Muito se fala sobre segurança da informação em todo o mundo, mas até que ponto estamos realmente preocupados (todos) e interessados em fazer bons investimentos e não apenas gastos?

Parece uma pergunta simples, mas não é, afinal a maioria das empresas acredita que investe em segurança da informação.

Continuidade de negócio

Nos últimos meses muito se falou sobre a lei intitulada Carolina Dieckman. Falou-se sobre a espionagem dos EUA e outros assuntos que não ganharam tanta relevância. A impressão que fica é de que sempre estivemos preocupados e de que agora nos preocupamos muito mais com isso.

Estamos vivendo uma situação muito parecida com a que tivemos na virada do ano de 1999 para 2000. Situação também parecida no pós-ataques de 11 de setembro, onde a tendência foram os planos de continuidade de negócio.

Acompanho de perto muitas discussões e projetos de segurança, e percebo que continuamos caminhando para “gastar” em segurança da informação. Isto é, “gastar” e não “investir” em segurança da informação. Se fosse para listar os principais motivadores para isso seriam:

Motivadores

  1. A falta de conscientização das empresas quanto a segurança ser um investimento e um fator estratégico, e não um gasto em TI;
  2. A falta de executivos que realmente conhecem cenários de riscos, segurança física e tecnológica. Além do pouco conhecimento em infra-estrutura, planos de continuidade de negócios, fraudes e legislação;
  3. A falta de conscientização do mercado de que segurança não é comprar hardware ou software. Se preocupar apenas com patches e regras de firewall, ou querer que segurança fique dentro da área de TI;
  4. Entender que para investir é preciso conhecer o cenário e tudo que o cerca. Entender que ocultar os riscos a que a empresa está exposta mesmo depois de já ter feito um investimento não é desmerecimento ao que já foi realizado;
  5. Entender que o ser humano é o elo mais fraco e é a camada de segurança mais vulnerável. Por isto, é necessário o investimento em treinamentos de conscientização, constantemente. Além disso soluções “realmente” necessárias e mais efetivas.

Me assusta a forma como a iniciativa privada e governo tratam assuntos dessa relevância. Recentemente vimos a decisão do governo em investir em assinatura digital para a criptografia de e-mails, e de novo, assusta…

Decisões tomadas com embasamento em grandes quantidades de dinheiro ou sem entender realmente o que levou ao incidente não resolvem!

Basta parar, estudar e refletir, mesmo que muito rapidamente, sobre os casos já ocorridos. Assim veremos que se fosse apenas questão de grandes investimentos em dinheiro muitas grandes empresas nunca teriam sido invadidas! Como já aconteceu por todo o mundo e até mesmo agências de governo norte americanas.

Vivemos com um conceito errado com relação à segurança da informação. Muitos profissionais sequer sabem o quão grande é essa área ou o que ela deve realmente fazer.

O cenário atual das empresas brasileiras

O mercado de forma geral trata um hacker como sendo uma pessoa maliciosa e sem ética alguma. Assim empresas adquirem soluções de hardware ou software e acham que estão seguras. Colaboradores não são treinados, não existem planos de contingência na maioria das empresas, o ego de muitos profissionais fala mais alto e fatos relevantes não são levados a alta diretoria ou presidência…

Enfim, esse é nosso cenário real, um cenário de caos para a maioria das empresas, independente do seu tamanho. Como informação para aqueles que gostam, para curiosos ou mesmo para profissionais de áreas diversas, o que foi feito com o governo brasileiro mostra algo que ocorre todos os dias, e que vai muito além de ter acesso a alguns e-mails.

Falamos de ver uma tela em tempo real, de ativar microfones e ouvir o som do ambiente, de fraudar todo e qualquer sistema. De retirar arquivos diversos de estações e servidores, de descobrir milhares de senhas complexas em poucos minutos, e muito mais.

Tudo isso ocorre sem que um anti-vírus ou regra de firewall sejam desativadas ou alteradas. Tudo isso acontece embaixo do nariz de muitas empresas que monitoram a segurança de outras empresas. Tudo isso, a todo o tempo. Esse sim é nosso cenário real, e sabem onde tudo isso começa? Nas pessoas…

É necessária sim, uma mudança e, para isso, é preciso que todos os pontos acima sejam levados em consideração. Também é preciso que tenhamos realmente vontade e coragem de estabelecer um “cronograma” sério sobre o tema. Seja isso em uma empresa ou no governo.

Mudanças necessárias

Deixemos de lado o ego quando responsáveis pela área de segurança e estejamos dispostos a tratar segurança como um fator estratégico – o que ela deve ser – mesmo que para isso seja necessário comprometer de certa forma nossa posição, mas tendo em vista que isso é reversível e positivo.

Deixemos de lado ações como a do governo de investir milhões para criptografar e-mails, quando o problema pode estar, e aposto que está em outro lugar. Deixemos de lado premiações baseadas em indicação de pessoas, e tratemos nosso cenário com base na efetividade e seriedade.

Ter segurança da informação de uma forma efetiva significa manter o sigilo, a integridade e a disponibilidade das informações, e mais do que isso, significa não permitir que executivos sejam alvos do crime organizado, que segredos não vazem, que o plano de negócios não seja impactado, que a legislação ou regras de órgãos reguladores sejam seguidos, que auditorias efetivas sejam realizadas, que os acionistas tenham o que buscam, que lucros maiores sejam gerados, que empregos sejam mantidos e que, acima de tudo, a imagem da empresa seja preservada, dentre muitos outros.

Como gestor de uma empresa não gostaria de investir alto na aprovação do orçamento da área e depois ser surpreendido por um incidente, simplesmente porque alguém resolveu que não colocar sua posição em check era mais importante do que garantir o sucesso do negócio e a sustentabilidade de um todo.

E você?