Artigos: Se você consegue mensurar - você tem o controle!
Artigos: Se você consegue mensurar - você tem o controle!
Para estrear esta coluna sobre Gestão da Segurança da Informação, vamos refletir sobre um tema que é muito importante dentro da Gestão de Tecnologia e Segurança da Informação, porém, pouco utilizado nas organizações ainda mais na área de Tecnologia e Segurança da Informação – o Balanced Scorecard (BSC).
Durante muito tempo a área de Tecnologia e Segurança da Informação era vista pela própria organização como uma “caixa-preta”, praticamente inviolável, sendo apenas um custo necessário para a operação da organização. Atualmente, com a evolução da tecnologia, a TI passou a ser um diferencial competitivo das organizações, suportando cada vez mais as decisões estratégicas e críticas do negócio, levando as áreas de negócio a ter uma grande dependência de TI.
Com isso, a Tecnologia e Segurança da Informação passou a representar um maior risco a operação do negócio, por ser praticamente onipresente na organização permeando todas as áreas de negócio.
A partir desse momento surgiram grandes necessidades para que as áreas de Tecnologia e Segurança da Informação tenham controles internos eficazes, que possuam uma boa documentação de seus processos e principalmente uma gestão confiável alinhada às necessidades de negócio.
Neste cenário surge uma excelente ferramenta, uma ferramenta que ajudaria na gestão de Tecnologia e Segurança da Informação, auxiliando nos objetivos, métricas e alinhamento ao negócio – o IT Balanced Scorecard (IT BSC).
O IT BSC é um derivado do Balanced Scorecard original, criado em 1992, pelos professores Kaplan e Norton da Universidade de Harvard. O BSC possui quatro perspectivas (financeira, cliente, processo interno de negócio e aprendizagem e crescimento) na qual existem uma série de objetivos, métricas, alvos e iniciativas para cada uma das perspectivas, tornando o método “balanceado” para gerenciar e avaliar quaisquer áreas da organização.
Com o passar do tempo, houve um refinamento do IT BSC que começou a ter perspectivas orientadas ao desenvolvimento, operação e implantação das atividades de Tecnologia e Segurança da Informação. Hoje podemos dizer que o IT BSC cobre tópicos como IT Governance, Service Level Agreement, Resource Planning, IT Audit, Vulnerabilities, etc. O IT BSC mostrou-se extremamente importante na implantação de frameworks, como o COBIT (Control Objectives for Information and Related Technology) e outros frameworks de Segurança da Informação.
Um eficiente IT BSC auxilia o gestor a mensurar sua contribuição e de todo seu serviço prestado ao negócio, como disponibilidade de serviços, custos diretos e indiretos, tempo de resposta a incidentes, etc. O uso contínuo do IT BSC para auxiliar na Gestão da Tecnologia e Segurança da Informação traz um valor imensurável para a organização, pois ajuda o gestor a medir realmente o que importa, facilita a comunicação entre a área de tecnologia e as áreas de negócio, além de melhorar a tomada de decisão tanto de Tecnologia e Segurança da Informação, desmitificando o trabalho realizado pela equipe de Tecnologia e Segurança da Informação. Mas o principal é ajudar o gestor a mostrar o valor do trabalho e “vender” melhor a área de Tecnologia e Segurança da Informação.
* Umberto Rosti é Administrador, sócio-fundador da SafeWay Consultoria, com MBA em Tecnologia pela FGV, possui mais de 10 anos de experiência atuando principalmente com Segurança da Informação em consultoria e auditoria. Também é certificado CISA, além de participar de organizações como ISACA e CB21.
