Desde que as áreas de Segurança da Informação ganharam mais visibilidade no mundo corporativo, os profissionais de SI estavam acostumados a lidar com determinados conceitos compreendidos, até então, como verdades: que a prevenção é melhor que a cura, o fator humano é o elo mais fraco da cadeia e a tendência em dizer não para a área de negócios. E foi para falar da necessidade na mudança de comportamento dos colaboradores de Segurança que Claudio Neiva, diretor de Pesquisa do Gartner, subiu ao palco do Ciab, que teve início hoje (21) em São Paulo.
Abrindo a programação dedicada à Segurança da Informação, o especialista ressaltou a importância dos profissionais se adaptarem rapidamente às novas demandas exigidas pelos modelos de negócios digitais. Essa transformação precisa vir de dentro, fazer parte do comportamento deles e ainda vir acompanhada de novos princípios, que necessitam ser seguidos por todos os colaboradores da área. “Durantes anos, essas verdades guiavam os profissionais de Segurança, mas elas precisam ser revistas, porque o mundo mudou”, disse Neiva.
Prevenção versus Resposta a incidentes
O primeiro conceito é de que a prevenção é melhor do que a cura. Para explicar, Neiva fez uma analogia com a nossa própria saúde. “Partimos daquele princípio que se nos alimentarmos bem estaremos menos suscetíveis a doenças”, pontuou. No entanto, é preciso avaliar este caso em específico sob uma maneira diferenciada. Segundo o Gartner, até 2020, 60% das empresas vão investir mais em detecção e resposta. “Esse investimento é feito em inteligência, baseado em contexto, considerando que não vamos proteger 100% dos nossos ambientes”, explica. Portanto, analisando o cenário atual, é preciso investir mais em curas e em sistemas adaptáveis.
O homem como o elo mais fraco
Tido como verdade entre os usuários, de fato, muito erro pode ser cometido quando não há conhecimento suficiente ao tomar uma decisão apurada. “Porém, existe uma grande oportunidade para transformá-los e prepara-los para identificar comportamentos inadequados”, disse Neiva. Essa falta de preparo e de consciência não pode ser algo aceito dentro de uma empresa, tanto que algumas instituições estão adotando um conceito chamado de People-Centric Security, que se resume a dar autonomia e responsabilização para o usuário. “O ser humano, quando bem investido, pode se tornar um forte aliado a longo prazo”.
Acesso negado
A máxima de que os profissionais de SI barram todos os projetos das áreas de negócios nunca foi tão ultrapassada. O dinamismo do mundo digital exige mais participação dos CSOs nos produtos já nos estágios iniciais de desenvolvimento. O novo mercado exige essa adaptação dos gestores, que precisam trocar o discurso do “não” pelo “como”, por isso a necessidade de integração plena entre as áreas de Segurança e de Negócios. “Além disso, o profissional precisa desenvolver novas habilidades, como ser negociador, saber falar numa linguagem apropriada e conhecer mais dos objetivos dos negócios”, explica. “Cabe ao gestor traçar as opções e explicar os riscos associados para que sejam tomadas as decisões certas e conscientes. Ou seja, permitir é novo padrão da área de Segurança”, finalizou.
