Nunca na história deste País passamos por um momento decisório por meio de uma tão importante escolha em que o povo brasileiro deverá tomar perante do futuro da nação. Na prática, fazendo uma leitura do mindset da real situação que estamos passando a resposta é óbvia: o povo perece por falta de conhecimento sobre as aspectos pertinentes a política. Francamente, não adianta ter dois ou mais candidatos se não soubermos fazer uma boa análise de risco fundamentada em valores, princípios, crenças, segurança, educação, saúde, situação econômica, visão, missão, etc., que trará melhores benefícios à nação e que seja mais sensato em seu entendimento.
Trazendo esta realidade para o mundo corporativo, nunca foi tão importante para o responsável ou equipe de segurança da informação discernir os princípios de ERM (Enterprise Risk Management) e aplicar em situações relevantes que requer auxiliar e aconselhar seus executivos de negócios.
Melhor dizendo, como um profissional de SI no mundo corporativo, perante uma análise de risco, seu papel e ofício é identificar e mapear os possíveis riscos apoiando e encorajando seus executivos na melhor decisão a ser tomada. Uma outra premissa é definir estrategicamente, alinhando com os objetivos de negócios e principalmente assegurando a proteção dos ativos de valor da empresa.
Enquanto estiver nesta posição, é necessário antes, acima de tudo, saber ouvir e se envolver ao negócio com extrema profundidade a fim de canalizar a fundo as principais ameaças, vulnerabilidades e riscos que podem por sua vez impactar e paralisar o negócio. Da mesma forma que é necessário avaliar as propostas de um candidato, seja a reputação do mesmo quanto à ficha limpa, corrupção, histórico de projetos, liderança, caráter e integridade. Deste modo, uma boa visão da real situação do estado de risco da organização VS cyber risk appetite nivelado com o nível de aceitação de risco que se adequa a empresa.
Literalmente que numa avaliação de impacto de negócio (BIA) para determinar os processos críticos e assim aferir a melhor estratégia de implementação de um BCP e um DRP, nestas circunstâncias não existe meio termo ou voto em branco. Como representante de segurança da informação terá que auxiliar o executivo a escolher a melhor estratégia para proteger a vitalidade do negócio, pois o futuro pode estar em jogo. Consequentemente no mundo corporativo o voto nulo ou em branco pode representar a falta de compromisso em expor a sua organização ao real risco.
Logo no mundo corporativo você não pode ser omisso, em vez disso é preciso influenciar com argumentos convincentes os executivos. Por exemplo; numa situação de escolha entre um fornecedor de serviços de cloud A ou B é dever da segurança da informação auxiliar e indicar o fornecedor mais aderente em termos de maturidade de segurança com as melhores práticas, além de outros fatores. Da mesma forma, você precisa ser articulado e capaz de persuadir os executivos que sairá mais barato investir em um recurso para gerir o BCP e DRP e vez de deixar seu ERP corporativo sem um plano definido e vigente.
A paralisação tecnológica da Gestão da Cadeia de Suplimentos (SCM) ou Sistema de Pagamentos Brasileiro (SPB) pode gerar por exemplo uma perda de milhões de dólares e riscos de reputação no mercado. Se comparar com o custo do recurso em ter um profissional dedicado gerindo o plano será mais barato e sustentável. Em resumo, a gestão de risco e governança é essencial para sobrevivência.
Embora meu objetivo neste artigo não seja induzir em quem você deve votar, mas orientar o uso correto e a aplicabilidade da gestão de risco em situações na sua empresa que dependerá do seu posicionamento, opinião e avaliação para o tomador de decisão estar seguro, o executivo.
Sendo assim é importante ressaltar o uso de uma metodologia de risco, vide um exemplo abaixo e uma fórmula padrão: risco = vulnerabilidades x ameaças x impactos / medidas de segurança. Cybersecurity frameworks como NIST e FAIR são ótimos modelos de frameworks que podem ajudar a criar e implementar uma matriz e a metodologia de gestão risco. Logo se aplicar o conceito acima é evidente que será uma ferramenta rica e essencial nestas situações.
A questão aqui é, ou você decide entre escolher a metodologia adequada à sua empresa para aplicação e uso da análise de risco integrada com as necessidades de negócio ou decidirá em continuar costurando os riscos em sua organização. A brecha será o alto gasto de investimentos em soluções e ações que não vão resolver a raiz do problema efetivamente e o resultado poderá ser o desastre que atenua até a demissão. O pior será o estrago para a organização se não tiver uma visão do todo durante a estratégia e levantamento, por isso, é imprevisível ter uma foto antes de qualquer projeto ser implementado para não pagar um preço mais caro.
A gestão de risco como sabemos podemos; mitigar, transferir, rejeitar ou aceitar o risco com base na análise de custo benefícios em exemplos citados acima, entre outros. Precisamos ser uma guardião destes conceitos e implacável nesta atividade. Vejamos exemplos de gigantes como a Equifax, que expôs 143 milhões de dados de clientes porque não atualizou um software, além do Facebook que também sofreu vazamento de dados de seus clientes e tem pago muito caro em reputação e integridade de seus negócios, ainda mais agora com a GDPR e a chegada da Lei Geral de Proteção de Dados (LGPD) em nosso território nacional.
Talvez se o povo brasileiro que é indiscutivelmente sofrido e amado pelo mundo afora, se tivesse a sabedoria necessária e aplicado estes métodos de gestão de risco e não somente tomar uma decisão no escuro sem basear em teses e estudos a nossa nação não estaria em uma situação de risco tão surreal e esgotamento (burnout). Literalmente como o sábio diz; quando o governo é justo e honesto o país tem segurança e a nação se torna saudável enquanto que ao contrário cobrando impostos demais pode levar a desgraça. Sendo assim, é evidente que o profissional de segurança sendo capaz de executar e aplicar este conceito sendo firme e absoluto mesmo diante das dificuldades e barreiras, o futuro da organização será a sobrevivência. Let me know your thoughts…
*Rangel Rodrigues é trusted advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP