Segurança da Informação

Ξ Deixe um comentário

Pare de tentar adivinhar qual o seu nível de Segurança

publicado por Cristiano Pimenta

Figura - Pare de tentar adivinhar qual o seu nível de SegurançaA passos largos somos bombardeados com pesquisas de segurança, com as listas chaves do momento com ameaças avassaladoras, casos reais de impactos nos negócios  de alguma empresa importante são publicados na mídia com a tanta frequência que mais parece uma novela, apenas aguardando a cena dos próximos capítulos. O Brasil em destaque, vem somando na sua grade curricular, títulos interessantes, como: Brasileiros lideram ranking mundial de hackers, Hackers avançam, Top entre os países que exportam vírus, um dos 10 países do mundo com maior número de hacker e crimes cibernéticos e assim tantas outras referências nada glamorosas.

O cenário

Tendo em conta uma lista curricular que conforme BBC Brasil, em 2002 já figurávamos nas manchetes como: Brasileiros superam em número de “ataques” eficientes em relação a grupos do Leste Europeu. Sim, já se passaram 16 anos e acredite, a progressão é constante e alarmante.

Ainda encontramos muitas empresas que persistem em não acreditar que estamos em um ambiente empresarial altamente crítico e com riscos que só crescem, com potencial probabilidade de seu negócio virar pó, caso seja efetivamente afetado por falha em segurança e a sua exposição trará grande prejuízo, independente da tipificação, certamente acabará no dilema de perdas financeiras, para o negócio, para os acionistas e para seus consumidores.

A atitude esperada

Sendo fato, então o que falta? Não tem de ver a apenas com a falsa crença “o problema está do outro lado da rua, e não aqui”. Ora, na medida que as noticias são veiculadas de tal forma e sem mero zelo, já é possível crer que o problema está batendo à sua porta, só que desta vez, não se sabe ao certo de é de fora pra dentro ou de dentro pra fora. Afinal, as falhas segurança já podem estar dentro de casa.

A atitude esperada, seja das empresas e seus representantes, é aquela vinculada à responsabilidade, tendo em conta que não é possível desprezar:

  • o histórico evolutivo dos problemas relacionados à segurança
  • a dependência do negócio frente a novas tecnologias
  • a quebra de fronteira na conectividade – tornando seu ambiente uma extensão de um mundo digital e globalizado
  • a segurança é investimento e não despesa, requerendo planejamento orçamentário profissional
  • a exposição ao risco e sua capacidade de afetar o balanço da empresa

Não adivinhe o nível de risco

É surpreendente a persistência na busca por métodos de adivinhação ou aqueles nada confiáveis, mecanismos de identificar o nível de risco do negócio. Talvez o motivo esteja atrelado ao que abordamos a pouco, baixa atitude em resolver de forma estruturada a questão, talvez a falta de conhecimento, ou realmente a de que existe um método próprio infalível de superar esta árdua tarefa de conhecer os riscos.

A tarefa nada fácil, requer o comportamento de: Conhecer, Organizar, Tratar, Padronizar, Monitorar e Fiscalizar, indicadores que possam realmente sustentar a existência de iniciativas em segurança e relacioná-los com o negócio, de tal forma que passam a ser direcionadores da proteção, de orçamento, de novos produtos e/ou serviços.

Para cada frente uma ação:

  • Conhecer, os riscos associados a Pessoas, Processos, Tecnologias e ao Ambiente
  • Organizar, estruturar indicadores aderente ao negócio e equilibrar com os estritamente técnicos
  • Tratar, ambiente desorganizado e/ou com grave falha de segurança prejudicará certos indicadores e isto precisa ser corrigido.
  • Padronizar, o processo de coleta, a clareza quanto a fonte e garantia da integridade dos dados, imprescindível para a credibilidade
  • Monitorar, está ação é altamente crítica, e precisará de muita atenção, aqui qualquer anormalidade deve ser alertada, informada e com registro de todos os esforços no sentido de mitigação e/ou correção. Serve de base para lições aprendidas.
  • Fiscalizar, no sentido de melhoria contínua e também de conhecimento de possíveis desvios no processo. Tem forte colaboração quanto a credibilidade do processo, inclusive se for adicionar o nível de risco como um fator de Bônus do Executivo e/ou Participação nos Resultados, tema para outro artigo.

Uma reflexão

Sou favorável a inclusão de controles que possam realmente trazer à responsabilidade de todos os envolvidos no processo produtivo da organização, assim como facilitar as discussões sobre o grau de investimento em segurança necessário e coerente com os objetivos do negócio.

Não aceite indicadores por adivinhação, questione o processo, pesquise modelos matemáticos e ferramentas especializadas, compare resultados, avalie seu grau de retorno, modifique o quanto for necessário, certo que estará na direção correta e com atitude positiva em proteger o negócio.

Autor

Cristiano Pimenta, CISM - Certified Information Security Manager, MBA em Serviços de Telecomunicações - UFF/RJ, Pós-graduação em Gestão - Fundação Dom Cabral/MG, Master en Dirección de Recursos Humanos, Desarrollo Digital de Talento – IEP/Madri, Graduação em Tecnologia da Informação – UNISUL/SC.

Cristiano Pimenta

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes