Gostaria de trazer à tona um assunto pra lá de simples, talvez corriqueiro, mas por ser um tanto quanto óbvio para alguns acaba passando desapercebido em nosso meio. E como dizia um antigo professor: “o óbvio só é óbvio cinco segundos depois de alguém o dizer”.
Nas últimas semanas participei de um projeto de Gestão e Análise de Riscos de TI numa empresa em BH. O foco principal era contribuir para que a empresa alcançasse a atualização de sua certificação 27001. A certificação é um diferencial nos serviços oferecidos pela empresa. Quem olha de fora tem a “garantia” que os principais controles de segurança da informação são aplicados no ambiente.
Preocupar-se com segurança não deveria ser um diferencial, mas no contexto brasileiro acaba sendo. Aqui muitas empresas colocam Segurança da Informação no balaio da Tecnologia da Informação, daí na previsão de gastos anuais os ativos de tecnologia sempre terão prioridade, já que a maioria sempre contribui de forma mais visível para o negócio.
Já vi diretor de grande empresa consultar seu gestor de TI pra saber quanto perderam com invasão em um ano, não sabendo a resposta a organização ficou mais um ano sem investimentos em controles preventivos. Infelizmente a maior parte das empresas brasileiras não sabem calcular o risco que uma informação estratégica em mãos erradas pode lhes trazer ou mesmo o prejuízo que o tempo de parte de seu negócio parado pode lhes gerar, já que estratégias de controle não foram devidamente planejadas.
Na nossa cultura o seguro do carro é um gasto desnecessário para muita gente, da casa então… acontece que isso também se reflete nas organizações. Quando acontece um incidente de grandes proporções existe um tratamento imediato, ou seja, uma medida reativa que pode custar muito mais que o valor para se prevenir. Numa conta simples, antever-se ao incidente geralmente é mais barato.
Talvez sua empresa não seja regulamentada pela SOX ou pelo Bacen, mas isso não pode tirar de seus gestores a obrigação moral de apresentar aos acionistas e superiores os principais riscos que a organização está sujeita. O primeiro passo para se ter um ambiente controlado é começar a controlar, por mais que pareça óbvio. Se não existirem fontes de ameaça, riscos levantados e formas de mitigação, os tomadores de decisão nunca saberão “o que” e “por que” controlar. Uma boa dose de criatividade e exemplos do vizinho que perdeu tudo porque não preveniu podem ajudar bastante.
Até a próxima!
[Crédito da Imagem: Controle – ShutterStock]
Lindson Brum é pós graduado em Gestão de Segurança da Informação pela Fumec, atua no mercado de tecnologia da informação há quinze anos, os últimos oito dedicados à segurança da informação. Atua no time de Gestão de Segurança da Informação na Drogaria Araujo.
You must be logged in to post a comment.
