A governança tornou-se o principal instrumento para consolidar a transparência e orientar decisões com base em boas práticas, estruturas maduras, melhoria contínua e processos bem definidos. Essas ações visam fortalecer o controle organizacional, assegurando que as diretrizes e objetivos sejam alcançados de forma ética, transparente, responsável e alinhada aos interesses da própria organização e de seus stakeholders.
Em tempos de transformações digitais aceleradas, com o crescimento de tecnologias com a IA (Inteligência Artificial), os ambientes tecnológicos se tornaram o pilar para serviços e produtos, por conseguinte, mais complexos e com o desafio de responder os anseios com agilidade. Entretanto, há o desafio da aplicação de práticas de segurança da informação, com a Governança de Segurança da Informação, tornando-se uma estrutura de boas práticas aderentes aos objetivos estratégicos e dos processos destacados na Governança Corporativa.
A Governança de Segurança da Informação estabelece políticas claras, responsabilidades bem definidas e mecanismos de controle que garantem que a segurança da informação esteja alinhada aos objetivos do negócio. Dentro deste contexto, temos o envolvimento de que vai desde a definição de diretrizes tecnológicas, com as arquiteturas seguras até a recuperação de dados a partir de um incidente cibernético. Não obstante, existe diversos itens como os de regulamentação de a como a LGPD (Lei Geral de Proteção de Dados) e a Europeia GDPR (Regulamento Geral sobre a Proteção de Dados – General Data Protection Regulation), todavia, com o aumento de exposição e a crescente sofisticação de ataques cibernéticos que se tornou uma “indústria” para fraudes e diversos crimes que transcendem territórios e limites políticos de países.
Este artigo explora como frameworks amplamente reconhecidos — NIST CSF versão 2.0, CIS Controls v8 e as normas ISO/IEC 27001, 27002 e 27701 — podem ser utilizados como pilares para estruturar a GSI (Governança de Segurança da Informação), promovendo o aumento da maturidade organizacional, fortalecendo os controles de auditoria e a mitigação eficaz dos riscos.
Introdução
A aplicação de modelos de governança deve ser fundamentada em boas práticas consolidadas e padrões reconhecidos de controle. Nesse sentido, frameworks e normas como o NIST CSF v2 (2024), os CIS Controls v8 (CIS, 2021) e a família ISO 27000 representam instrumentos essenciais para promover abordagens estruturadas na identificação de riscos, verificação de conformidade e avaliação dos níveis de maturidade organizacional.
Baseando-se em modelos consolidados nos Frameworks, adota-se estruturas de políticas, processos e responsabilidades que garantem itens de segurança estejam direcionadas as escolhas da organização, assim como seus objetivos estratégicos (ITGI, 2006). O tema alinha-se com a gestão a gestão operacional, envolvendo o direcionamento, o monitoramento e a avaliação contínua da eficácia dos controles de segurança, não obstante, Segundo Weill e Ross (2004), a toma decisões possibilitada pelos mecanismos de cada framework, consequentemente, proporcionado pela estrutura tecnologia e as definições de papéi, priorização de riscos e investimentos, e mensuração de resultados. A seguir destacam-se os três frameworks que podem ser utilizados para os temas supracitados.
NIST Cybersecurity Framework v2.0
O NIST Cybersecurity Framework (NIST CSF) foi desenvolvido pelo National Institute of Standards and Technology dos Estados Unidos, sendo um framework aberto os conceitos podem ser acessados por meio do link (https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf).
A sua uma estrutura é bem ampla com a visão estratégica para gerenciamento de riscos cibernéticos, dessa forma, amplamente reconhecida pela sua flexibilidade, adaptabilidade e aplicação em organizações de todos os tamanhos e setores. O seu principal objetivo é fornecer um modelo estrutura em um ciclo ao qual temas relacionados a Segurança da Informação de maneira compreensível e com visão de entendimento continuado de risco organizacionais.
A estrutura é composta por funções centrais que representam o ciclo de vida da cibersegurança: Governança, Identificar, Proteger, Detectar, Responder e Recuperar. Essas funções, que formam um ciclo iterativo de melhoria contínua, permitem que as organizações criem, mantenham e ajustem políticas e controles técnicos e administrativos de forma eficiente, com base no grau de maturidade e nos riscos reais de seu ambiente.
A função “Governança” traz ações que vinculam com as políticas corporativas, direcionamentos e regras que geram ações as demais funções. Na sequencial, função, “Identificar”, relaciona o gerenciamento de ativos, pessoas, dados e sistemas que são críticos para a operação organizacional, bem como das ameaças, vulnerabilidades e impactos possíveis. Já a função “Proteger” está conexa às ações e tecnologias que procuram defender os ativos, assim como proporcionar os controles de acesso, a proteção de dados e a conscientização dos colaboradores. A próxima função e a Detectar que relaciona a importância do monitoramento contínuo e da prontidão para identificar rapidamente um incidente de segurança. A penúltima função, o NIST corrobora os tens de “Responder” com definições de procedimentos para reagir a incidentes de forma coordenada, reduzindo danos e comunicando as partes envolvidas. Por fim, a função “Recuperar” envolve a restauração dos sistemas e ativos afetados, visando o retorno à operação normal e a incorporação de aprendizados para evitar futuras ocorrências.
CIS Controls v8
O CIS Controls v8 foi desenvolvido pelo Center for Internet Security, com uma visão de priorização, isto é, grupos de implementação em conjunto com um ciclo parecido com o do NIST, entretanto, com controles voltados ao emprego de tecnologia na Internet, visto por muitos, como uma abordagem mais tecnicista e não tão abrangente.
Segundo o Center for Internet Security (2021), a versão 8 reflete controles em ambientes híbridos, com foco em Cloud Computing, agrupa 18 controles essenciais em três grandes categorias: controles essenciais, fundamentais e organizacionais; assim como utiliza “Grupos de Implementação”, denominados (Implementation Groups – IGs), que orientam a aplicação por etapas conforme a conveniência da organização., o grupo IG1 é voltado a pequenas empresas ou aquelas com pouca exposição, enquanto os grupos IG2 e IG3 incluem controles mais avançados para ambientes mais complexos e de maior criticidade.
O CIS Controls proporciona uma implementação de menor complexidade e custo, como inventário de ativos, controle de acesso e configuração segura de sistemas, progredindo com a aplicação de práticas mais direcionadas a proteção de dados. A abordagem da versão 8, os controles devem ser revisitados de forma contínua, reforçando o ciclo de melhoria contínua que visa manter os ambientes seguros diante da evolução das ameaças. Não obstante, temos a integração dos CIS Controls com o NIST Cybersecurity Framework (já abordado) e a ISO/IEC 27001, consolidando-se como um framework complementar, integrado e muito interessante a ser avaliado.
ISO/IEC 27001, 27002 e 27701
O último modelo são os conjuntos de normas ISO/IEC 27001:2022 (ISO, 2022a) e 27002:2022 (ISO, 2022b) que definem os requisitos para sistemas de gestão da segurança da informação (SGSI) e diretrizes de controles, respectivamente. Já a ISO/IEC 27701:2019 (ISO, 2023) amplia essas diretrizes para privacidade da informação, focando em proteção de dados pessoais e conformidade com legislações como a LGPD e o GDPR.
O interessante da ISO é a quantidade de ações e a possibilidade de organizações se certificarem e manterem este selo por meio de auditorias, sendo a norma ISO/IEC 27001, a principal norma da série, que define os requisitos para implementação de um SGSI (Sistema de Gestão de Segurança da Informação) com a estrutura de implementação com base no PDCA — Plan, Do, Check, Act e na melhoria contínua dos processos de segurança.
Por fim, nota-se que o NIST com uma visão holística, o uso do CISv8 e a ISO apresentam, de forma completar visões e ações para aplicação dos três frameworks.
Benefícios do uso Governança de Segurança da Informação com Bases no NIST CSFv2, CIS Controls v8 e ISO 27001, 27002 e 27701
Nota-se que um dos principais benefícios da adoção de frameworks é a compreensão dos níveis de maturidade da segurança da informação e a efetiva gestão de riscos, conforme proposto pelo próprio NIST (2024). Além disso, a governança exerce papel fundamental ao garantir o engajamento da alta direção, promovendo a proteção consistente dos ativos de tecnologia da informação.
A aplicação estruturada desses frameworks permite identificar e categorizar ativos críticos, avaliar ameaças e vulnerabilidades, além de aferir o apetite ao risco e a capacidade de resiliência cibernética da organização. Também contribui para a redução de silos organizacionais entre áreas técnicas e estratégicas, promovendo uma visão integrada e colaborativa. Entre os benefícios adicionais estão a capacidade de resposta ágil a incidentes, a otimização dos investimentos, o aprimoramento contínuo por meio de métricas, auditorias e indicadores, e a maior facilidade de adaptação às exigências legais e regulatórias.
Ao alinhar a segurança da informação com os objetivos organizacionais, a empresa estabelece não apenas uma base sólida de proteção, mas também um diferencial competitivo. Isso se traduz no reconhecimento de serviços e produtos maduros, seguros, sustentados por controles claros, eficazes e mensuráveis — fatores cada vez mais valorizados em mercados que exigem confiança, conformidade e transparência.
