Caos: economia digital sem planejamento de segurança

Pesquisa realizada pela IBM em 2018 revelou que entre 2.800 gestores de TI e segurança entrevistados, 77% não contavam com um planejamento estratégico de segurança

Compartilhar:

Responder a ataques digitais é, hoje, parte da rotina de CIOs, CISOs e outros gestores de tecnologia e de negócios. Boa parte desta guerra segue sendo enfrentada sem planejamento. É o que aponta pesquisa realizada pela IBM em 2018: entre 2.800 gestores de TI e segurança entrevistados, 77% não contavam com um planejamento estratégico de segurança.

 

Cerca de 50% reconheceram que suas defesas se baseavam em respostas ad hoc a ataques, dependendo de atitudes informais para serem executadas. O contexto é agravado por outro índice revelado por esta pesquisa: 65% dos entrevistados dizem que a severidade e a inteligência dos ataques estão crescendo.

 

Esse ponto é confirmado pelo relatório anual de ameaças da SonicWall (www.sonicwall.com/ThreatReport). Em 2018, aconteceram 3,9 trilhões de tentativas de invasão em todo o mundo. De 2017 para 2018 houve um aumento de 217,5% de ataques focados em dispositivos IoT e o malware criptografado (transportado pelo tráfego SSL) avançou 27%.

 

Dados como estes são uma realidade e pressionam as empresas a se reinventarem. O grande desafio é que, em plena economia digital, boa parte das empresas ainda pensa a segurança da informação de forma anacrônica e pontual.

 

Hoje, nas principais empresas do planeta, o negócio da empresa é a própria tecnologia – caso do Google, do Facebook, do Uber, da Netflix. Mesmo empresas que não são nativas digitais anseiam por se digitalizar para finalmente alcançar o volume de vendas e de crescimento que só a automação e o autosserviço propiciam.

 

A escolha da tecnologia de segurança e sua implementação é parte deste quadro. Mas antes, durante e depois, é fundamental reinventar processos, treinar funcionários e construir um planejamento de segurança que promova, de forma minuciosa, a preservação dos valores da corporação usuária.

 

LGPD e ISO 27002: ênfase em processos 

 

No Brasil que se prepara para a LGPD (Lei Geral de Proteção de Dados), regulamentação que entrará em vigor em agosto de 2020, o quadro fica ainda mais crítico. Vejo essa data como um Dia D – o deadline para, em caso de fiscalização, apresentar evidências da conformidade da empresa à essa lei. Isso é um incentivo para a transformação das empresas e para o desenvolvimento e implantação de um planejamento de segurança.

 

Vale a pena estudar a possibilidade de somar, à busca de conformidade com a LGPD, a adesão à norma ISO 27002. Esse selo de segurança atesta, por meio de controles automatizados, que cada processo da empresa usuária está alinhado com as melhores práticas de segurança. A conquista do selo ISO 27002 tem data de validade e passa por auditorias regulares – o que contribui para o aprimoramento dos processos de segurança da empresa.

 

Quer tenha trabalhado duro para conseguir o selo ISO 27002, quer apenas invista na reinvenção de seus processos, a empresa precisa dessa visão processual para se manter alinhada à LGPD em longo prazo.

 

O board e a análise de riscos de segurança

 

Todo planejamento de segurança começa com a análise de vulnerabilidades da empresa. O objetivo dessa investigação é identificar os riscos que as várias áreas da empresa enfrentam e, a partir daí, construir um roteiro – o planejamento de segurança – que estabeleça um processo de melhoria contínua do ambiente.

 

Na minha experiência, toda análise de risco provoca um choque de realidade. Percepções mais ou menos otimistas sobre o grau de proteção dos sistemas da empresa são quebradas por um relatório que indica, em detalhes, vulnerabilidades estruturais e elementos indesejáveis que penetraram no ambiente digital da corporação.

 

É comum que as informações geradas pela análise de risco sirvam de evidências para o CISO defender o planejamento de segurança diante do board.

 

A tecnologia é um “ser vivo” em constante transformação e o planejamento de segurança acontece a partir de ciclos que se repetem. O CISO e seu time, com consultoria externa ou não, estão sempre empenhados em levantar os riscos, verificar como mitigar essas falhas, implementar soluções e serviços que diminuam essa vulnerabilidade e monitorar o ambiente para ter certeza de que as soluções de segurança estão sendo efetivas.

 

Ao final desse ciclo, a meta é usar o que foi aprendido com essa batalha para fortalecer o ambiente contra o próximo enfrentamento/ciclo que, com certeza, virá.

 

Liderança do CISO

 

A empresa que se reinventa para ser digital não chegará a lugar algum sem, antes, reavaliar o papel do CISO e de seu time na estrutura organizacional. Responsável pelo planejamento de segurança e pela implantação de controles e de soluções de segurança que garantam a continuidade dos negócios, o CISO é um importante stake holder da empresa digital.

 

Posicionado como líder da segurança dos negócios da empresa, o CISO está empenhado em construir e executar um plano estratégico de segurança que tenha ressonância entre seus iguais (outros executivos C Level) e em todos os níveis hierárquicos da empresa, em seus diversos departamentos. De um bom relacionamento com o RH – o que gerará iniciativas criativas de treinamento e awareness dos funcionários – à parceria com setores de produção, marketing e comercialização, o CISO é o grande guardião do valor da empresa digital.

 

A proteção do valor da marca na economia digital é uma luta diária contra inimigos globais e muito avançados tecnicamente. Nessa jornada, um planejamento de segurança vivo e inovador é uma das chaves do sucesso.

 

*Arley Brogiato é country manager da SonicWall Brasil.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

TRE da Bahia protege sistemas com jornada Zero Trust

O Tribunal Regional Eleitoral adotou o modelo Zero Trust em parceria com a Cisco, implementando estratégias de MFA com...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo a TV Justiça, a Sociedade Esportiva Palmeiras, o Porto de Santos,...
Security Report | Destaques

Regulação da IA: Brasil deve seguir projeto próprio de governança?

Debate voltou aos holofotes com o questionamento se os países devem investir especificamente em regulações que levem em consideração a...
Security Report | Destaques

Ataque cibernético impacta serviços da Unimed 

Em nota, a cooperativa do Vale do Taquari e Rio Pardo afirmou que investiga o incidente cibernético ocorrido nesta terça-feira...