Responder a ataques digitais é, hoje, parte da rotina de CIOs, CISOs e outros gestores de tecnologia e de negócios. Boa parte desta guerra segue sendo enfrentada sem planejamento. É o que aponta pesquisa realizada pela IBM em 2018: entre 2.800 gestores de TI e segurança entrevistados, 77% não contavam com um planejamento estratégico de segurança.
Cerca de 50% reconheceram que suas defesas se baseavam em respostas ad hoc a ataques, dependendo de atitudes informais para serem executadas. O contexto é agravado por outro índice revelado por esta pesquisa: 65% dos entrevistados dizem que a severidade e a inteligência dos ataques estão crescendo.
Esse ponto é confirmado pelo relatório anual de ameaças da SonicWall (www.sonicwall.com/ThreatReport). Em 2018, aconteceram 3,9 trilhões de tentativas de invasão em todo o mundo. De 2017 para 2018 houve um aumento de 217,5% de ataques focados em dispositivos IoT e o malware criptografado (transportado pelo tráfego SSL) avançou 27%.
Dados como estes são uma realidade e pressionam as empresas a se reinventarem. O grande desafio é que, em plena economia digital, boa parte das empresas ainda pensa a segurança da informação de forma anacrônica e pontual.
Hoje, nas principais empresas do planeta, o negócio da empresa é a própria tecnologia – caso do Google, do Facebook, do Uber, da Netflix. Mesmo empresas que não são nativas digitais anseiam por se digitalizar para finalmente alcançar o volume de vendas e de crescimento que só a automação e o autosserviço propiciam.
A escolha da tecnologia de segurança e sua implementação é parte deste quadro. Mas antes, durante e depois, é fundamental reinventar processos, treinar funcionários e construir um planejamento de segurança que promova, de forma minuciosa, a preservação dos valores da corporação usuária.
LGPD e ISO 27002: ênfase em processos
No Brasil que se prepara para a LGPD (Lei Geral de Proteção de Dados), regulamentação que entrará em vigor em agosto de 2020, o quadro fica ainda mais crítico. Vejo essa data como um Dia D – o deadline para, em caso de fiscalização, apresentar evidências da conformidade da empresa à essa lei. Isso é um incentivo para a transformação das empresas e para o desenvolvimento e implantação de um planejamento de segurança.
Vale a pena estudar a possibilidade de somar, à busca de conformidade com a LGPD, a adesão à norma ISO 27002. Esse selo de segurança atesta, por meio de controles automatizados, que cada processo da empresa usuária está alinhado com as melhores práticas de segurança. A conquista do selo ISO 27002 tem data de validade e passa por auditorias regulares – o que contribui para o aprimoramento dos processos de segurança da empresa.
Quer tenha trabalhado duro para conseguir o selo ISO 27002, quer apenas invista na reinvenção de seus processos, a empresa precisa dessa visão processual para se manter alinhada à LGPD em longo prazo.
O board e a análise de riscos de segurança
Todo planejamento de segurança começa com a análise de vulnerabilidades da empresa. O objetivo dessa investigação é identificar os riscos que as várias áreas da empresa enfrentam e, a partir daí, construir um roteiro – o planejamento de segurança – que estabeleça um processo de melhoria contínua do ambiente.
Na minha experiência, toda análise de risco provoca um choque de realidade. Percepções mais ou menos otimistas sobre o grau de proteção dos sistemas da empresa são quebradas por um relatório que indica, em detalhes, vulnerabilidades estruturais e elementos indesejáveis que penetraram no ambiente digital da corporação.
É comum que as informações geradas pela análise de risco sirvam de evidências para o CISO defender o planejamento de segurança diante do board.
A tecnologia é um “ser vivo” em constante transformação e o planejamento de segurança acontece a partir de ciclos que se repetem. O CISO e seu time, com consultoria externa ou não, estão sempre empenhados em levantar os riscos, verificar como mitigar essas falhas, implementar soluções e serviços que diminuam essa vulnerabilidade e monitorar o ambiente para ter certeza de que as soluções de segurança estão sendo efetivas.
Ao final desse ciclo, a meta é usar o que foi aprendido com essa batalha para fortalecer o ambiente contra o próximo enfrentamento/ciclo que, com certeza, virá.
Liderança do CISO
A empresa que se reinventa para ser digital não chegará a lugar algum sem, antes, reavaliar o papel do CISO e de seu time na estrutura organizacional. Responsável pelo planejamento de segurança e pela implantação de controles e de soluções de segurança que garantam a continuidade dos negócios, o CISO é um importante stake holder da empresa digital.
Posicionado como líder da segurança dos negócios da empresa, o CISO está empenhado em construir e executar um plano estratégico de segurança que tenha ressonância entre seus iguais (outros executivos C Level) e em todos os níveis hierárquicos da empresa, em seus diversos departamentos. De um bom relacionamento com o RH – o que gerará iniciativas criativas de treinamento e awareness dos funcionários – à parceria com setores de produção, marketing e comercialização, o CISO é o grande guardião do valor da empresa digital.
A proteção do valor da marca na economia digital é uma luta diária contra inimigos globais e muito avançados tecnicamente. Nessa jornada, um planejamento de segurança vivo e inovador é uma das chaves do sucesso.
*Arley Brogiato é country manager da SonicWall Brasil.
