O mundo enfrenta um período de recessão, com dólar alto, demissões e pagamento de impostos postergado, entre outros acontecimentos. Todo esse cenário traz um desafio para os CISOs: abraçar a transformação digital para garantir a continuidade e competitividade do negócio, porém com orçamento estável e equipe reduzida. Ou seja, o famoso “fazer mais com menos”. A boa notícia é que é possível otimizar a infraestrutura de segurança da informação que a empresa já possui. Para isso, recomendamos que os gestores de cibersegurança se façam quatro perguntas:
- Qual é o seu plano de segurança da informação?
Se a empresa não tem um plano claro das ações que ela quer e precisa executar em segurança da informação, fica mais difícil fazer uma defesa de orçamento. Esse plano precisa contar com métricas universalmente aceitas, como PCI, Bacen 4658 e LGPD, além daquelas que indicam boas práticas, como ISO 27000, NIST e CIS. Cada um desses frameworks precisa ser inserido em uma régua de nível de maturidade, já que, juntos, todos são capazes de medir o nível de governabilidade e atuação da empresa em segurança da informação.
Esses são os dados que devem estruturar a linguagem de comunicação com o board. É muito importante que o grupo saiba o apetite de risco da organização. Na prática, suponhamos que a sua empresa tenha feito uma avaliação de maturidade de segurança e chegou à conclusão de que está classificada no nível 3 em uma escala de 5, enquanto a sua indústria é nível 4. Nesse cenário, a recomendação é que você apresente um plano para subir para o nível quatro ou atingir o nível máximo. Com esses dados nas mãos de todos, é possível iniciar uma conversa mais madura em torno de alguns questionamentos, como: “Queremos correr o risco de não ser nível 5?”; “Qual é o impacto possível desse nível 5?”; “O que significaria isso para a companhia?”. Dessa forma, cria-se um consenso sobre o apetite de risco da empresa e da disponibilidade de investimentos
- Quais são os riscos da organização?
Toda empresa precisa conhecer em detalhes os seus riscos. Eles podem ser externos, como um hacker ou alguma outra atividade que esteja tentando lucrar com as informações da companhia. Há também as ameaças internas, que podem estar na figura de colaboradores mal intencionados ou de espiões infiltrados na corporação. Todos precisam ser mapeados e coibidos. Mas, para isso, é criar um ciclo virtuoso muito claro de identificação desses riscos, priorização de tratamento das vulnerabilidades, remediação efetiva dos gaps e, naturalmente, revisão contínua desse processo. Isso, tanto nas aplicações, quanto na infraestrutura e na segurança da nuvem. Hoje, existem muitas tecnologias capazes de auxiliar os gestores nesse processo, mas nem sempre elas são bem implementadas. Em alguns casos elas sequer são gerenciadas, apesar de constituírem o nível mais básico de amadurecimento de segurança da informação em qualquer um dos frameworks de segurança?
- Há zonas de superposição?
Muitas empresas têm zonas de superposição. É muito comum de isso acontecer quando se compra várias tecnologias em diferentes momentos da organização, sendo uma de cada marca e para diferentes finalidades e em cada momento da empresa. A superposição se caracteriza quando você adquire duas tecnologias, sendo uma para executar a função A e outra para a B, sem se dar conta de que apenas uma delas está capacitada para executar os dois trabalhos. Ou seja, você paga por algo que nunca foi habilitado.
Dependendo do porte da empresa ou da capacidade dela para lidar com investimentos de segurança, recomenda-se fazer uma avaliação do mapa tecnológico de segurança da informação, tanto do ponto de vista de performance quanto sob a ótica orçamentária de custo e benefício. Ao solicitar a avaliação de um consultor externo, a empresa ganha com a experiência de alguém que trafega entre empresas e vendors, além de se manter sempre atualizado por meio de conferências, atividades educacionais e avaliação de boas práticas, do mercado, de produtos e de benchmarks.
Em geral, as organizações trabalham com uma equipe reduzida de segurança da informação. Muitos desses poucos colaboradores desenvolvem atividades mais operacionais, focadas no negócio, no dia a dia da organização. Dentro dessa dinâmica, fica difícil reservar um tempo para ter uma visão um pouco mais ampla do que acontece da porta para fora. Mas esse complemento de conhecimento pode ser adquirido por meio de um parceiro consultivo, capaz de entender essas zonas de superposições e traçar uma estratégia mais eficiente de aquisições tecnológicas.
- Quem é o responsável pelas ações de cibersegurança?
Muitas vezes, a área de cibersegurança está subordinada a um departamento de infraestrutura de tecnologia ou tecnologia da informação. Faz certo sentido, porque cibersegurança é um componente tecnológico. Porém, considerando o componente risco, seria mais viável se a área estivesse sob a responsabilidade do departamento de compliance da empresa e dialogando direta e constantemente com os líderes de negócio. Essa dinâmica é importante, inclusive para garantir que todo projeto lançado tenha a segurança como pré-requisito. Assim, garante-se a proteção do consumidor da empresa, do usuário do serviço, além da estabilidade dos ambientes. Na prática, um projeto acompanhado pela área de cibersegurança desde o início ganha com baixos custos diante de possíveis gastos com remediação de problemas. Para isso, é importante que se aumente a interação entre os profissionais das áreas para que haja a circulação de informações, como: quais são os novos projetos das áreas de negócios; como segurança pode e deve contribuir; e qual é o orçamento existente. Em geral, é em áreas com mais potencial de crescimento para o negócio que a organização investe boa parte dos seus recursos. Então, é nelas que deve estar a atenção dos times de cibersegurança.
A importância da consultoria externa
De uma maneira geral, as empresas já operam com uma capacidade bastante reduzida de pessoas em segurança da informação, área que ganha bastante destaque pela importância natural e pela chegada da Lei Geral de Proteção de Dados (LGPD). Dessa forma, a recomendação é que a organização mantenha as posições estratégicas de cibersegurança, como as gerenciais e de coordenação, com profissionais que tenham visão estratégica das atividades e das funções essenciais de segurança. Então, considere utilizar um parceiro de serviços que possa ajudar a otimizar a estrutura e atuação. A ideia é que, nessa junção de forças, os gestores tenham mais dados para fazer uma defesa contundente de cibersegurança diante do seu conselho de administração.
É importante lembrar que a LGPD determina que exista um encarregado de dados com capacidade de representação e assinatura dentro da empresa. Já as demais normativas de segurança preveem que as companhias tenham um plano de segurança claro, oficial e aprovado pelo conselho de administração ou um grupo competente.
Caso sua empresa precise de ajuda para uma jornada segura e eficiente de transformação digital, fale conosco.