A Tecnologia da Informação vem quebrando alguns tabus quando o assunto é cloud computing. Esse modelo deve crescer 20% neste ano, atingindo US$ 890 milhões no Brasil. Segundo a IDC, há muitos casos de sucesso na migração de ambientes de TI para a nuvem e as empresas estão superando seus receios ao perceber que esse movimento é seguro.
Mas quais aspectos de segurança o CSO deve considerar quando se trata de computação na nuvem? Na visão de C-Lelvels e especialistas, que participaram de um painel de debates promovido pela TVDecision, com patrocínio da Symantec, proteção da informação e segurança do usuário são pontos importantes e merecem atenção redobrada.
Na visão da gerente de SI do Grupo Boticário, Márcia Tosta, o primeiro passo é a classificação das informações para que a proteção seja endereçada ao que é mais importante para a empresa. “A área de Segurança da Informação do Grupo está se transformando em um departamento mais estratégico para o negócio. Ganhamos, inclusive, uma participação maior nas discussões e temos como meta consolidar nossa atuação ao combinar criptografia, certificação e classificação das informações que precisam ser protegidas”, pontua.
A Natura vive momento parecido, concentrando a proteção em informações mais críticas para a empresa. “Estamos pesadamente trabalhando em cloud e a grande questão é não só classificar a informação, mas também saber quem é o público que tem acesso a isso. Não consigo proteger todos os ativos, pois fica muito caro, mas posso assegurar que a informação mais estratégica está protegida”, explica Ticiano Benetti, CSO da Natura.
Outro ponto importante para o gestor de SI ter atenção redobrada é na classificação da informação não estruturada. Na opinião de Anderson Mendes, Security Officer da CABESP, classificar a informação em um banco de dados é fácil, o mais complicado é quando ela está em planilhas ou arquivos espalhados nas máquinas dos usuários. “Neste caso, temos que orquestrar um trabalho em conjunto com o colaborador, ele pode nos sinalizar o que é importante para o negócio”, acrescenta.
“Quando falamos em nuvem, devemos trabalhar em cima de contratos bem estabelecidos junto aos parceiros, saber o que deve ser criptografado e quem terá acesso a isso. Ou seja, a classificação é o início desse trabalho de proteção da informação, em seguida, o contrato e governança em cima dos processos e, por fim, definir métodos de proteção em cima dessa informação”, completa Henrique Lucena, Information Security Officer da Laurearte International Universities.
Proteção do usuário
E por falar com colaboração, todos os presentes no painel destacaram o maior desafio da Segurança da Informação: conscientizar o usuário sobre a importância de manter hábitos seguros dentro das organizações. Na BRF, o Global IT Governance, Information & Cybersecurity Manager, Ricardo Castro, fez uma campanha para os funcionários da empresa destacando esse cuidado.
“A governança é uma prática que precisa evoluir muito nas empresas no Brasil e essa parceria com o usuário é fundamental para disseminarmos a segurança em todos os níveis. A mesma segurança que o colaborador trabalhar em sua casa, com sua família, precisa ser tratada dentro da empresa”, diz Castro.
Segundo Cássio Menezes, gerente de SI da Allianz Seguros, os CSOs precisam mostrar para o usuário que ele também é responsável pela segurança das informações corporativas e esse trabalho deve ser levado para toda a organização, da diretoria ao chão de fábrica. “O usuário nos pressionou para irmos para a nuvem, ele já é digital, tem tudo no celular. Temos que nos adaptar rapidamente para proteger as informações e o ambiente em que elas trafegam”, pontua.
Para Vitor Sena, head de Segurança do Grupo NC Holding (EMS), os CSOs não podem apostar as fichas somente na educação do usuário, pois esse processo de conscientização é mais lento e onera prejuízos à empresa diante de um ataque hacker. “Aqui entra a tecnologia, que precisa nos ajudar a manter todo o ambiente de cloud seguro, protegendo o usuário de uma forma transparente e com fácil usabilidade”, defende Sena.
Mario Fróes, gerente de TI do Buscapéz/Ebit, concorda e chama atenção para a Segurança ser mais parceira dos usuários. “Quanto mais barreiras existirem para o acesso à informação, mais complexa será a SI dentro das empresas. Falar a linguagem dos colaboradores é um ponto importante para nesse processo.”
Para Eduardo Souza, Country Manager da Symantec no Brasil, as empresas estão mais dinâmicas e os profissionais de SI vivem esse exercício diário de estar inserido no contexto dos negócios, até porque o usuário faz parte da equação do modelo em nuvem e um trabalho colaborativo faz toda a diferença.
“Não vamos conseguir conscientizar o usuário com a agilidade que gostaríamos, a maturidade da Segurança avança a partir do momento em que promovemos as métricas de proteção e ver se o colaborador está entendendo essa mensagem no contexto em que ele atua. A transparência dessa ação é importante nesse processo”, conclui Souza.