Muito se fala sobre segurança da informação em todo o mundo, mas até que ponto estamos realmente preocupados (todos) e interessados em fazer bons investimentos e não apenas gastos?
Parece uma pergunta simples, mas não é, afinal, a maioria das empresas acredita que investe em segurança da informação. Nos últimos meses muito se falou sobre a lei intitulada Carolina Dieckman, sobre a espionagem dos EUA e outros assuntos que não ganharam tanta relevância, e a impressão é de sempre estivemos preocupados e de que agora nos preocupamos muito mais com isso. Estamos vivendo uma situação muito parecida com a que tivemos na virada do ano de 1999 para 2000, e no pós-ataques de 11 de setembro nos EUA, onde a bola da vez foram os planos de continuidade de negócio.
Acompanho de perto muitas discussões e projetos de segurança, e percebo que continuamos caminhando para “gastar” em segurança da informação e não “investir” em segurança da informação. Se fosse para listar os principais motivadores para isso seriam:
1) A falta de conscientização das empresas quanto a segurança ser um investimento e um fator estratégico, e não um gasto em TI;
2) A falta de executivos que realmente conhecem cenários de riscos, segurança física e tecnológica, infra-estrutura, planos de continuidade de negócios, fraudes e legislação;
3) A falta de conscientização do mercado de que segurança não é comprar hardware ou software, e se preocupar apenas com patches e regras de firewall, ou querer que segurança fique dentro da área de TI;
4) Entender que para investir é preciso conhecer o cenário e tudo que o cerca, e que ocultar os riscos a que a empresa está exposta mesmo depois de já ter feito um investimento não é desmerecimento ao que já foi realizado;
5) Entender que o ser humano é o elo mais fraco e é a camada de segurança mais vulnerável. Por isto, é necessário o investimento em treinamentos de conscientização, constantemente, além de soluções “realmente” necessárias e mais efetivas.
Me assusta a forma como a iniciativa privada e governo tratam assuntos dessa relevância.
Muito recentemente vimos a decisão do governo em investir em assinatura digital para a criptografia de e-mails, e de novo, assusta… Grandes decisões tomadas com embasamento em grandes quantidades de dinheiro ou sem entender realmente o que levou ao incidente não resolvem! Basta parar, estudar e refletir, mesmo que muito rapidamente, sobre os casos já ocorridos e aí veremos que se fosse apenas questão de grandes investimentos em dinheiro muitas grandes empresas em todo o mundo e até mesmo agências de governo norte americanas nunca teriam sido invadidas!
Vivemos com um conceito errado com relação à segurança da informação, muitos profissionais sequer sabem o quão grande é essa área ou o que ela deve realmente fazer. O mercado de forma geral trata um hacker como sendo uma pessoa maliciosa e sem ética alguma, empresas adquirem soluções de hardware ou software e acham que estão seguras, colaboradores não são treinados, não existem planos de contingência na maioria das empresas, o ego de muitos profissionais fala mais alto e fatos relevantes não são levados a alta diretoria ou presidência… enfim, esse é nosso cenário real, um cenário de caos para a maioria das empresas, independente do seu tamanho.
Como informação para aqueles que gostam, para curiosos ou mesmo para profissionais de áreas diversas, o que foi feito com o governo brasileiro mostra algo que ocorre todos os dias, e que vai muito além de ter acesso a alguns e-mails. Falamos de ver uma tela em tempo real, de ativar microfones e ouvir o som do ambiente, de fraudar todo e qualquer sistema, de retirar arquivos diversos de estações e servidores, de descobrir milhares de senhas complexas em poucos minutos, e muito mais. Tudo isso ocorre sem que um anti-vírus ou regra de firewall sejam desativadas ou alteradas, tudo isso ocorre embaixo do nariz de muitas empresas que monitoram a segurança de outras empresas, e tudo isso a todo o tempo. Esse sim é nosso cenário real, e sabem onde tudo isso começa? Nas pessoas…
É necessária sim, uma mudança e, para isso, é preciso que todos os pontos acima sejam levados em consideração, e que tenhamos realmente vontade e coragem de estabelecer um “cronograma” sério sobre o tema, seja em uma empresa ou no governo. Deixemos de lado o ego quando responsáveis pela área de segurança e estejamos dispostos a tratar segurança como um fator estratégico – o que ela deve ser – mesmo que para isso seja necessário comprometer de certa forma nossa posição, mas tendo em vista que isso é reversível e positivo. Deixemos de lado ações como a do governo de investir milhões para criptografar e-mails, quando o problema pode estar, e aposto que está, em outro lugar. Deixemos de lado premiações baseadas em indicação de pessoas, e tratemos nosso cenário com base na efetividade e seriedade.
Ter segurança da informação de uma forma efetiva significa manter o sigilo, a integridade e a disponibilidade das informações, e mais do que isso, significa não permitir que executivos sejam alvos do crime organizado, que segredos não vazem, que o plano de negócios não seja impactado, que a legislação ou regras de órgãos reguladores sejam seguidos, que auditorias efetivas sejam realizadas, que os acionistas tenham o que buscam, que lucros maiores sejam gerados, que empregos sejam mantidos e que, acima de tudo, a imagem da empresa seja preservada, dentre muitos outros.
Como gestor de uma empresa não gostaria de investir alto na aprovação do orçamento da área e depois ser surpreendido por um incidente, simplesmente porque alguém resolveu que não colocar sua posição em check era mais importante do que garantir o sucesso do negócio e a sustentabilidade de um todo.
E você?