Voltar ao topo.Ver em Libras.

Economia digital sem planejamento de segurança: convite ao caos#

« Última» Primeira🛈
ImprimirReportar erroTags:responder, investigação, pedra, fase, contínua, melhoria, estabeleça e roteiro961 palavras15 min. para ler
Economia digital sem planejamento de segurança: convite ao caosVer imagem ampliada
Responder a ataques digitais é, hoje, parte da rotina de CIOs, CISOs e outros gestores de tecnologia e de negócios. Boa parte desta guerra segue sendo realizada sem planejamento – pegos de surpresa ou contando com munição insuficiente para as várias frentes de batalha, muitos gestores reagem ao cibercrime de forma pontual e somente após terem identificado o ataque.

Conforme a natureza da violação, isso pode levar segundos ou meses. Esse quadro é descrito por uma pesquisa realizada pela IBM em 2018: entre 2,8 mil gestores de TI e segurança entrevistados, 77% não contavam com um planejamento estratégico de segurança. Cerca de 50% reconheceram que suas defesas se baseavam em respostas ad hoc a ataques, dependendo de atitudes informais para serem executadas. O contexto é agravado por outro índice revelado por esta pesquisa: 65% dos entrevistados dizem que a severidade e a inteligência dos ataques estão crescendo.

Esse ponto é confirmado pelo relatório anual de ameaças da SonicWall. Em 2018, aconteceram 3,9 trilhões de tentativas de invasão em todo o mundo. De 2017 para 2018 houve um aumento de 217,5% de ataques focados em dispositivos IoT e o malware criptografado (transportado pelo tráfego SSL) avançou 27%. O Brasil é um dos principais alvos de ataques: somente em março, o SonicWall Capture Labs Research identificou um malware disfarçado de extensão do Chrome, fortemente focado no nosso mercado.

Dados como estes são uma realidade e pressionam as empresas a se reinventarem. O grande desafio é que, em plena economia digital, boa parte das empresas ainda pensa a segurança da informação de forma anacrônica e pontual.

Hoje, nas principais empresas do planeta, o negócio da empresa é a própria tecnologia – caso do Google, do Facebook, do Uber, da Netflix. Mesmo empresas que não são nativas digitais anseiam por se digitalizar para finalmente alcançar o volume de vendas e de crescimento que só a automação e o autosserviço propiciam.

A escolha da tecnologia de segurança e sua implementação é parte deste quadro. Mas antes, durante e depois, é fundamental reinventar processos, treinar funcionários e construir um planejamento de segurança que promova, de forma minuciosa, a preservação dos valores da corporação usuária.

LGPD e ISO 27002: ênfase em processos

No Brasil que se prepara para a LGPD (Lei Geral de Proteção de Dados), regulamentação que entrará em vigor em agosto de 2020, o quadro fica ainda mais crítico. Vejo essa data como um Dia D – o deadline para, em caso de fiscalização, apresentar evidências da conformidade da empresa à essa lei. Isso é um incentivo para a transformação das empresas e para o desenvolvimento e implantação de um planejamento de segurança.

Vale a pena estudar a possibilidade de somar, à busca de conformidade com a LGPD, a adesão à norma ISO 27002. Esse selo de segurança atesta, por meio de controles automatizados, que cada processo da empresa usuária está alinhado com as melhores práticas de segurança. A conquista do selo ISO 27002 tem data de validade e passa por auditorias regulares – o que contribui para o aprimoramento dos processos de segurança da empresa.

Quer tenha trabalhado duro para conseguir o selo ISO 27002, quer apenas invista na reinvenção de seus processos, a empresa precisa dessa visão processual para se manter alinhada à LGPD no longo prazo.

O board e a análise de riscos de segurança

Todo planejamento de segurança começa com a análise de vulnerabilidades da empresa. O objetivo dessa investigação é identificar os riscos que as várias áreas da empresa enfrentam e, a partir daí, construir um roteiro – o planejamento de segurança – que estabeleça um processo de melhoria contínua do ambiente.

A fase de análise de risco é a pedra fundamental de uma boa estratégia de segurança; os dados surgidos daí serão usados para construir o planejamento propriamente dito e, também, definir as prioridades de investimentos e ações.

Na minha experiência, toda análise de risco provoca um choque de realidade. Percepções mais ou menos otimistas sobre o grau de proteção dos sistemas da empresa são quebradas por um relatório que indica, em detalhes, vulnerabilidades estruturais e elementos indesejáveis que penetraram no ambiente digital da corporação.

É comum que as informações geradas pela análise de risco sirvam de evidências para o CISO defender o planejamento de segurança diante do board.

A tecnologia é um "ser vivo” em constante transformação e o planejamento de segurança acontece a partir de ciclos que se repetem. O CISO e seu time, com consultoria externa ou não, estão sempre empenhados em levantar os riscos, verificar como mitigar essas falhas, implementar soluções e serviços que diminuam essa vulnerabilidade e monitorar o ambiente para ter certeza de que as soluções de segurança estão sendo efetivas.

Ao final desse ciclo, a meta é usar o que foi aprendido com essa batalha para fortalecer o ambiente contra a próxima batalha que, com certeza, virá.

Liderança do CISO

A empresa que se reinventa para ser digital não chegará a lugar algum sem, antes, reavaliar o papel do CISO e de seu time na estrutura organizacional. Responsável pelo planejamento de segurança e pela implantação de controles e de soluções de segurança que garantam a continuidade dos negócios, o CISO é um importante stake holder da empresa digital.

Posicionado como líder da segurança dos negócios da empresa, o CISO está empenhado em construir e executar um plano estratégico de segurança que tenha ressonância entre seus iguais (outros executivos C Level) e em todos os níveis hierárquicos da empresa, em seus diversos departamentos. De um bom relacionamento com o RH – o que gerará iniciativas criativas de treinamento e awareness dos funcionários – à parceria com setores de produção, marketing e comercialização, o CISO é o grande guardião do valor da empresa digital.

A proteção do valor da marca na economia digital é uma luta diária contra inimigos globais e muito avançados tecnicamente. Nessa jornada, um planejamento de segurança vivo e inovador é uma das chaves do sucesso.

Fonte:https://cio.com.br/economia-digital-sem-planejamento-de-seguranca-convite-ao-caos/