Um dilema para líderes em diversas corporações é descobrir os motivos de a segurança da informação ter se tornado um dos maiores desafios já enfrentado. Poderíamos listar aqui como principais causas as novas ameaças cada vez mais sofisticadas e em maior número, a complexidade dos ambientes das empresas somada a uma crescente variedade de tecnologias ou a falta de capacitação das equipes responsáveis pelos serviços administrados e pela proteção dos ambientes. Ainda poderíamos culpar o baixo índice de conscientização dos colaboradores sobre a importância da informação, aliado à ausência de processos e procedimentos. Porém, a verdade é que não existe uma resposta correta para esta pergunta.
A grande questão na prática é de fato superar este desafio, mas isso é muito mais difícil e complexo do que saber a raiz da questão. Isso porque são inúmeras variáveis que compõem este cenário, e o caminho que leva ao sucesso das iniciativas deve levar em conta todas as variáveis e, então, traçar estratégias para que o controle dos agentes e ambientes minimize os riscos de incidentes.
É importante implementar controles internos e regras claras de compliance, que devem estar em linha com a legislação e ser adotados como uma oportunidade de aperfeiçoamento dos parâmetros de mercado e negócios, além de serem um guia de padrões éticos de controles, conferindo transparência à organização e controle de acesso às informações.
A gestão está associada à diminuição da incerteza em relação a eventos futuros, no caso da segurança da informação de incidentes no ambiente virtual, seja por contaminação de vírus, ataques hackers, sequestro de informações, entre muitos outros riscos cibernéticos. O controle também pode aumentar a eficácia das operações, por meio da diminuição de custos ou de tempo de execução de processos ineficientes e não estruturados.
Para isso, é preciso implementar ainda uma metodologia de monitoramento, com sistemas inteligentes que promovam o acompanhamento sistemático de algumas variáveis, nos quais se avalia se os objetivos estão sendo alcançados, se os limites estabelecidos estão sendo cumpridos e se eventuais falhas estão sendo prontamente identificadas e corrigidas. Os agentes críticos a serem obrigatoriamente avaliados nos processos de segurança da informação são: ameaças, processos, indicadores e pessoas, o agente mais crítico.
As ameaças talvez sejam a variável mais óbvia desta lista, pois, normalmente, é o principal foco da maioria das equipes de segurança cibernética. Com o aumento do número de aplicações disponíveis, principalmente devido ao surgimento de dispositivos móveis inteligentes (smartphones e tablets) atualmente, as ameaças se multiplicam a uma velocidade exponencial e, quanto maior este número, maior é o número de malwares que tentam explorar cada uma dessas ameaças. A sofisticação e a velocidade com a qual estes malwares são desenvolvidos é o que torna o controle das ameaças um processo nada fácil de ser executado.
O segundo item de nossa lista de variáveis é um dos mais relevantes para o controle de ameaças cibernéticas, trata-se da definição e implementação de processos de resposta à incidentes, com etapas bem estabelecidas e regras a serem cumpridas, já que é por meio dele que é possível organizar e definir como as ameaças devem ser mitigadas dentro da organização. Muitas instituições falham nesta questão, pois não possuem metodologias definidas e viáveis para conter incidentes de segurança.
O terceiro item da lista é a variável a qual as áreas de segurança da informação conferem menor grau de criticidade, uma visão que pode ser fatal, pois, por meio de indicadores bem definidos, podemos avaliar se nossos controles (tecnológicos ou não), processos e procedimentos são efetivos e eficazes. Trata-se de um critério que permite mensurar se a estratégia de segurança da informação de uma empresa é assertiva ou não.
Por fim, a quarta variável é a mais importante, pois é o elo mais fraco da corrente no processo de proteção dos dados, que é o fator humano. Uma equipe sem a capacitação adequada, com colaboradores pouco conscientizados é, sem dúvida nenhuma, o maior desafio de uma organização que busca excelência e eficiência na proteção de suas informações.
Não existe uma receita pronta a se aplicar para superar todos os desafios da segurança da informação, porém, para obter sucesso nas iniciativas, algumas questões devem ser consideradas, são elas: capacitação da área de segurança da informação e de todos os colaboradores em um processo contínuo, definição de uma metodologia a ser seguida, alinhamento com a gestão da companhia e com os objetivos de negócios, mensurar as iniciativas. Além disso, é importante possuir um conjunto de soluções tecnológicas que não só protejam os ambientes virtuais, mas também possuam mecanismos de resposta rápida e eficaz a incidentes.
É impossível prever quando, como e onde será realizado um novo ataque como o Petya e o Wannacry, mas é possível estar preparado para evitar ataques e, se não em sua totalidade, conseguir mitigar os desdobramentos destes incidentes, que, além de danos à reputação, podem resultar em perdas financeiras, de marca e mercado.
Garantir a segurança da informação de uma organização é um processo continuo que deve ser reavaliado e reajustado de acordo com as constantes mudanças do cenário em todo o mundo. O gerenciamento de risco consiste em trabalhar com conclusões suficientes de premissas insuficientes, já que não podemos prever eventos futuros e que certamente ocorrerão.
Por Rodrigo Cavalcante de Souza – Sócio e Diretor de Tecnologia da Security4IT