Não se deixe levar pelo compliance. Foi com essa mensagem que Claudio Neiva, diretor de Pesquisas do Gartner, abriu a Conferência de Segurança e Gestão de Riscos do Instituto, que ocorre hoje (02) em São Paulo. A partir de um case fictício de uma empresa de seguros, Neiva explicou como o mundo digital está modificando os modelos de negócios, trazendo novas oportunidades e riscos consequentemente. Segundo o executivo, o modelo tradicional de segurança não supre a complexidade da digitalização, exigindo dos CSOs uma estratégia de SI que vá muito além do “check in box”.
O Gartner estima que, até 2020, cerca de 60% das empresas irão falhar por não conseguir administrar as brechas existentes em suas companhias. Por conta disso, os modelos de segurança não devem ser centralizados em prevenção, mas em resiliência e resposta a incidentes. “As organizações não são boas em detecção, pois levam em média 205 dias para mapear uma ameaça. Por essa e outras razões, devemos melhorar a forma como vamos responder ao evento, minimizando o impacto para a corporação”, explica.
Segundo Neiva, a maioria dos profissionais de segurança hoje aplica um pensamento baseado em ameaças, quando este deveria ser motivado pelos riscos. “O CSO deve identificar as estratégias para minimizar os riscos. Para isso, é importante discutir com a própria equipe, destacando os principais e validá-los. Devemos ser parte da solução, não do problema”, pontuou.
Para tratar deste tema é preciso estar junto ao Conselho corporativo, cabendo ao CSO elaborar um plano com linguagem adequada a ponto que o corpo diretivo consiga compreender corretamente os riscos, as opções e quais devem ser assumidos. “O importante é se mostrar ciente deles, mencionar as estratégias para lidar com cada um e seguir a orientação de quais serão admitidos pela companhia”, completa.
Cabe também ao CSO alcançar um lugar no desenvolvimento dos novos projetos. O conceito de Security by Design foi amplamente mencionado como fundamental para o aculturamento de uma companhia, mostrando que a segurança deve estar inserida já na concepção de um novo trabalho. “Se o profissional de SI é chamado posteriormente à produção inicial é sinal de que algo está errado e que o processo preciso ser revisto”, observa Neiva.
Ameaças internas
Em todo o mundo, é impressionante como as ameaças internas aumentam no âmbito corporativo. Segundo Avivah Litan, Vice-Presidente e Analista Emérito do Gartner, houve um crescimento de 70% no número de ocorrências no último ano. No entanto, embora a quantidade de casos seja cada vez mais crítica, as organizações insistem em não dar foco a esse problema.
A especialista disse que a dark web é a principal via de recrutamento dos chamados “insiders”. São eles quem ajudam cibercriminosos a facilitar a entrada de malware nas companhias, seja monitorando o comportamento dos alvos ou até mesmo encontrando um caminho para que este seja vítima de uma engenharia social. Os métodos de recrutamento vão desde os colaboradores que têm pouco privilégio na rede até aos que têm acesso a dados extremamente sensíveis.
Além das ameaças internas, os CEOs estão tendo que lidar com outros desafios diante da digitalização: a velocidade para se manter competitivo. Isso, consequentemente eleva a quantidade de riscos os quais as instituições ficam expostas. Para se ter uma ideia, 77% dos novos modelos de negócios estão trazendo novos tipos de ameaças. Em compensação, 65% das estratégias de gerenciamento de risco estão falhando.
“As tecnologias não conseguem proteger 100% dos ambientes, por isso a importância do gerenciamento de Risco. As empresas precisam escolher quais riscos irão assumir. O que diferencia um CEO bem-sucedido de um malsucedido é sua habilidade em admitir os riscos certos”, finaliza John Wheeler, diretor de Pesquisas do Gartner.
