Qual a diferença entre gestão e governança de segurança da informação *?

Boa tarde!

Durante minhas leituras e discussões acerca dessas duas áreas (e pelos feedbacks que recebi via email), percebi que o conceito relativo a cada uma delas ainda não está claro para alguns profissionais, principalmente os da área de TI.

Diante da possível confusão sobre os conceitos, resolvi fazer um resumo sobre eles, fundamentado na ISO/IEC 38500 e no COBIT 5.

GOVERNANÇA CORPORATIVA DE TI

A ISO/IEC 38500, que estabelece um modelo para a Governança Corporativa de TI1, define o termo como:

Governança Corporativa de TI, segundo ISO/IEC 38500:

“O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado.
A governança corporativa de TI envolve a avaliação e a direção do uso da TI para dar suporte à organização no alcance de seus objetivos estratégicos e monitoramento do seu uso para realizar os planos.
A governança inclui a estratégia e as políticas para o uso de TI dentro de uma organização.”

Essa norma orienta que os dirigentes da organização governem a TI por meio de três tarefas principais:

• Avaliar o uso atual e futuro da TI,  considerando as  pressões externas e internas que influenciam o negócio (mudanças tecnológicas, tendências econômicas e sociais e influências políticas), e que levem em conta as necessidades atuais e futuras do negócio.
• Dirigir a preparação e a implementação de planos e políticas para garantir que o uso da TI atenda aos objetivos do negócio;
• Monitorar o cumprimento das políticas e o desempenho em relação aos planos.

A governança corporativa de TI está inserida na governança corporativa da organização, sendo dirigida por esta, e busca o direcionamento da TI para atender ao negócio e o monitoramento para verificar a conformidade com o direcionamento tomado pela administração da organização2.  Por fazer parte da governança corporativa, a governança corporativa de TI não é de responsabilidade exclusiva dos gestores de TI e, sim, dos dirigentes da organização (board). 

O COBIT 5 faz uma clara distinção entre governança e gestão de TI em um de seus cinco princípios: Distinguir a governança de gestão. Essas duas áreas abrangem diferentes tipos de atividades, exigem diferentes estruturas organizacionais e servem a propósitos diferentes.

Do ponto de vista do COBIT 5, a governança corporativa de TI é:

Governança Corporativa de TI, segundo COBIT 5:

“A governança garante que as necessidades, as condições e as opções das partes interessadas sejam avaliadas a fim de determinar os objetivos corporativos acordados; define a direção por meio de priorização e tomada de decisão; e provê monitoramento de desempenho e conformidade com relação aos objetivos estabelecidos.”

Na governança, são discutidos e aprovados as políticas e os planos de alinhamento estratégico (PE, PETI), a implementação de processos e os mecanismos de controle que direcionarão a gestão da TI 4.

Na maioria das organizações, a governança é de responsabilidade do Conselho de Administração, sob a liderança do presidente. Responsabilidades de governança específicas podem ser delegadas a estruturas organizacionais especiais em um nível apropriado, especialmente em organizações maiores e complexas 3.

GESTÃO DE TI

A Gestão de TI é definida, segundo ISO/IEC 38500, como:

Gestão de TI, segundo ISO/IEC 38500:

“Sistema de controles e processos necessários para alcançar os objetivos estratégicos estabelecidos pela direção da organização.”.

A gestão de TI implica a utilização sensata de meios (recursos, pessoas, processos, práticas) pra alcançar um objetivo. Atua no planejamento, construção, organização e controle das atividades operacionais e se alinha com a direção definida pela organização.

Já o COBIT 5 define a Gestão de TI como:

Gestão de TI, segundo COBIT 5:

“A gestão consiste em planejar, construir, executar e monitorar    atividades alinhadas com a direção estratégica estabelecida pela governança para atingir os objetivos corporativos.”

Na maioria das organizações, a gestão é da responsabilidade da gerência executiva, sob a liderança do chefe diretor executivo (CEO) 3.

A distinção entre governança e gestão pode ser vista na figura abaixo.

No âmbito da Governança há três atividades principais: Avaliar, Dirigir e Monitorar, que estão bem definidas tanto na IEC/ISO 38500 como no COBIT 5. No âmbito da Gestão há quatro atividades principais: Planejar, Construir, Entregar e Monitorar. No COBIT 5, as atividades de governança são definidas por um conjunto de 5 processos de governança agrupados em um único domínio e as atividades de gestão são definidas por 37 processos de gestão agrupados em 4 domínios, a saber:  Alinhar, Planejar e Organizar (APO), Construir, Adquirir e Implementar (BAI),  Entregar, Serviços e Suporte (DSS),  Monitorar, Avaliar e Analisar (MEA).

Portanto,  há uma frase que sintetiza tudo o que foi descrito acima:  a gestão controla tarefas operacionais, enquanto a governança controla a gestão.

E, para finalizar, eu adoraria saber a sua opinião sobre esse artigo. Deixe um comentário logo abaixo!

[1] International Organization for Standardization. ISO/IEC 38500 – Corporate governance of information technology. ISO, 2008, 22p.
[2] ABREU, Vladimir Ferraz de; FERNANDES, Aguinaldo Aragon. Implantando a Governança de TI: da estratégia à gestão dos processos e serviços. Rio de Janeiro: Brasport, 2006.
[3] COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. USA, 2012
[4] PwC. Por que conhecer o COBIT ® 5.

Qual a diferença entre gestão e governança de segurança da informação?

Qual a diferença entre gestão e governança de TI?

Qual a diferença entre gestão e governança?

Qual a diferença entre gestão de dados e governança de dados?