*Por Fabio Ferreira
Segurança da informação não é um assunto exclusivo da TI. Se uma empresa almeja uma estratégia de segurança sólida e com bons resultados, ela deve aplicar essa premissa às suas políticas e práticas.
Talvez você esteja achando essa afirmação um tanto exagerada, mas, quando examinamos os fundamentos da cibersegurança, ela se mostra, na verdade, bastante razoável. Para entender isso de forma clara, é preciso lembrar que temos duas instâncias da segurança da informação: uma operacional e outra normativa.
A primeira lida tanto com infraestrutura (firewalls, liberações de acesso e usuários, VPNs, etc) quanto com sistemas (quando desenvolve soluções tecnicamente atualizadas contra invasores, tais como SQL injection, por exemplo). Também faz parte dessa camada a atuação junto ao comportamento dos usuários. Portanto, a segurança operacional diz respeito ao dia a dia.
Já a normativa integra a governança. A responsabilidade, aqui, envolve definir os parâmetros para as áreas operacionais, bem como os riscos que a empresa quer ou não assumir, considerando obsolescência das tecnologias e demais aspectos que possam impactar a operação. Ela também monitora, sugere e organiza as campanhas de conscientização dos usuários, discute os riscos em nível executivo com o board e outros responsáveis, e apresenta relatórios com a evolução dos assuntos referentes à segurança.
Essa dimensão deve, ou ao menos deveria ficar fora da TI, pois precisa ser independente dela. Só assim poderá apontar os problemas existentes na atuação da própria área de tecnologia, separando quem fiscaliza de quem opera. Portanto, é essencial que a segurança normativa caiba à GRC (governança de riscos e compliance).
Em empresas mais estabelecidas, já vemos a segurança normativa devidamente alocada dentro do GRC. Outras têm um staff que atua com certa independência, de forma semelhante a um comitê. Porém, estruturas desse tipo não são a norma, e embora não haja estudos com números relevantes sobre essa questão, é razoável supor que a maior parte das empresas atribui à própria TI a governança de seus procedimentos e políticas de cibersegurança.
Isso acontece porque as organizações ainda são muito reativas quando o assunto é segurança da informação. Sempre que há uma série de ataques hacker ou invasões, ou mesmo um único cibercrime de grandes repercussões, há uma onda de investimentos e revisões da área como um todo. Conforme esses eventos vão ficando no passado, o foco diminui e o tema “esfria” nas discussões estratégicas.
Na verdade, os investimentos em segurança obedecem a uma regra não escrita que vale para a TI:
Se os investimentos serão necessários “para o futuro”, a ordem é adiá-los o máximo possível para realizá-los apenas quando estritamente necessários. Mas, enquanto essa for a lógica dominante, jamais teremos maturidade de fato.
Maturidade implica evolução constante. Não se trata de atingir um patamar e ali permanecer. Isso é especialmente verdadeiro em um terreno tão mutável como o da cibersegurança. Sem essa maturidade, a separação entre segurança operacional e normativa dificilmente vai se concretizar. Como tal, são poucas as empresas que contratam um profissional desvinculado da TI para realizar a governança da segurança da informação. Elas não conseguem ver que a segurança não é uma subdivisão da área de tecnologia, e sim uma parte do próprio negócio.
Se uma empresa não quer, ou não pode, fazer grandes investimentos em segurança da informação de uma vez, ela deveria adotar um plano que a permita identificar quais são os riscos existentes; desses, quais são urgentes, quais podem ser mitigados e, ainda, aqueles que vão oferecer menos perigo e podem ser endereçados ao longo do tempo. A partir daí, é preciso executar fielmente esse plano, com revisões anuais que o mantenham atualizado e vigente.
Toda vez que há um incidente significativo no mercado, as empresas se agitam e perguntam às suas TIs se aquilo pode ou não ocorrer com elas. Esse comportamento é não só um risco, mas também um erro, pois mostra que o negócio não tem previsibilidade sobre os possíveis eventos negativos que estão no horizonte.
A consequência desse erro? A empresa sai gastando tubos de dinheiro para evitar o risco do qual ela acabou de se dar conta.
Quem não conhece os riscos não se preocupa com eles, mas quando se vê diante dos mesmos, é obrigado a gastar muito mais. É como se adotassem uma lógica de economia doméstica, tal qual aquela pessoa que não tem um plano de saúde porque prefere deixar para “quando for a hora”. O problema é que, quando essa “hora’ chega, quase sempre já é tarde.
A maturidade não vem só com o tempo. Ela é resultado de dedicação E se a empresa não tem um plano e não consegue entender os riscos, os incidentes acontecerão. Depois deles, pode até ser que a organização amadureça um pouco quanto à segurança, mas isso virá de forma dolorida e custosa. A solução definitiva para os problemas nessa área passam por criação e fomento de cultura, atualizações constantes e monitoramento de processos. E isso, repito, não é responsabilidade exclusiva da TI.
Tratar o tema como uma questão meramente tecnológica cria uma série de riscos que, fatalmente, ac...
Quanto mais a tecnologia se espalha pela empresa, mais importante o tema continuidade se torna &#...
O máximo que uma lista de tendências bem elaborada pode fazer é dar informações e insights para f...
