Para além da assinatura: por que o compromisso da gestão de topo é o controlo de segurança definitivo
O executivo fantasma e a inevitável falha na auditoria
Imagine um cenário que ocorre em salas de reunião de conselhos de administração com mais frequência do que gostaríamos de admitir.
Alex, recém-contratado como Diretor de Segurança da Informação, entra numa reunião trimestral do conselho de administração. Preparou uma apresentação de quarenta páginas com detalhe sobre a aplicação de correções de vulnerabilidades, a disponibilidade da firewall e os resultados mais recentes da simulação de phishing. O CEO, distraído com uma discussão sobre uma fusão, olha para o ecrã, acena com a cabeça e diz: “Parece que a TI tem isto controlado. Mantém-nos seguros, Alex.” A reunião avança para os números de vendas.
Seis meses depois, a organização sofre um ataque de ransomware. A recuperação é lenta porque os planos de continuidade de negócio (PCN) nunca foram testados pelas unidades de negócio. As coimas regulamentares tornam-se uma ameaça significativa. Quando o auditor externo chega para avaliar a conformidade com ISO/IEC 27001:2022, a primeira pergunta não é sobre a firewall. É: “Posso falar com o CEO sobre o seu papel no Sistema de Gestão de Segurança da Informação (SGSI)?”
O CEO fica perplexo. “Contratei o Alex para isso.”
A auditoria falha. Não por causa da tecnologia, mas por causa de uma incompreensão fundamental da Cláusula 5.1: Liderança e compromisso.
No atual panorama de conformidade, o “executivo fantasma” — o líder que assina os cheques, mas ignora a estratégia — é o maior risco individual para a postura de segurança de uma organização. Na Clarysec, vemos esta desconexão constantemente. A segurança é muitas vezes isolada como um problema técnico, em vez de ser assumida como um imperativo de negócio. Este artigo orienta-o na eliminação dessa lacuna, usando o Zenith Blueprint, a nossa análise Zenith Controls e exemplos reais de políticas para transformar a liderança de uma audiência passiva na força motriz do seu SGSI.
Para além da assinatura: como é a verdadeira liderança em segurança
É fácil confundir a assinatura de uma política com compromisso genuíno. Mas uma liderança sólida, conforme exigido pela Cláusula 5.1 da ISO/IEC 27001:2022, significa que executivos e membros do conselho de administração aprovam, promovem e dotam o SGSI de recursos de forma ativa — e depois assumem a sua eficácia contínua. A norma é explícita: a gestão de topo não pode delegar a responsabilização.
A experiência da Clarysec demonstra que uma liderança executiva sólida não é apenas uma formalidade da ISO. É o motor que impulsiona a cultura de segurança, a eficácia e a preparação para auditoria. O verdadeiro compromisso é demonstrado por:
- Endossar o SGSI: Assegurar que a política de segurança da informação está alinhada com a direção estratégica da organização.
- Disponibilizar recursos: Se uma avaliação de riscos exigir uma nova ferramenta, formação especializada ou mais pessoal, a liderança deve financiar essa necessidade.
- Promover a sensibilização: Quando o CEO menciona segurança numa reunião geral, isso tem mais peso do que cem mensagens de correio eletrónico do departamento de TI.
- Integrar o SGSI nos processos de negócio: As revisões de segurança devem fazer parte normal da gestão de projetos, da integração de fornecedores e do desenvolvimento de produto, e não ser um acréscimo de última hora.
Conforme detalhado no nosso Zenith Blueprint, um roteiro de 30 passos para auditores, demonstrar liderança começa com uma declaração formal de compromisso, mas deve ser sustentado por ação contínua e visível.
A política como voz da liderança
O principal veículo para a gestão de topo expressar a sua intenção é a Política de Segurança da Informação. Este documento não é um manual técnico; é uma diretiva de governação que estabelece o tom para toda a organização.
Na nossa Política de Segurança da Informação para empresas, afirmamos isto diretamente:
“A política cumpre a Cláusula 5.2 e a Cláusula 5.1 da ISO/IEC 27001:2022 ao expressar a intenção da liderança, o compromisso da gestão de topo e o alinhamento das atividades de segurança com os objetivos organizacionais.” (Secção ‘Finalidade’, cláusula 1.3 da política)
Para organizações mais pequenas, a abordagem é mais direta, mas tem o mesmo peso. A nossa Política de Segurança da Informação para PME enfatiza a titularidade clara:
“Atribuir responsabilidade clara: assegurar que existe sempre alguém responsabilizável pela segurança da informação. Normalmente, é o Diretor-Geral ou a pessoa formalmente designada por este.” (Secção ‘Objetivos’, cláusula 3.1 da política)
Uma armadilha comum em auditoria é a diferença entre disponibilização da política e comunicação da política. Uma política que existe, mas é desconhecida, é inútil. A Cláusula 7.3 e o Controlo 6.3 da ISO/IEC 27001:2022 exigem que a política seja comunicada de forma eficaz. Se um auditor perguntar a um colaborador aleatório sobre a posição da empresa em matéria de segurança e receber um olhar vazio, isso constitui uma falha clara da Cláusula 5.1.
Operacionalizar o compromisso: um conjunto prático de ferramentas
Transformar compromisso abstrato em ação auditável exige uma abordagem estruturada. Eis como o conjunto de ferramentas da Clarysec operacionaliza as obrigações da liderança.
1. A declaração formal de compromisso
Uma declaração pública consolida a intenção e clarifica as expectativas. O Zenith Blueprint recomenda incorporá-la diretamente na sua política de segurança da informação:
“O CEO e a equipa executiva da [ Nome da organização ] estão totalmente comprometidos com a segurança da informação. Consideramos a segurança da informação uma parte essencial da nossa estratégia e das nossas operações de negócio. A gestão assegurará que são disponibilizados recursos e apoio suficientes para implementar e melhorar continuamente o Sistema de Gestão de Segurança da Informação em conformidade com os requisitos da ISO/IEC 27001.”
Isto não é cosmético. Os auditores entrevistarão a gestão de topo para confirmar que compreende e endossa esta declaração, colocando perguntas específicas sobre a afetação de recursos e o alinhamento estratégico.
2. Funções, responsabilidades e autoridades claras (Cláusula 5.3)
O compromisso torna-se tangível quando é atribuído a pessoas. A liderança deve designar responsáveis responsabilizáveis por cada elemento do SGSI. Uma matriz RACI (responsável pela execução, responsabilizável, consultado e informado) é evidência de elevado valor. Embora um Diretor de Segurança da Informação possa ser responsável pela execução da estratégia, a gestão de topo permanece responsabilizável pelo risco.
A nossa Política de Funções e Responsabilidades de Governação para PME formaliza esta arquitetura:
“Esta política define como as responsabilidades de governação da segurança da informação são atribuídas, delegadas e geridas na organização para assegurar a plena conformidade com a ISO/IEC 27001:2022 e outras obrigações regulamentares.” (Secção ‘Finalidade’, cláusula 1.1 da política)
3. Afetação de recursos: dinheiro, pessoas e ferramentas
Um SGSI sem recursos é apenas um exercício documental. A gestão de topo deve demonstrar compromisso afetando um orçamento tangível a iniciativas de segurança identificadas através de avaliações de risco, seja para nova tecnologia, melhorias nas instalações ou formação especializada. Como observa o Zenith Blueprint, se a avaliação de riscos demonstrar uma necessidade, espera-se que a liderança a financie.
4. Revisão contínua e melhoria contínua (Cláusula 9.3)
O compromisso da liderança é uma obrigação contínua, não um evento único. A gestão deve participar em reuniões formais de revisão do SGSI (pelo menos anualmente) para avaliar o desempenho face aos objetivos, analisar novos riscos, aprovar alterações significativas e orientar melhorias. Atas de reunião, painéis de desempenho e planos de melhoria documentados são artefactos críticos para qualquer auditoria.
5. Promover uma cultura consciente da segurança
O comportamento visível da liderança é a ferramenta mais poderosa para construir cultura. Quando os executivos cumprem as políticas e falam sobre a importância da segurança, sinalizam que a segurança é responsabilidade de todos. Isto é explicitamente exigido na nossa Política de Segurança da Informação, que afirma que a liderança “lidera pelo exemplo e promove uma forte cultura de segurança da informação”. Esta expectativa estende-se aos gestores intermédios, incumbidos de aplicar as políticas nas suas equipas e de integrar a segurança nas operações diárias.
O ecossistema de conformidade entre referenciais: um compromisso, muitos mandatos
A liderança executiva não é apenas um requisito da ISO; é a espinha dorsal universal de todos os principais referenciais de segurança, privacidade e resiliência. Uma demonstração forte de compromisso para a ISO 27001 satisfaz simultaneamente requisitos essenciais de governação para NIS2, DORA, RGPD da UE, NIST e COBIT.
A nossa análise Zenith Controls fornece o mapeamento crítico, demonstrando como uma única ação se relaciona com múltiplas obrigações de conformidade.
| Referencial | Requisito de compromisso da liderança | Evidências e artefactos principais |
|---|---|---|
| ISO/IEC 27001:2022 | Cláusula 5.1: Liderança e compromisso | Política aprovada, atas de revisão pela gestão, registos de afetação de recursos. |
| Diretiva NIS2 da UE | Artigo 21: Supervisão e aprovação, pelo órgão de gestão, das medidas de cibersegurança | Quadro documentado, aprovação formal pela gestão, registos de formação da gestão. |
| DORA da UE | Artigos 5, 6: Quadro de governação das TIC aprovado e supervisionado pelo órgão de gestão | Políticas de TIC aprovadas, funções e responsabilidades definidas, quadro de gestão de riscos. |
| RGPD da UE | Artigos 5(2), 24, 32: Princípio da responsabilidade, implementação de medidas adequadas | Políticas de proteção de dados, Registo das Atividades de Tratamento (RAT), evidência de revisão regular. |
| NIST SP 800-53 Rev. 5 | PL-1, PM-1: Políticas de planeamento de segurança, gestão do programa ao nível da organização | Plano formal de segurança, registos de comunicação da política, entrevistas à liderança. |
| COBIT 2019 | EDM01.02: Assegurar a manutenção do sistema de governação | Documentação do quadro de governação, atas de reuniões do conselho de administração, relatórios de desempenho. |
Ao abrigo da NIS2, as autoridades nacionais podem responsabilizar pessoalmente a gestão de topo por falhas. De forma semelhante, DORA determina que o órgão de gestão define, aprova e supervisiona o quadro de gestão do risco das TIC. Como destaca a nossa análise Zenith Controls:
“A NIS2 exige… um quadro documentado de gestão de riscos de cibersegurança, incluindo políticas de segurança ao nível da governação… O Controlo 5.1 da ISO 27001 cumpre diretamente este requisito ao exigir uma política que define objetivos de segurança, compromisso da gestão e atribuição de responsabilidades.”
Implementar a ISO 27001 não é apenas um diferenciador comercial; é uma estratégia defensiva contra medidas regulatórias dirigidas à liderança.
O fator humano: a verificação de antecedentes como decisão da liderança
O que tem a verificação de antecedentes dos colaboradores a ver com a gestão de topo? Tudo.
A gestão de topo define o apetite ao risco da organização. O Controlo 6.1 da ISO 27001:2022: Verificação de antecedentes é uma manifestação operacional direta desta decisão de risco, determinando o nível de confiança exigido para que as pessoas acedam aos ativos da empresa.
Conforme analisado em Zenith Controls:
“A NIS2 exige explicitamente… medidas de segurança de recursos humanos, incluindo a validação de pessoal em funções sensíveis do ponto de vista da segurança. O Controlo 6.1 responde diretamente a este requisito ao exigir verificações de antecedentes aos colaboradores… Através da verificação de antecedentes, as organizações reduzem o risco de ameaças internas, assegurando que apenas pessoas de confiança têm acesso.”
Este único controlo está profundamente interligado. Influencia os termos de trabalho (Controlo 6.2), as relações com fornecedores (Controlo 5.19) e as obrigações de privacidade (Controlo 5.34). Quando a liderança pressiona Recursos Humanos a ignorar verificações de antecedentes para “contratar mais depressa”, está a comprometer ativamente o SGSI ao priorizar a rapidez em detrimento dos objetivos de segurança declarados — uma violação clara da Cláusula 5.1.
A perspetiva do auditor: preparação para o interrogatório
Os auditores não se limitarão a ler os seus documentos; irão entrevistar os seus executivos. É aqui que a falta de compromisso genuíno se torna dolorosamente evidente. Um Diretor de Segurança da Informação bem preparado garante que a sua liderança consegue responder com confiança às perguntas difíceis.
Eis o que os auditores, orientados por normas como ISO 19011 e ISO 27007, irão exigir.
| Área de foco da auditoria | Evidências e artefactos exigidos | Perguntas típicas de entrevista do auditor à liderança |
|---|---|---|
| Aprovação da política | Documento da política assinado e datado; atas de reuniões do conselho de administração que demonstrem discussão e aprovação. | “Quando foi esta política revista pela última vez pela equipa executiva? Por que é importante para os nossos objetivos de negócio?” |
| Afetação de recursos | Orçamentos aprovados para ferramentas de segurança, formação e pessoal; registos de aquisição. | “Pode dar um exemplo de uma melhoria de segurança que tenha promovido e financiado pessoalmente no último ano?” |
| Revisão pela gestão | Reuniões de revisão agendadas; listas de presenças; atas com ações e decisões. | “Como se mantém a gestão informada sobre o desempenho do SGSI? Quais foram os principais resultados da última revisão?” |
| Atribuição de funções | Organograma; matriz RACI; descrições de funções formais com deveres de segurança. | “Quem é, em última instância, responsável pelo risco de segurança da informação nesta organização? Como é isso comunicado?” |
| Comunicação | Comunicados internos; páginas da intranet; registos de reuniões gerais ou sessões de formação. | “Como assegura que todos os colaboradores, desde a receção ao centro de dados, compreendem as suas responsabilidades de segurança?” |
Um CEO que consegue articular como a segurança viabiliza a estratégia de negócio — protegendo a confiança dos clientes, assegurando a disponibilidade do serviço ou permitindo o acesso a mercados — passa com distinção. Um CEO que diz “impede vírus” sinaliza uma falha crítica de liderança.
Conclusão: a liderança é o controlo definitivo
Na maquinaria complexa de um SGSI, as firewalls podem falhar e o software pode ter bugs. Mas o único controlo que não se pode dar ao luxo de falhar é a liderança. O compromisso da gestão de topo é a fonte de energia de todo o sistema. Sem ele, as políticas são apenas papel e os controlos são meras sugestões.
Ao seguir o Zenith Blueprint e ao tirar partido da análise de conformidade entre referenciais da Zenith Controls, pode documentar, demonstrar e operacionalizar este compromisso. Segurança não é algo que se compra; é algo que se pratica. E essa prática começa no topo.
Pronto para transformar a sua equipa de liderança de um risco de conformidade no seu maior ativo de segurança? Contacte a Clarysec hoje para um workshop orientado ou para explorar como a nossa suíte Zenith pode simplificar o seu caminho para uma governação de segurança genuína e preparada para auditoria.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
