Como este tema funciona na sua empresa
Governança convergente de segurança é a estrutura organizacional que integra segurança física e lógica sob papéis, responsabilidades e processos claramente definidos. Diferente de gestão fragmentada (Facilities cuida do prédio, TI dos computadores, ninguém vê o todo), convergência busca visão única, decisões rápidas e alinhadas.
Papéis-chave em segurança convergente
Responsável por segurança lógica (TI, aplicações, dados), infraestrutura, conformidade técnica. Em empresa sem CISO, também tem segurança física. Decisões: priorização de investimentos técnicos, políticas de acesso, estratégia de TI1.
Se existe, lidera estratégia integrada de segurança física e lógica. Reporta a CEO ou COO. Autoridade sobre ambas as áreas. Frequente em empresa grande (+500). Responsável por: conformidade regulatória, gestão de risco, orçamento de segurança.
Comitê de segurança
5-7 membros: CIO/CISO (presidente), Head of Security, Head of Facilities, Chief Compliance Officer, Risk Manager, representante de RH, representante executivo (CFO ou COO). Comitê maior (>10) é ineficaz; subcomitês são necessários. Frequência: mensal ou trimestral2.
Comitê tem autoridade para: aprovar políticas de segurança, alocar orçamento, escalar incidentes, definir SLA de resposta. Decisões documentadas, não "conversas informais". Se há desacordo entre TI e Facilities, comitê arbitra.
Matriz RACI
RACI (Responsible, Accountable, Consulted, Informed) mapeia cada decisão/processo a papéis. Exemplo: "Aprovação de novo acesso físico a data center" = R: TI + Facilities, A: CISO, C: Compliance, I: CFO. Clareza evita "ninguém era responsável"3.
Mesma pessoa não pode ser Responsible e Accountable se há risco de conflito de interesse. Especialista técnico (TI) é Responsible; executivo sênior (CISO) é Accountable. Isso evita "aprovador audita a si mesmo".
Política de segurança convergente
Documento formal que define: princípios (zero trust, defesa em profundidade), papéis e responsabilidades, processos chave (acesso, incidente, auditoria), escalonamento, frequência de revisão. Todos devem conhecer. Se não é conhecido, não é efetivo.
Orçamento e alocação de recursos
Orçamento centralizado (comitê controla) oferece visão integrada, evita duplicação. Descentralizado (cada área pede) permite flexibilidade. Maioria das empresas maduras: centralizado, com processo de aprovação claro.
Típica: 60-70% lógico (TI, aplicações), 30-40% físico (infraestrutura, vigilância). Proporção varia por setor. Decisão deve ser deliberada, não acidental.
Auditoria e conformidade
Responsável: Chief Compliance Officer ou auditoria interna. Escopo: ambas as áreas (física e lógica). Frequência: anual no mínimo. Achados escalados para comitê. Não deve haver conflito: auditor não reporta a pessoa auditada.
Sinais de governança fraca
- Empresa sem CISO dedicado em ambiente >200 pessoas
- Sem comitê de segurança ou comitê sem poder de decisão
- Papéis vagos (não está claro quem decide o quê)
- Conflito TI vs. Facilities sem arbitragem clara
- Sem RACI documentado ou RACI desconhecido pela equipe
- Orçamento de segurança não tem dono ou tem múltiplos donos
- Auditoria encontra violações, mas ninguém é responsável por remediação
Roadmap de implementação
Curto prazo
Criar comitê (ou formalizar se existente). Documentar papéis iniciais. Definir RACI para decisões críticas. Documentar política de segurança convergente.
Médio prazo
Nomear CISO se não existe. Refinar RACI baseado em experiência. Integração de procesos (acesso físico + lógico). Auditoria de conformidade com governança. Publicar política para toda equipe.
Perguntas frequentes
O que é governança convergente de segurança?
Estrutura organizacional que integra segurança física e lógica sob papéis, responsabilidades e processos claros. Diferente de fragmentação (Facilities + TI + Compliance sem coordenação), convergência oferece visão única e decisões rápidas.
Como organizar equipes de segurança para convergência?
Criar comitê com 5-7 membros (CIO/CISO, Head of Security, Head of Facilities, Compliance, Risk). Definir RACI para decisões. Nomear CISO se empresa >200 pessoas. Implementar política de segurança formal.
Qual é a diferença de RACI para segurança convergente?
RACI (Responsible, Accountable, Consulted, Informed) mapeia cada decisão a papéis. Exemplo: "Acesso a data center" = R: TI, A: CISO, C: Compliance. Clareza evita ambiguidade e conflito.
Como definir papéis de CIO, Chief Security Officer, Head of Facilities?
CIO: segurança lógica (TI, dados). CISO (se existe): lidera ambas (físico + lógico). Head of Facilities: infraestrutura (prédio, vigilância). Clareza: cada papel tem responsabilidades específicas documentadas.
Como implementar governança convergente com sucesso?
Começar com comitê formal. Documentar RACI. Implementar política de segurança. Treinar equipe. Iterar baseado em feedback. Auditoria anual. Revisão de papéis anualmente.
Quem é responsável por segurança física em uma empresa?
Em empresa com CISO: CISO é responsável (reporta a CEO/COO). Em empresa sem CISO: Head of Facilities + CIO compartilham, com árbitro definido. Responsabilidade não deve ser vaga.
Referências
- 1 ABNT NBR ISO/IEC 27001:2022 — Cláusula 5 sobre governança de segurança
- 2 COBIT 2019 — Framework de governança de TI (inclui segurança integrada)
- 3 NIST Cybersecurity Framework — Função "Govern" inclui estrutura e processos
- ITIL 4 — Modelo de alinhamento entre TI e negócio, aplicável a segurança
- Benchmark de estrutura em empresas brasileiras — Pesquisas Gartner, Forrester