*Por Rangel Rodrigues
Não tem como mover para o novo se não fazemos o básico. O básico pode ser o velho conhecido processo ou atividade que, às vezes, procrastinamos e/ou não fazemos com dedicação. O velho pode ser a fragilidade no processo de gestão de vulnerabilidades, na aplicação de patches, na configuração de hardening, na classificação da informação ou na falta de uma correção de vulnerabilidade encontrada em SAST, DAST ou MAST.
Geralmente quando nos situamos neste ponto, o invisível para nós é aquilo que ainda não existe, seja no processo de gestão de segurança da informação ou na perspectiva de controles em cibersegurança. Para ver o futuro e chegar em um objetivo, precisamos fazer o básico da segurança no que tange processo, tecnologia e pessoas. É preciso uma visão baseada em um alvo que temos como meta para alcançar.
O livro da sabedoria ressalta que a fé é capacidade de enxergar aquilo que não vemos. Da mesma forma, se olharmos para os melhores frameworks como NIST CSF, NCSC, COBIT, ISO 27001, 27017, 27018, entre outros, pode parecer um futuro surreal ou inalcançável quando olhamos para o resultado de um gaps analysis e percebemos que há muito trabalho para se fazer. Mas é hora de fechar os olhos e olharmos com otimismo, imaginar que o que está sendo planejado vai dar certo.
Certamente, em um projeto de gestão de segurança que desenvolvi para uma organização de BPO, foi primordial e colaborativo a definição da visão e missão Segurança. Logo, temos que ter claro qual é a visão e a missão na área de infosec, qual é o combustível e a combinação entre seu propósito conectado à missão que recebeu na posição que está exercendo na organização. Assim, por meio do processo e com o planejamento estratégico, colocamos em prática a meta a ser cumprida.
Entretanto, incentivo a pensarem quais são as ferramentas e recursos para que possamos prosseguir com o projeto de cibersegurança e fazer acontecer. Quais são os fantasmas e riscos que podem paralisar o projeto? O risco pode ser a falta de suporte dos executivos, a falta de recursos ou habilidades no time ou escassez de profissionais capacitados em cloud, etc.
Além disso, quando nossos sensores estão descansando, é um bom momento para reflexão e planejamento, assim o nosso discernimento como profissional de infosec é acessado nos fazendo capazes de acreditar, que seremos aptos a implantar um projeto de segurança e compliance, seja com LGPD, PCI, SOC 2, FedRAMP, HIPPA, etc.
É como se estivéssemos com os olhos fechados dormindo, recebendo as informações e ideias durante o sonho. Mas Rangel, eu não acredito neste positivismo.
Mas isso tem a ver com o que você acredita! Pense novamente, quais são os limites que existem na sua posição e quem estabeleceu estes limites? Certamente o acesso a estas respostas vai elevar o seu entendimento sobre a visão e missão. Quais são os riscos e limites e assim ter uma chave, um plano para exercer e mover para uma nova maturidade em cibersegurança.
A meu ver, temos que entender que no campo da cibersegurança não há limites, pois é você quem define seus limites com os líderes da organização e, portanto, a minha intenção neste artigo é incentivar a sustentar a ideia de que podemos fazer algo para elevar a maturidade de controles e processos em segurança cibernética.
Mesmo com poucos ou muitos recursos, se não houver otimismo no exercício da função, nada vai adiantar, só depende de nós. Todo profissional tem potencial para fazer a diferença nesta era da transformação digital, por outra lado, há um gift recheado de ataques de ransomware vindo em sua direção. E você quer ser o próximo?
*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Sênior Security Engineer para uma empresa financeira nos Estados Unidos.
