Há no mercado de segurança da informação uma opinião massificada de que existem dois grandes riscos cibernéticos que podem comprometer a integridade dos dados e do sistema de uma organização: os cibercriminosos, que estão cada vez mais profissionalizados; e os usuários, que podem se dividir entre: os mal intencionados; ou com falta de conhecimento ou conscientização. Porém, convidamos você a refletir sobre um terceiro fator de risco, que, no entender do time da Etek NovaRed, é o mais crítico de todos: os bystanders.
O que é bystander
Na tradução para o português, bystander significa observador ou espectador. Dentro de uma organização, ele se caracteriza na figura de todo profissional responsável pela tomada de decisão nas companhias que não se posiciona no momento adequado e de forma eficiente, mesmo após serem informados dos riscos de não decidir ou visualizar alguns indícios de que algo de errado está prestes a acontecer.
Como identificar um bystander
É possível identificar o comportamento omisso de um bystander em qualquer área da companhia. Pensando exclusivamente em tecnologia e segurança da informação, o bystander pode ser aquele conselheiro que demora para aprovar um projeto, o CEO que não se esforça para que a cultura de proteção de dados faça parte do DNA da companhia ou CISO´s que não estruturam um plano robusto para defender as necessidades de investimento da empresa com foco em proteção contra o risco cibernético. Há, ainda, membros do board que deixam de se aprofundar nesta problemática mandando o assunto para o corner dos problemas a serem evitados.
Os riscos da inércia de decisão
Em organizações nas quais os bystanders dificultam a evolução de projetos de segurança da informação, em geral, perde-se muito dinheiro com ações corretivas, em vez de investir adequadamente nas preventivas. Faz-se o básico, o que é possível. Como se ele fosse suficiente ou adequado. Nessas empresas, é comum a necessidade de liberação de verbas emergenciais e não programadas para corrigir estragos causados por ataques de ransomware, paralisação da operação ou sequestro de dados. Em geral a conta para pela insegurança é brutalmente maior que o investimento em uma ação estruturada e consciente em segurança da informação.
Formas de amenizar esse cenário
Nossa recomendação é que os profissionais de segurança da informação elaborem suas estratégias com base em réguas de maturidade, como as normas ISO 27000, NIST e CIS. Sugerimos, ainda, levar ao conhecimento dos líderes de negócio a necessidade e a importância de estabelecer camadas de proteção no parque tecnológico e aperfeiçoá-las de tempos em tempos. Igualmente é importante separar os ativos mais importantes (as jóias da coroa) e direcionar mais investimento e proteção a estes.
Ao apresentar os planos ao conselho e/ou ao board da companhia, certifiquem-se de estruturá-los com argumentos, dados e fatos sólidos, com atenção especial para incluir informações que revelem o apetite de risco da empresa. Esta, inclusive, deve ser uma das quatro perguntas que o CISO deve fazer na hora de planejar o orçamento da área.
Sabemos o quanto é desafiador para a equipe de segurança da informação conciliar as demandas do dia a dia com ações estratégicas, principalmente com o déficit de mão de obra qualificada e do quadro de colaboradores cada vez mais enxuto. Acreditamos que, em casos como esse, o melhor caminho é contar com um parceiro terceirizado para otimizar a estrutura e atuação do time. Nós podemos te ajudar. Vamos fazer um projeto juntos?