Você sabe o que é segurança da informação?
Segurança da Informação não é apenas alcançado com recursos tecnológicos.
Segurança da Informação é a gestão de Pessoas, Processos e Tecnologia, costumamos esquecer essa tríade e como ela influencia no processo de formação da estratégia para implantação de um sistema de gestão de segurança da informação, cada vez que uma ponta é maior, as outras devem compensar para manter o equilíbrio.
Assim, caso tenhamos pessoas empenhadas e conscientizadas com a segurança da informação, será necessário investir menos em tecnologia.
Segurança da Informação não é apenas aplicação de recursos tecnológicos, é um conjunto de Procedimentos e Controles onde TI certamente tem seu papel importante, mas não é o principal.
Este post se propõe a levantar e discutir pontos importantes sobre a Gestão de Segurança da Informação, como já vimos em diversos outras postagens neste mesmo blog, os esforços de segurança devem estar focados nas pessoas, o processo de treinamento e conscientização é a pedra angular de qualquer boa estratégia de implementação da segurança da informação.
Muitos focam no universo corporativo, poucos se preocupam em tratar aquele colaborador em todos os aspectos de segurança, sejam eles no ambiente corporativo e no ambiente pessoal, a reflexão é simples, o que o colaborador faz em casa, ele fará na empresa.
Devemos sempre nos ater ao problema em sua raiz, venho acompanhando diversas ações de empresas, elas sempre focam no que o colaborador não deve fazer no âmbito corporativo, e vindo com aquela máxima de que a vida pessoal do colaborador não é responsabilidade da empresa e a ela não reflete na vida corporativa, mas a cada dia que passa essas barreiras vem sendo suprimidas, na área de segurança da informação basta contar quantos vazamentos de dados por conta de uma simples selfie.
Há uma série de relatos sobre vazamento de projetos, planos, reuniões, senhas apenas com o clique de uma câmera fotográfica, outros são o envio de documentos confidenciais para o namorado, marido, amigo, para ajudar com uma planilha, apresentação, documento, entre outros.
“Normalmente” quando você conversa com a pessoa descobre-se que não há maldade, a pessoa estava com dificuldade e com vergonha de pedir ajuda ao colega, preferiu pedir ajuda a alguém externo. Para isso vejo muita gente cobrando e julgando alguém não pelas realizações, mas pelos erros.
Como viemos trabalhando para traçar uma área mais consultiva, aberta e comunicativa, não deixando de lado nossa marca e necessidade de honrar com as regras e obrigações que nos são impostas, porém há uma grande diferença em dizer apenas que não deve ser feito, e explicar o motivo pelo qual algo não deve ser feito.
Empresas de todos os ramos estão implementando o Cybersecurity, notamos que em eventos e conversas as pessoas se vangloriam de implementar tal equipe, não que isso seja errado, é uma tendência que possibilita rápida reação! Contudo gostaria que estas mesmas pessoas apresentassem como está a Governança de Segurança da Informação, como estão os controles aplicados e como estão os indicadores destes controles? Há alguma área que consome estas informações e apresenta à Alta Gestão?
O Cybersecurity é uma evolução das metodologias, antecipando-se ao incidente/crise através do monitoramento dos pontos de risco e gerando maior agilidade ao processo de resposta a incidente e de crise. Porém por ser uma evolução devemos se atentar aos passos anteriores, com:
Como você tem realizado o alinhamento estratégico da empresa com o alinhamento estratégico da TI e de SI?
Como são reportados para alta gestão ou executivos da organização os projetos de TI, de SI, de Governança de TI, de Gestão de serviços de TI, etc?
Aqui não vou nem entrar no mérito de Gestão de Risco, Compliance, PCN, DR, Fraude e Auditorias, mas acredito que devemos pensar a respeito desses assuntos, procurar formar uma base forte e consistente, com pessoas preparadas para uma implementação consistente.
Porém das empresas que tive a oportunidade de conhecer internamente, empresas de grande porte com condições e estrutura suficiente para manter, acabam pecando no básico.
Aquele IPS implantado que só teve alguém olhando para ele na sua implementação, o Firewall que a gestão é a criação de uma nova regra e se a regra não funcionar, libera da forma mais permissiva até que funcione o serviços.
Gestão de identidade é algo que foi comprado porque disseram que resolveria todos os problemas, reduziria o número de pessoas para criar e revogar os acessos.
Infelizmente esses erros são recorrentes, há poucas ou nenhuma gestão/controle, assim as empresas vão ficando com seus elefantes brancos na gaveta.
Agora sei que você deve estar se coçando para dizer que o Cybersecurity poderia prover o uso adequado a essas ferramentas. Eu já me pergunto, será que essas ferramentas deveriam mesmo ter sido adquiridas ou conseguiria esperar e na hora de implementar utilizar o recurso como deveria?