Os desafios de cibersegurança seguem acelerados em decorrência do dinamismo e da sofisticação das técnicas dos ataques cibernéticos. Diante disso, criar mecanismos e metodologias para avaliar o nível de maturidade em SI é crucial. Uma pesquisa da KPMG, por exemplo, apontou que 44% das empresas globais operam em níveis de baixa maturidade com relação às boas práticas de SI.
Na visão de Alexandre Domingos, Diretor de Segurança, Privacidade e Continuidade de Negócios na DASA, a Cyber Security Framework do NIST é uma boa metodologia para avaliar e adaptar um indicador de maturidade de Segurança de uma empresa. “Digo adaptar porque, nativamente, o NIST CSF não é um modelo de maturidade. No nosso caso (DASA), por exemplo, para cada um dos 108 controles do NIST, nós criamos um padrão de maturidade utilizando como referência o Capability Maturity Model Integration – CMMI, que nos ajudou a criar os diferentes níveis de avaliação e medição”, explica o Domingos em entrevista à Security Report.
Segundo o executivo, esse modelo foi implementado em 2020, onde foi possível medir o primeiro indicador de maturidade, gerando um plano para os 3 anos seguintes, incluindo metas de aumento para cada ano e priorizando os sistemas que suportam os negócios mais relevantes para a companhia. “O objetivo anual do NIST foi vinculado a um propósito OER corporativa, que impacta o bônus das pessoas, algo que foi muito positivo para o engajamento de todos os responsáveis internos que tratam os controles do NIST”, pontua.
Outra vantagem desse modelo é estar preparado para processos de testes e auditorias. O executivo explica que sua equipe teve o cuidado de desenhar métodos com o intuito de facilitar os testes da área de controles internos e de futuras auditorias. De acordo com Domingos, essa diretriz é muito importante já que acelera o trabalho das outras linhas de defesa da organização. “A preparação antecipada de evidências não onera os times durante os testes da segunda e terceira linhas de defesa, controles internos e auditorias respectivamente”, destaca o executivo.
Mas para medir, avaliar e elevar o nível de maturidade, é preciso entender toda a jornada e os possíveis gargalos. Na avaliação de Leonardo Ovídio, CISO na Brookfield Energia Renovável, esses desafios envolvem alguns pilares importantes, o primeiro ligado à escassez de recursos humanos, um problema que atinge não apenas o Brasil, mas outros países também vivem a mesma dificuldade de encontrar profissionais capacitados.
“O segundo ponto é fazer com que o corpo executivo entenda a SI como risco de negócio e não mais como questões envolvendo tecnologia. Quando falamos do segmento de energia, por exemplo, estamos envolvendo vidas que podem ser afetadas, o que se torna um grande desafio. O terceiro elemento é prioridade de recursos financeiros e, por fim, a ausência de um líder que consiga fazer uma boa tradução do técnico para estratégias de negócio. Sem um programa adequado, a Segurança é impactada e muitos incidentes podem acontecer por falta dessa maturidade”, alerta Ovídio.
Ainda nesse segmento em que atua, Ovídio explica que na Brookfield Energia Renovável há diversos programas robustos e que permeiam frente de treinamento tradicionais, campanhas de Phishing, processos de onboarding e a delegação para as pontas, ou seja, dando autonomia para fazer todo o trabalho que precisa ser feito. “Precisamos ter treinamentos de padrão, algo que faz parte da cultura de todas as empresas. Com isso, conseguimos ter um nível de conscientização e maturidade mais aprimorado”, comenta o CISO na Brookfield Energia Renovável.
Cenário após implementação
Domingos explica que quando a DASA passou a utilizar um indicador de maturidade, foi criado uma forma fácil de entender e de compartilhar com o board a jornada de evolução dos temas de Segurança, continuidade de negócios e Privacidade. Segundo ele, ficou claro ao conselho administrativo o cenário enfrentado, onde seria possível chegar com os níveis de maturidade esperados e os investimentos que eram necessários.
“Continuamos na jornada de alcançar a meta estabelecida dentro do que faz sentido para a companhia. Uma vez alcançada, entendemos que passaremos a fazer a manutenção dos controles, garantindo a efetividade, evoluindo a estratégia para um modelo mais robusto de gestão de riscos”, completa o Diretor de Segurança, Privacidade e Continuidade de Negócios na DASA.
