Já virou rotina. Toda semana temos novas notícias sobre uma grande empresa que falhou na Segurança da Informação e acabou se tornando mais uma vítima de criminosos virtuais. O incidente da semana pode ser um vazamento de dados, uma vulnerabilidade crítica, uma falha de projeto, uma extorsão, tudo isso já se tornou normal.

Essas histórias acabam se mostrando bons exemplos do que não deve ser feito, muitos profissionais apenas balançam a cabeça em descrédito a cada nova notícia. Afinal, existem pessoas qualificadas no mercado que podem fornecer conselhos, centenas de fontes de boas práticas, e ainda assim, por alguns motivos, tudo isso é ignorado. É importante que façamos uma pergunta para nós mesmos: por quais motivos isso ainda acontece?

Uma das respostas passa pelo fato das empresas ficarem muita presas às tecnologias. Elas focam nas “coisas”, nas “caixas”. Os gestores ficam tão empolgados com as novas tecnologias que inundam o mercado que esquecem da regra de ouro: segurança é um problema que envolve pessoas, e não pode ser solucionado apenas jogando mais dinheiro na questão.

Pode ser também que a segurança não é uma prioridade nessas empresas. E a qualidade da segurança está diretamente relacionada com a qualidade do pensamento e esforço que é direcionado para essa área. Em muitos casos, o risco acaba sendo negligenciado porque existe um pensamento comum de que “isso nunca vai acontecer aqui”.

 

Gerenciamento de Risco

A gestão da Segurança da Informação deve ser, em linhas gerais, um gerenciamento de risco. É aqui que devemos começar se nós queremos entender nossos riscos de Segurança da Informação e comunicá-los melhor em nossas empresas.

Risco é um assunto interessante, envolve insights de psicologia, sociologia e matemática. Quando falamos de riscos de cibersegurança, nós estamos de fato falando de dois pontos: qual a probabilidade de algo ruim acontecer e quanto de dano pode causar.

O dano que estamos falando aqui se materializa em perda de produtividade, perda de oportunidade, questões regulatórias e contratuais e dano à reputação e marca.

O problema é que esses conceitos são abstratos. Eles existem em um futuro que pode não acontecer, e é por isso que algumas empresas acabam não entendendo de fato a questão do risco. Por isso, pode ser interessante e produtivo ver a questão do gerenciamento de risco sob uma outra perspectiva.

Vamos começar com a ideia de que algo só pode ocorrer se as condições permitirem. Independente se estivermos falando de ganhar na loteria ou ter um incidente na rede corporativa, se as condições não permitirem, não vai acontecer. Então, em uma perspectiva totalmente pragmática, estamos no negócio de “gerenciamento de condições”.

Por exemplo, se deixarmos os login e senha default nos roteadores, estamos permitindo as condições que vão levar a incidentes de segurança no futuro. Precisamos aplicar os recursos (tempo, dinheiro e esforço intelectual) de forma que possamos afetar positivamente essas condições, diminuindo a probabilidade de acontecimentos ruins e diminuindo o impacto danoso caso eles ocorram.

Essa abordagem permite uma simplificação da forma como os riscos de segurança são comunicados para as empresas. Devemos evitar uma comunicação muito técnica ao lidar com o gerenciamento mais sênior.

 

Identificando Riscos

Dificilmente alguém estará interessado em saber quantos pacotes maliciosos foram interceptados esse mês. Eles querem saber quais são os riscos ao negócio e como os controles estão sendo implementados para que o risco esteja em níveis aceitáveis.

A TI é uma parte essencial dos nossas vidas diárias, negócios e sociedade. É necessário entender os riscos presentes e aprender como comunicá-los de forma racional, aumentando o engajamento corporativo e apoiando uma boa governança.

Felizmente, existem diversas formas para se aprender a fazer isso. è possível se espelhar em bons frameworks como CIS, ISO, COBIT, SANS, também é possível buscar informações sobre as melhores formas de comunicação em cursos oferecidos pela ISACA, por exemplo.

Ser bom em Ti não é mais o suficiente. É preciso ser bom em riscos e bom e saber explicá-los. Falamos dos incidentes frequentes no início do artigo, lembre-se que em todos esses incidentes ocorre uma tempestade de apontamentos de culpa depois que eles ocorrem.

Se os profissionais de segurança da informação ( que possuem o maior conhecimento, são mais certificados, mais experientes da empresa nesse assunto) falharam em explicar os riscos de forma que o gerenciamento sênior entende e se engaja com eles, eles precisam aceitar sua parte no problema e fazer algo para garantir que ele não ocorra novamente.