Acesso rápido

Investimento ou Gasto em Segurança da Informação?

por Ivo Machado Sexta-feira, 25 de outubro de 2013

Muito se fala sobre segurança da informação em todo o mundo, mas até que ponto estamos realmente preocupados (todos) e interessados em fazer bons investimentos e não apenas gastos?

Parece uma pergunta simples, mas não é, afinal, a maioria das empresas acredita que investe em segurança da informação. Nos últimos meses muito se falou sobre a lei intitulada Carolina Dieckman, sobre a espionagem dos EUA e outros assuntos que não ganharam tanta relevância, e a impressão é de sempre estivemos preocupados e de que agora nos preocupamos muito mais com isso. Estamos vivendo uma situação muito parecida com a que tivemos na virada do ano de 1999 para 2000, e no pós-ataques de 11 de setembro nos EUA, onde a bola da vez foram os planos de continuidade de negócio.

Acompanho de perto muitas discussões e projetos de segurança, e percebo que continuamos caminhando para “gastar” em segurança da informação e não “investir” em segurança da informação. Se fosse para listar os principais motivadores para isso seriam:

1)      A falta de conscientização das empresas quanto a segurança ser um investimento e um fator estratégico, e não um gasto em TI;

2)      A falta de executivos que realmente conhecem  cenários de riscos, segurança física e tecnológica, infra-estrutura, planos de continuidade de negócios, fraudes e legislação;

3)      A falta de conscientização do mercado de que segurança não é comprar hardware ou software, e se preocupar apenas com patches e regras de firewall, ou querer que segurança fique dentro da área de TI;

4)      Entender que para investir é preciso conhecer o cenário e tudo que o cerca, e que ocultar os riscos a que a empresa está exposta mesmo depois de já ter feito um investimento não é desmerecimento ao que já foi realizado;

5)      Entender que o ser humano é o elo mais fraco e é a camada de segurança mais vulnerável. Por isto,  é necessário o investimento em treinamentos de conscientização, constantemente, além de soluções “realmente” necessárias e mais efetivas.

Me assusta a forma como a iniciativa privada e governo tratam assuntos dessa relevância.

Muito recentemente vimos a decisão do governo em investir em assinatura digital para a criptografia de e-mails, e de novo, assusta… Grandes decisões tomadas com embasamento em grandes quantidades de dinheiro ou sem entender realmente o que levou ao incidente não resolvem! Basta parar, estudar e refletir, mesmo que muito rapidamente, sobre os casos já ocorridos e aí veremos que se fosse apenas questão de grandes investimentos em dinheiro muitas  grandes empresas em todo o mundo e até mesmo agências de governo norte americanas nunca teriam sido invadidas!

Vivemos com um conceito errado com relação à segurança da informação, muitos profissionais sequer sabem o quão grande é essa área ou o que ela deve realmente fazer. O mercado de forma geral trata um hacker como sendo uma pessoa maliciosa e sem ética alguma, empresas adquirem soluções de hardware ou software e acham que estão seguras, colaboradores não são treinados, não existem planos de contingência na maioria das empresas, o ego de muitos profissionais fala mais alto e fatos relevantes não são levados a alta diretoria ou presidência… enfim, esse é nosso cenário real, um cenário de caos para a maioria das empresas, independente do seu tamanho.

Como informação para aqueles que gostam, para curiosos ou mesmo para profissionais de áreas diversas, o que foi feito com o governo brasileiro mostra algo que ocorre todos os dias, e  que vai muito além de ter acesso a alguns e-mails. Falamos de ver uma tela em tempo real, de ativar microfones e ouvir o som do ambiente, de fraudar todo e qualquer sistema, de retirar arquivos diversos de estações e servidores, de descobrir milhares de senhas complexas em poucos minutos, e muito mais. Tudo isso ocorre sem que um anti-vírus ou regra de firewall sejam desativadas ou alteradas, tudo isso ocorre embaixo do nariz de muitas empresas que monitoram a segurança de outras empresas, e tudo isso a todo o tempo. Esse sim é nosso cenário real, e sabem onde tudo isso começa? Nas pessoas…

É necessária sim, uma mudança e, para isso, é preciso que todos os pontos acima sejam levados em consideração, e que tenhamos realmente vontade e coragem de estabelecer um “cronograma” sério sobre o tema, seja em uma empresa ou no governo. Deixemos de lado o ego quando responsáveis pela área de segurança e estejamos dispostos a tratar segurança como um fator estratégico – o que ela deve ser –  mesmo que para isso seja necessário comprometer de certa forma nossa posição, mas tendo em vista que isso é reversível e positivo. Deixemos de lado ações como a do governo de investir milhões para criptografar e-mails, quando o problema pode estar, e aposto que está, em outro lugar. Deixemos de lado premiações baseadas em indicação de pessoas, e tratemos nosso cenário com base na efetividade e seriedade.

Ter segurança da informação de uma forma efetiva significa manter o sigilo, a integridade e a disponibilidade das informações, e mais do que isso, significa não permitir que executivos sejam alvos do crime organizado, que segredos não vazem, que o plano de negócios não seja impactado, que a legislação ou regras de órgãos reguladores sejam seguidos, que auditorias efetivas sejam realizadas, que os acionistas tenham o que buscam, que lucros maiores sejam gerados, que empregos sejam mantidos e que, acima de tudo, a imagem da empresa seja preservada, dentre muitos outros.

Como gestor de uma empresa não gostaria de investir alto na aprovação do orçamento da área e depois ser surpreendido por um incidente, simplesmente porque alguém resolveu que não colocar sua posição em check era mais importante do que garantir o sucesso do negócio e a sustentabilidade de um todo.

E você?

Você recomendaria esse artigo para um amigo?

Nunca

 

Com certeza

 

Deixe seu comentário

0 comentário

Comentários

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Comentando como Anônimo

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Assine nossa Newsletter

Fique por dentro de todas as novidades, eventos, cursos, conteúdos exclusivos e muito mais.

Obrigado!

Você está inscrito em nossa Newsletter. Enviaremos, periodicamente, novidades e conteúdos relevantes para o seu negócio.

Não se preocupe, também detestamos spam.