereço IP externo desconhecido. A sua equipa SOC já estava envolvida, a rastrear a ligação até um bucket de armazenamento na cloud mal configurado, criado por uma equipa de análise de marketing que testava uma nova ferramenta de segmentação de clientes. O impacto imediato foi contido, mas a análise pós-incidente revelou um problema muito mais perigoso, que nada tinha que ver com firewalls ou malware.
O gestor de marketing que encomendou a ferramenta não tinha supervisão formal de segurança. O engenheiro DevOps que criou o ambiente contornou as verificações de segurança padrão para cumprir um prazo apertado. Os dados no bucket, embora anonimizados, eram suficientemente sensíveis para acionar cláusulas contratuais de notificação junto de vários clientes-chave.
A causa raiz não foi uma vulnerabilidade técnica. Foi uma falha catastrófica de governação. Maria tinha políticas, tinha ferramentas e tinha uma equipa talentosa. O que lhe faltava era um quadro de governação vivo, aplicado e compreendido para além do departamento de segurança. A empresa estava em conformidade no papel, com o certificado ISO/IEC 27001:2022 ainda reluzente na parede, mas não era resiliente na prática.
É nesta lacuna crítica que muitas organizações, e os seus CISO, tropeçam. Confundem os artefactos da governação, como políticas e listas de verificação, com a própria governação. Este artigo explica onde esse raciocínio falha e apresenta um roteiro concreto para transformar a conformidade no papel em controlo empresarial sustentado, usando o conjunto integrado de ferramentas da Clarysec.
Para além do dossier: redefinir a governação como ação
Durante demasiado tempo, a governação foi tratada como um substantivo: uma coleção estática de documentos armazenados num servidor. A verdadeira governação da segurança da informação, porém, é ação. É o conjunto contínuo de atos através dos quais a liderança dirige, monitoriza e apoia a segurança como função essencial do negócio. Trata-se de criar um sistema em que todos, desde o conselho de administração até à equipa de desenvolvimento, compreendem o seu papel na proteção dos ativos de informação da organização.
Referenciais desde ISO/IEC 27001:2022 até NIS2 partem desta verdade: a governação é uma função de gestão, não uma função técnica. De acordo com a ISO/IEC 27014:2020, a alta direção deve criar uma estratégia de segurança da informação alinhada com os objetivos organizacionais. Essa estratégia deve assegurar que os requisitos de segurança respondem a necessidades internas e externas, incluindo compromissos legais, regulamentares e contratuais. Para o confirmar, a liderança deve promover auditorias independentes, fomentar uma cultura que apoie ativamente a segurança e garantir que objetivos, funções e recursos estão devidamente coordenados.
O problema é que este “tom da gestão de topo” muitas vezes não se traduz em ação ao nível operacional. É aqui que entra em cena o controlo mais crítico, e frequentemente mal compreendido: as responsabilidades da gestão.
O efeito em cascata: porque é que a segurança não pode terminar no CISO
O maior ponto único de falha em qualquer Sistema de Gestão de Segurança da Informação (SGSI) é a presunção de que o CISO é o único responsável pela segurança. Na realidade, o CISO é o maestro, mas os gestores de cada unidade de negócio são os músicos. Se não desempenharem a sua parte, o resultado é ruído, não harmonia.
É precisamente isto que a ISO/IEC 27001:2022 aborda no controlo 5.4, “Responsabilidades da gestão”. Este controlo exige que as responsabilidades de segurança da informação sejam atribuídas e aplicadas em toda a organização. Como o nosso Zenith Blueprint: roteiro de 30 passos de um auditor destaca no passo 23, este controlo visa assegurar que a liderança de segurança desce em cascata por todos os níveis da organização.
“Em última análise, o controlo 5.4 reforça que a liderança de segurança não termina no CISO. Deve descer em cascata por todos os níveis da gestão operacional, porque o sucesso ou fracasso do seu SGSI frequentemente não depende de políticas ou ferramentas, mas de os gestores promoverem ativamente a segurança nos seus próprios domínios.” Zenith Blueprint
No caso de Maria, o gestor de marketing via a segurança como um bloqueio, não como uma responsabilidade partilhada. O engenheiro DevOps via um prazo, não um dever de diligência. Um quadro de governação vivo teria integrado pontos de controlo de segurança no processo de iniciação do projeto e métricas de desempenho para a equipa DevOps. Isto transforma a governação de um encargo de conformidade numa ferramenta para evitar desastres.
Da teoria à prática: construir governação com políticas acionáveis
Uma política numa prateleira é um artefacto; uma política integrada nas operações diárias é um controlo. Para operacionalizar a governação, as organizações precisam de uma definição inequívoca de deveres. A nossa Governance Roles & Responsibilities Policy foi concebida precisamente para isso. Um dos seus objetivos centrais é:
“Manter um modelo de governação que imponha a segregação de funções, elimine conflitos de interesse e permita o escalonamento de questões de segurança não resolvidas.” Política de Funções e Responsabilidades de Governação
Esta declaração transforma um princípio de alto nível num requisito concreto e auditável. Cria um quadro de responsabilização por camadas, em que cada nível de gestão fica formalmente responsável pela sua parte do programa de segurança. Para organizações mais pequenas, a Governance Roles & Responsibilities Policy - SME simplifica esta abordagem, ao declarar diretamente na cláusula 4.3.3 que todos os colaboradores “devem comunicar incidentes e questões de conformidade ao Diretor-Geral de imediato”. Esta clareza elimina ambiguidades e capacita todos para agir.
Regressemos ao incidente de Maria e vejamos como ela poderia usar o conjunto de ferramentas da Clarysec para reconstruir a sua abordagem de governação, convertendo uma falha reativa num sistema proativo e resiliente.
A política como fundamento: primeiro, ela implementaria a Política de Funções e Responsabilidades de Governação. Em colaboração com Recursos Humanos, integraria deveres específicos de segurança nas descrições de funções de todos os gestores, do marketing às finanças. Isto torna a segurança uma parte formal da função, não uma reflexão tardia.
Definir o “como”: em seguida, usaria a política para estabelecer um processo claro. A cláusula 7.2.2 da política estabelece: “Os riscos relacionados com a governação devem ser revistos pelo Comité de Direção do SGSI e validados durante auditorias internas.” Isto cria um fórum formal em que o novo projeto do gestor de marketing teria sido revisto antes da criação de qualquer ambiente na cloud, prevenindo a configuração incorreta inicial.
Tirar partido da inteligência de conformidade cruzada: para compreender o âmbito completo do seu novo modelo de governação, Maria consultaria Zenith Controls: o guia de conformidade cruzada. Este recurso mostra como as “responsabilidades da gestão” (ISO 5.4) não são uma tarefa isolada, mas um eixo central ligado a outros controlos críticos. Por exemplo, revela a ligação direta entre 5.4 e 5.8 (“Segurança da informação na gestão de projetos”), assegurando que a gestão fornece a supervisão necessária para integrar a segurança em todas as novas iniciativas.
Esta abordagem proativa desloca a governação de uma análise reativa pós-incidente para uma função que habilita o negócio. Garante que, quando um gestor pretende lançar uma nova ferramenta, o seu primeiro pensamento não é “Como faço isto passar pela segurança?”, mas sim “Com quem da equipa de segurança tenho de colaborar?”
O auditor está a chegar: provar que a sua governação é real
Um auditor experiente é treinado para procurar evidência de implementação, um conceito que o Zenith Blueprint descreve como o alinhamento da política com a “realidade”. Quando um auditor avalia o seu quadro de governação, não se limita a ler documentos; testa a memória operacional da organização. Procura evidência de que a governação está viva, ativa e é responsiva.
Auditores diferentes irão examinar o seu quadro de governação a partir de ângulos diferentes. Eis como testariam o novo e robusto modelo de governação de Maria:
O auditor ISO/IEC 27001:2022: este auditor irá diretamente à evidência do compromisso da liderança exigido pela cláusula 5.1. Pedirá as atas das reuniões de revisão pela gestão (cláusula 9.3). Procurará pontos de agenda em que o desempenho da segurança tenha sido discutido, os recursos tenham sido alocados e as decisões tenham sido tomadas com base em avaliações de riscos. Pretende ver que a liderança não se limita a receber relatórios, mas orienta ativamente o SGSI.
O auditor COBIT 2019: um auditor COBIT pensa em termos de objetivos empresariais. Focar-se-á em objetivos de governação como EDM03 (“Otimização de risco assegurada”). Pedirá para ver os relatórios de risco apresentados ao conselho de administração e quererá saber se a gestão acompanha indicadores-chave de segurança e toma ações corretivas quando esses indicadores apresentam tendência negativa. Para este auditor, a governação consiste em assegurar que a segurança habilita e protege o valor do negócio.
O auditor ISACA: orientado por referenciais como o ITAF, este auditor está particularmente focado no “tom da gestão de topo”. Conduzirá entrevistas com líderes sénior para avaliar o seu entendimento e compromisso. Uma resposta lenta ou evasiva da gestão a uma constatação de auditoria anterior é um sinal de alerta relevante, indicando uma cultura de governação fraca.
O regulador NIS2 ou DORA: com regulamentos como NIS2 e DORA, o nível de exigência é mais elevado. Estes referenciais atribuem aos órgãos de gestão responsabilidade direta e pessoal por falhas de cibersegurança. Um auditor de uma autoridade competente exigirá evidência de que o conselho de administração aprovou o quadro de gestão de riscos de cibersegurança, supervisionou a sua implementação e recebeu formação especializada. Procurará prova de que a gestão não está apenas consciente, mas ativamente envolvida e responsável.
Para satisfazer estas diversas abordagens de auditoria, tem de apresentar mais do que políticas. Precisa de um portefólio de evidência.
| Área de foco da auditoria | Evidência necessária |
|---|---|
| Envolvimento da alta direção | Atas de reuniões de revisão pela gestão, orçamentos aprovados, apresentações ao conselho de administração e comunicações estratégicas. |
| Revisões de eficácia | Registos de ações resultantes de decisões da gestão, ações de mitigação acompanhadas a partir de avaliações de riscos. |
| Responsabilização e resposta | Matrizes RACI, descrições de funções com deveres de segurança, relatórios de incidente que demonstrem escalonamento para a gestão. |
| Atribuição formal | Mandatos assinados para comités de segurança, descrições formais de funções para proprietários do risco, atestados anuais de responsáveis de departamento. |
Se a sua evidência se resumir a PDFs de políticas e não houver registos operacionais, falhará a auditoria. O guia Zenith Controls ajuda a montar o portefólio correto para demonstrar evidência, não apenas intenção.
O ciclo de feedback: transformar incidentes em resiliência
Em última análise, a prova mais forte de um quadro de governação resiliente é a forma como a organização responde à falha. A verdadeira resiliência significa aprender, adaptar-se e agir. Como afirma o Zenith Blueprint ao abordar o controlo 5.24 (“Planeamento e preparação da gestão de incidentes de segurança da informação”):
“O que define uma organização segura não é a ausência de incidentes, mas a preparação para os tratar quando surgem… Este controlo visa a melhoria, não apenas o encerramento. Os auditores perguntarão: ‘O que aprenderam com o vosso último incidente?’ Esperarão ver análise de causa raiz, lições registadas e, sobretudo, evidência de que algo mudou em resultado disso.”
No caso de Maria, o “algo que mudou” não foi apenas uma regra de firewall. Foi a implementação de um processo de governação que exigia aprovação formal da gestão para novos projetos, uma matriz RACI clara para implementações na cloud e formação obrigatória em segurança para a equipa de marketing. A sua capacidade de demonstrar este ciclo de aprendizagem transformaria uma potencial não conformidade maior em evidência de um SGSI maduro e em melhoria contínua.
É aqui que a governação demonstra o seu valor. Uma falha deixa de ser apenas um problema técnico a corrigir e passa a ser uma lição organizacional a aprender e integrar. Como estabelece a Política de Funções e Responsabilidades de Governação na secção 9.1.1.4, “constatações de auditoria significativas ou incidentes que envolvam falhas de governação” não são enterrados; são revistos, escalados e tratados.
Fazer a governação perdurar: o papel da responsabilização
Mesmo com as melhores políticas e com o compromisso da gestão, a governação pode falhar se não existirem consequências para o incumprimento. Um quadro verdadeiramente robusto deve ser suportado por um processo disciplinar justo, consistente e bem comunicado. Este é o foco do controlo 6.4 da ISO/IEC 27001:2022, “Processo disciplinar”.
Este controlo assegura que as regras do SGSI não são opcionais. Fornece o mecanismo de aplicação que demonstra o compromisso da liderança com a segurança. Como detalhado em Zenith Controls, este processo é um tratamento de riscos crítico para ameaças internas e negligência. Funciona em conjunto com outros controlos: as atividades de monitorização (8.16) podem identificar uma violação da política, enquanto o processo disciplinar (6.4) determina a resposta formal.
“As medidas disciplinares são mais defensáveis quando os colaboradores foram devidamente formados e tomaram conhecimento das suas responsabilidades. O controlo 6.4 depende do 6.3 (Sensibilização, educação e formação em segurança da informação) para assegurar que o pessoal não pode alegar desconhecimento das políticas que violou.”
Um auditor verificará se este processo é aplicado de forma consistente a todos os níveis, assegurando que um executivo sénior que viole a Política de Mesa Limpa fica sujeito ao mesmo processo que um estagiário. Este é o elo final da cadeia, transformando a governação de orientação em norma aplicável.
O mapa unificado de conformidade: uma visão única da governação
A pressão da governação moderna reside no facto de nunca se limitar a um único referencial. Regulamentos como NIS2 e DORA elevaram a responsabilidade da gestão de uma boa prática para uma obrigação legal com responsabilidade pessoal. Um CISO resiliente deve conseguir demonstrar governação de uma forma que satisfaça simultaneamente vários auditores.
Esta tabela unificada, derivada dos mapeamentos em Zenith Controls, mostra como o princípio da responsabilidade da gestão é um requisito universal nos principais referenciais.
| Referencial/Norma | Cláusula/Controlo relevante | Como se mapeia para a responsabilidade executiva (ISO 5.4) |
|---|---|---|
| ISO/IEC 27001:2022 | Cláusulas 5.1, 5.2, 9.3 | Exige liderança ativa, integração do SGSI nos processos de negócio e revisões regulares pela gestão. |
| Diretiva NIS2 da UE | Article 21(1) | Os órgãos de gestão devem aprovar e supervisionar práticas de gestão de riscos de cibersegurança, com responsabilidade pessoal por falhas. |
| DORA da UE | Article 5(2) | O órgão de gestão detém a responsabilidade última pelo quadro de gestão do risco das TIC e pela resiliência operacional da entidade. |
| RGPD da UE | Articles 5(2), 24(1) | O princípio da responsabilização exige que os responsáveis pelo tratamento (alta direção) demonstrem conformidade e implementem medidas adequadas. |
| NIST SP 800-53 | PM-1, PM-9 | A liderança deve estabelecer o plano do programa de segurança e criar uma função executiva de risco para supervisão unificada. |
| COBIT 2019 | EDM03 | O conselho de administração e a gestão executiva devem avaliar, dirigir e monitorizar iniciativas de segurança para assegurar o alinhamento com os objetivos do negócio. |
A conclusão é clara: todos os auditores, independentemente do seu referencial, convergem na mesma exigência: “Mostre-me a governação em ação.”
Conclusão: transformar a sua governação de uma caixa a assinalar numa bússola
A verdade dolorosa é que organizações “em conformidade” sofrem violações todos os dias. Organizações “resilientes”, porém, sobrevivem e adaptam-se. A resiliência exige a integração profunda de políticas, tecnologia e verdadeira assunção de responsabilidade pela gestão executiva. Não é um desfile de formulários, mas uma cultura em que a segurança e a estratégia de negócio avançam em sintonia.
Comece por colocar as perguntas difíceis:
- A nossa liderança de segurança é visível? Os gestores fora da segurança participam ativamente nas decisões de risco?
- As responsabilidades são claras? Cada gestor consegue explicar os seus deveres específicos para proteger a informação no seu domínio?
- A governação está integrada? As considerações de segurança estão incorporadas desde o início nos nossos processos de gestão de projetos, aquisição e Recursos Humanos?
- Aprendemos com os nossos erros? Quando ocorre um incidente, isso desencadeia uma revisão do nosso quadro de governação, e não apenas dos nossos controlos técnicos?
A diferença entre sobreviver a um incidente ou falhar sob escrutínio regulamentar está na profundidade com que a governação está entranhada nas suas operações. É a bússola que guia a organização pela incerteza. No momento de crise, só a governação real se interpõe entre a conformidade e a catástrofe.
Próximos passos: torne a sua resiliência mensurável
- Use o Zenith Blueprint para realizar uma verificação de realidade sobre a responsabilização da gestão e assegurar que a segurança tem visibilidade em todo o negócio.
- Implemente políticas da Clarysec como a Política de Funções e Responsabilidades de Governação como documentos vivos que impulsionam formação, escalonamento e correção.
- Tire partido do Zenith Controls para assegurar preparação para auditoria em ISO/IEC 27001:2022, NIS2, DORA e outros referenciais, com mapeamentos concretos e pacotes de evidência.
Pronto para evoluir a sua governação de uma caixa a assinalar para uma bússola? Marque uma revisão de governação do SGSI com a Clarysec e coloque verdadeiramente a sua equipa executiva no comando.
Referências:
- Zenith Blueprint: roteiro de 30 passos de um auditor
- Zenith Controls: o guia de conformidade cruzada
- Política de Funções e Responsabilidades de Governação
- Política de Funções e Responsabilidades de Governação - PME
- ISO/IEC 27001:2022, ISO/IEC 27014:2020, ISO/IEC 27005:2022, DORA, NIS2, RGPD da UE, NIST SP 800-53 Rev.5, COBIT 2019.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
