Caos: economia digital sem planejamento de segurança

Pesquisa realizada pela IBM em 2018 revelou que entre 2.800 gestores de TI e segurança entrevistados, 77% não contavam com um planejamento estratégico de segurança

Compartilhar:

Responder a ataques digitais é, hoje, parte da rotina de CIOs, CISOs e outros gestores de tecnologia e de negócios. Boa parte desta guerra segue sendo enfrentada sem planejamento. É o que aponta pesquisa realizada pela IBM em 2018: entre 2.800 gestores de TI e segurança entrevistados, 77% não contavam com um planejamento estratégico de segurança.

 

Cerca de 50% reconheceram que suas defesas se baseavam em respostas ad hoc a ataques, dependendo de atitudes informais para serem executadas. O contexto é agravado por outro índice revelado por esta pesquisa: 65% dos entrevistados dizem que a severidade e a inteligência dos ataques estão crescendo.

 

Esse ponto é confirmado pelo relatório anual de ameaças da SonicWall (www.sonicwall.com/ThreatReport). Em 2018, aconteceram 3,9 trilhões de tentativas de invasão em todo o mundo. De 2017 para 2018 houve um aumento de 217,5% de ataques focados em dispositivos IoT e o malware criptografado (transportado pelo tráfego SSL) avançou 27%.

 

Dados como estes são uma realidade e pressionam as empresas a se reinventarem. O grande desafio é que, em plena economia digital, boa parte das empresas ainda pensa a segurança da informação de forma anacrônica e pontual.

 

Hoje, nas principais empresas do planeta, o negócio da empresa é a própria tecnologia – caso do Google, do Facebook, do Uber, da Netflix. Mesmo empresas que não são nativas digitais anseiam por se digitalizar para finalmente alcançar o volume de vendas e de crescimento que só a automação e o autosserviço propiciam.

 

A escolha da tecnologia de segurança e sua implementação é parte deste quadro. Mas antes, durante e depois, é fundamental reinventar processos, treinar funcionários e construir um planejamento de segurança que promova, de forma minuciosa, a preservação dos valores da corporação usuária.

 

LGPD e ISO 27002: ênfase em processos 

 

No Brasil que se prepara para a LGPD (Lei Geral de Proteção de Dados), regulamentação que entrará em vigor em agosto de 2020, o quadro fica ainda mais crítico. Vejo essa data como um Dia D – o deadline para, em caso de fiscalização, apresentar evidências da conformidade da empresa à essa lei. Isso é um incentivo para a transformação das empresas e para o desenvolvimento e implantação de um planejamento de segurança.

 

Vale a pena estudar a possibilidade de somar, à busca de conformidade com a LGPD, a adesão à norma ISO 27002. Esse selo de segurança atesta, por meio de controles automatizados, que cada processo da empresa usuária está alinhado com as melhores práticas de segurança. A conquista do selo ISO 27002 tem data de validade e passa por auditorias regulares – o que contribui para o aprimoramento dos processos de segurança da empresa.

 

Quer tenha trabalhado duro para conseguir o selo ISO 27002, quer apenas invista na reinvenção de seus processos, a empresa precisa dessa visão processual para se manter alinhada à LGPD em longo prazo.

 

O board e a análise de riscos de segurança

 

Todo planejamento de segurança começa com a análise de vulnerabilidades da empresa. O objetivo dessa investigação é identificar os riscos que as várias áreas da empresa enfrentam e, a partir daí, construir um roteiro – o planejamento de segurança – que estabeleça um processo de melhoria contínua do ambiente.

 

Na minha experiência, toda análise de risco provoca um choque de realidade. Percepções mais ou menos otimistas sobre o grau de proteção dos sistemas da empresa são quebradas por um relatório que indica, em detalhes, vulnerabilidades estruturais e elementos indesejáveis que penetraram no ambiente digital da corporação.

 

É comum que as informações geradas pela análise de risco sirvam de evidências para o CISO defender o planejamento de segurança diante do board.

 

A tecnologia é um “ser vivo” em constante transformação e o planejamento de segurança acontece a partir de ciclos que se repetem. O CISO e seu time, com consultoria externa ou não, estão sempre empenhados em levantar os riscos, verificar como mitigar essas falhas, implementar soluções e serviços que diminuam essa vulnerabilidade e monitorar o ambiente para ter certeza de que as soluções de segurança estão sendo efetivas.

 

Ao final desse ciclo, a meta é usar o que foi aprendido com essa batalha para fortalecer o ambiente contra o próximo enfrentamento/ciclo que, com certeza, virá.

 

Liderança do CISO

 

A empresa que se reinventa para ser digital não chegará a lugar algum sem, antes, reavaliar o papel do CISO e de seu time na estrutura organizacional. Responsável pelo planejamento de segurança e pela implantação de controles e de soluções de segurança que garantam a continuidade dos negócios, o CISO é um importante stake holder da empresa digital.

 

Posicionado como líder da segurança dos negócios da empresa, o CISO está empenhado em construir e executar um plano estratégico de segurança que tenha ressonância entre seus iguais (outros executivos C Level) e em todos os níveis hierárquicos da empresa, em seus diversos departamentos. De um bom relacionamento com o RH – o que gerará iniciativas criativas de treinamento e awareness dos funcionários – à parceria com setores de produção, marketing e comercialização, o CISO é o grande guardião do valor da empresa digital.

 

A proteção do valor da marca na economia digital é uma luta diária contra inimigos globais e muito avançados tecnicamente. Nessa jornada, um planejamento de segurança vivo e inovador é uma das chaves do sucesso.

 

*Arley Brogiato é country manager da SonicWall Brasil.

 

Conteúdos Relacionados

Security Report | Destaques

Sistema de Informações do Ministério da Gestão sofre ataque cibernético

O Sistema Eletrônico de informações é responsável por gerir documentos e processos digitalizados, visando promover a eficiência administrativa. Em nota,...
Security Report | Destaques

Polícia Federal abre operação contra ciberataque e fraude na Caixa

Incidente ocorreu em 2020, quando 150 contas bancárias titularizadas de 40 prefeituras pelo país tiveram transações irregulares. Em nota, a...
Security Report | Destaques

Ataque DDoS foi movido por grupo hacktivista, confirma Universidade do Amapá

Incidente ocorrido esta semana havia paralisado as operações digitais da instituição por meio de aumento do tráfego malicioso. Em nota,...
Security Report | Destaques

Bug no controle de falhas possibilitou atualização ruim do Falcon, diz relatório

Em reporte preliminar pós-incidente divulgado hoje (24), a companhia ofereceu mais detalhes do que possibilitou o incidente que paralisou diversos...