O que aprendi no Hackers do Bem sobre Governança, Risco e Compliance

Ao estudar no projeto Hackers do Bem, especialmente os temas ligados a Governança, Risco e Compliance, passei a enxergar a segurança da informação de uma forma mais ampla. Antes, é comum pensarmos em cibersegurança apenas como proteção contra ataques, senhas fortes, antivírus, firewall, criptografia ou análise de vulnerabilidades. Mas a segurança começa muito antes disso. Ela começa quando uma organização decide como vai proteger seus dados, quem será responsável por cada processo, quais riscos são aceitáveis e quais controles precisam existir para evitar prejuízos técnicos, financeiros, jurídicos e reputacionais.

O próprio Hackers do Bem apresenta uma trilha de formação com especialização em Governança, Risco e Compliance, voltada a ajudar empresas a organizar seus esforços de cibersegurança de forma eficaz. Isso me fez compreender que segurança não é apenas uma tarefa técnica do profissional de TI. Ela envolve gestão, cultura organizacional, processos, documentação, auditoria, treinamento e tomada de decisão. Um sistema pode ter um bom código, mas se for usado em um ambiente sem controle de acesso, sem política de backup, sem gestão de permissões e sem plano de resposta a incidentes, ele continuará vulnerável.

Governança, nesse contexto, é a capacidade de direcionar e controlar a segurança dentro da organização. Risco é a análise daquilo que pode dar errado, qual seria o impacto e qual a probabilidade de acontecer. Compliance é a necessidade de estar em conformidade com leis, normas, contratos, políticas internas e boas práticas. Quando esses três elementos trabalham juntos, a segurança deixa de ser improviso e passa a ser parte da estratégia da empresa.

A ISO/IEC 27001 como base para organizar a segurança

Dentro desse estudo, a ISO/IEC 27001 se torna uma referência fundamental. Ela é uma norma internacional para sistemas de gestão de segurança da informação, conhecidos como SGSI ou, em inglês, ISMS — Information Security Management System. Segundo a própria ISO, um sistema de gestão baseado na ISO/IEC 27001 busca preservar a confidencialidade, a integridade e a disponibilidade da informação por meio de um processo de gestão de riscos.

A confidencialidade significa garantir que apenas pessoas autorizadas tenham acesso à informação. A integridade significa assegurar que os dados não sejam alterados indevidamente. A disponibilidade significa garantir que a informação e os sistemas estejam acessíveis quando forem necessários. Esses três pilares parecem simples, mas quando aplicados ao desenvolvimento de software, eles mudam completamente a forma como eu penso um sistema.

A ISO/IEC 27001:2022 não é apenas uma lista de controles técnicos. Ela orienta a organização a criar, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação. A norma também pode ser usada por empresas que desejam obter certificação, demonstrando a clientes, parceiros e partes interessadas que seus riscos de segurança são tratados de maneira estruturada. (ISO)

Para mim, o ponto mais importante é entender que a ISO/IEC 27001 força uma mudança de mentalidade. Em vez de perguntar apenas “como eu protejo este sistema?”, passo a perguntar: “quais informações este sistema manipula?”, “quem pode acessá-las?”, “qual dano ocorreria se esses dados vazassem?”, “o ambiente onde esse software será executado é confiável?”, “existe registro de auditoria?”, “há plano de contingência?”, “o backup foi testado?” e “quem responde por cada decisão de segurança?”.

A importância da ISO 27001 no desenvolvimento de software e no ambiente de uso

No desenvolvimento de software, a ISO/IEC 27001 ajuda a lembrar que o código não vive isolado. Todo software interage com pessoas, redes, servidores, bancos de dados, APIs, dispositivos, documentos, permissões e processos de negócio. Portanto, desenvolver software seguro não é apenas evitar erros de programação. É entender o ambiente onde ele será executado e utilizado.

Um sistema web, por exemplo, pode ter autenticação, criptografia e validação de entrada, mas ainda assim ser inseguro se os usuários compartilham senhas, se os administradores usam contas genéricas, se os logs não são monitorados, se os backups ficam expostos ou se não existe controle sobre quem pode acessar o banco de dados. A ISO/IEC 27001 ajuda a enxergar esses pontos como parte de um mesmo sistema de gestão.

No meu estudo, percebo que isso é especialmente importante para quem desenvolve software moderno, sistemas embarcados, aplicações IoT, plataformas em nuvem e soluções com inteligência artificial. Cada ambiente possui riscos próprios. Um firmware embarcado pode expor chaves criptográficas. Um sistema IoT pode ser instalado em campo sem manutenção frequente. Uma API pode receber dados sensíveis. Uma aplicação com IA pode processar informações privadas. Em todos esses casos, a segurança precisa ser pensada desde o planejamento.

A grande lição que tiro do estudo de Governança, Risco e Compliance no Hackers do Bem é que o bom desenvolvedor não deve olhar apenas para a funcionalidade. Ele precisa compreender o risco que seu software cria, reduz ou transfere. A ISO/IEC 27001 oferece uma base madura para essa visão, porque conecta tecnologia, gestão, pessoas, processos e responsabilidade. E quanto mais cedo o desenvolvedor entender isso, mais preparado estará para criar sistemas realmente confiáveis, sustentáveis e alinhados às necessidades do mundo real.