Segurança da Informação vs TI, um equivoco que pode impactar negativamente o seu negócio.

O setor de TI (Tecnologia da Informação), sempre foi uma área imprescindível dentro das organizações. Normalmente o setor de TI ou TIC (Tecnologia da informação e comunicação), está ligado diretamente a áreas de  suporte técnico, infraestrutura tecnológica, Desenvolvimento, e afins.

Agora, a pergunta que não quer calar, é: A Segurança da Informação, está ou não subordinada ao setor de TI ou TIC? A resposta, apesar de parecer contraditória em um primeiro momento, é NÃO! A área de Segurança da Informação e Privacidade (nomenclatura correta de acordo com a ISO/IEC 27701), não está ligada a área de TIC. Vamos entender então, os motivos desta afirmação!

Segurança da Informação e privacidade vs Segurança Cibernética (Segurança em TI)

Apesar da grande confusão que existe hoje entre Segurança da Informação e Segurança Cibernética, podemos afirmar que são coisas distintas. A Segurança da informação é muito mais abrangente do que a Segurança Cibernética (ou Segurança em TI).

A Segurança da Informação, possui um amplo escopo de proteção, incluindo, mas não se limitando à:

• Segurança em processos e procedimentos.
• Segurança em Recursos Humanos.
• Segurança Física do ambiente.
• Segurança Cibernética (Segurança em TI).
• Entre outros.

Já a Segurança Cibernética, tem um escopo limitado à proteção da infraestrutura de Tecnologia. De acordo com a ISO/IEC 27001, podemos entender que a Segurança da Informação abrange muitas áreas da organização e não somente a Segurança Cibernética (Segurança em TI). Levando em conta estas informações, já conseguimos entender o motivo do por que em nenhuma hipótese, podemos confundir a Segurança da Informação e a Segurança Cibernética, e muito menos com a TI em si.

Segurança da Informação, TIC e o conflito de interesse

A área de Segurança da Informação e Privacidade, deve possuir independência, já que ela funcionará como parte da Gestão de Riscos da organização, seja ela em Recursos Humanos, Segurança Física, TI, entre outras.

Ao subordinar a Segurança da Informação à qualquer um destes setores, acabamos por criar um conflito de interesse o qual consequentemente gerará um impacto negativo ao negócio, já que muitas métricas serão mascaradas, seja de forma intencional ou não.

Devemos então levar em conta aquela velha máxima: “Não se pode auditar, o que você mesmo implementou”.

LGPD, uma lei voltada à Tecnologia da informação?

Em 2018 entrou em vigor a lei 13.709, ou também conhecida como Lei Geral de Proteção de dados (LGPD), a qual trouxe a tona a importância da Governança em Segurança e Privacidade, conforme o artigo 50 da lei. Por este motivo, muitas empresas começaram a relacionar a LGPD como uma lei voltada somente à segurança Cibernética ou Segurança em TI.

A LGPD, reforça a importância da Segurança da Informação e Privacidade, não somente a Segurança cibernética, como deixa claro já no artigo primeiro:

“Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais”.

Devemos nos atentar a palavra “inclusive”, ou seja, os meios digitais são apenas um dos meios de tratamentos de dados. Uma boa governança em Segurança e Privacidade, deverá abranger todas as áreas, implementando medidas técnicas e administrativas, conforme citado no artigo sexto da Lei Geral de Proteção de Dados.

O governo federal, inclusive, editou a Instrução Normativa SGD/ME Nº 117, DE 19 DE NOVEMBRO DE 2020, a qual trata da indicação do Encarregado pelo Tratamento dos Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional, nela é vedada (por motivos de conflito de interesse) a possibilidade do setor de TI assumir a função de encarregado de proteção de dados em órgãos públicos federais (Art. 1º, § 1º, II).

Sendo assim, de nenhuma forma, devemos entender a Lei Geral de Proteção de Dados, como uma Lei voltada somente a tecnologia da informação, ou corremos o risco de implementarmos um compliance parcial, além de permanecermos com uma falsa sensação de Segurança.

Conclusão

Devemos entender que a Segurança e Privacidade, age de forma sistêmica, abrangendo toda organização, tratando principalmente de pessoas, processos e procedimentos, além de entendermos que a Segurança Cibernética (Segurança em TI) é apenas uma das inúmeras áreas da Segurança da Informação.

Sendo assim, o setor de Segurança e Privacidade deverá ser um setor independente e ao mesmo tempo interligado com todos os outros setores da empresa, evitando assim conflitos de interesse, falsa sensação de Segurança e não compliance com leis e normas voltadas a proteção de dados.