Ao longo da minha carreira tenho visto empresas avançarem e outras despencarem no quesito da maturidade de segurança. Diante disso, comecei a raciocinar o motivo que leva o mercado brasileiro ser imaturo quanto a considerar o assunto de cibersegurança como um tema importante no board. Infelizmente quando a foto de segurança não está muito boa ou estamos perdidos da real visão da maturidade de segurança, é comum pegarmos atalhos e isto acaba impedindo o amadurecimento e desenvolvimento da área.
Claro que nenhum profissional de segurança quer passar por um incidente, mas se ocorrer, como será a sua reação? Fato, que sofrer um incidente toda empresa está sujeita, pois tem uma questão que precisamos ter em mente: uma organização é composta por pessoas e as pessoas são o elo mais fraco da cadeia.
Considerando que o sofrimento diante de um incidente de segurança grave pode ocasionar resultados desastrosos para a organização, como foi o caso da Equifax e Capital One, entre outras organizações que sofreram data leak (breach). Além disso, um incidente desta amplitude pode elevar a maturidade desejada, desde que os executivos abracem a causa da cibersegurança no peito e o time de segurança esteja preparado para aplicar um plano de ação.
Pense no caso da vacina que tomamos contra à gripe ou sarampo. Ela nos deixa mais fortes e resilientes contra o vírus e às vezes precisamos passar pelo teste da vacina para ir ao encontro da resiliência. Pelo amor de Deus, não estou sendo hipócrita em dizer que passar por um incidente de segurança é bem visto, mas estamos sujeitos a enfrentar este tipo de evento, claro que este é um assunto que o board não gostaria de ouvir de você e sim sobre o ROI a respeito do budget que foi lhe dado para implantar uma medida de proteção. Por hora, é neste momento que ser articulado e saber como defender uma situação contando uma boa história será capaz de convencer os executivos a importância que a cibersegurança deve sempre fazer pauta do conselho e comitê executivo.
No decorrer deste ano temos visto discursões sobre a implantação da LGPD e muitas empresas a mil por hora em busca da aderência, mas ainda a porcentagem é pouca das empresas que estão avançando com o assunto. Por isso que recentemente uma PL foi colocada em pauta para postergar a vigência e entrada da LGPD. Infelizmente, mas uma vez vemos o jeitinho brasileiro em ação, mas sou humilde em reconhecer que o mercado brasileiro não está ainda tão preparado para recepcionar o assunto “Privacidade, assim como aconteceu na época do PCI-DSS, no qual as bandeiras VISA e MASTERCAD resolveram estender o prazo para que todos ficassem em conformidade em um tempo hábil, aqui é visível que a LGPD tende a seguir o mesmo caminho.
Diante deste cenário, devemos estar preparados com um bom plano de incidentes de segurança in place, um planejamento de crise testado e aprovado. Em outras palavras, devemos aprender com os nossos erros e não permanecer no mesmo ponto, ou avançamos para um próximo nível ou nos manteremos no mesmo estágio. A jornada na cibersegurança é um estilo de vida, ou você anda com ela diariamente e vai ajustando seus controles, suas ferramentas, treinando seus colaboradores ou será uma montanha russa com destino abaixo.
Para finalizar, gostaria de esmiuçar algumas medidas para uma situação de crise:
Portanto, o caminho preventivo é sempre a melhor escolha a se fazer, além de aprender com os erros tornará a segurança mais eficaz e com isso vai gerar resultados visíveis para o negócio. Veja que todos os heróis da fé e grande líderes foram flexíveis e incisivos, pois tinham uma visão clara do seu alvo, não importava a situação e a sua ótica era sempre na perspectiva de uma águia, visando o todo por cima e evidentemente encontravam uma solução para o problema.
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
Texto: