* Cleber Marques
As violações de dados já são uma das maiores preocupações nas empresas, principalmente naquelas que já apresentam um bom nível de maturidade em segurança da informação. Os negócios precisam armazenar cada vez mais dados (de clientes, prospects, funcionários, entre outros) e manter essas informações seguras está se tornando uma grande prioridade.
O assunto não se restringe mais ao time de TI. A Segurança da Informação é uma política estratégica importante que deve começar do topo, algo que é, muitas vezes, ignorado. Como são posicionados de maneira diferente na organização, os grandes executivos podem acabar sendo omitidos dos programas de segurança.
A proteção dada aos executivos deve ser, pelo menos, igual à do resto da empresa, que precisa ser reforçada constantemente. Os executivos também precisam estar cientes de suas próprias responsabilidades em relação à segurança.
Comece pelo topo
Independente do aumento dos esforços em Segurança da Informação, as violações continuam acontecendo nas mais diferentes proporções. A maioria das empresas guarda informações confidenciais de algum tipo e o comprometimento desses dados é extremamente custoso tanto em termos de finanças como de reputação e marca.
Por isso, a Segurança da Informação está deixando de ser uma preocupação apenas de CIOs, CSOs e gestores de segurança para se tornar um assunto chave para toda a empresa, sendo considerada uma questão de responsabilidade dos executivos. Eles precisam ter consciência das políticas de segurança, garantindo que elas funcionem e sejam reforçadas, e dos tipos de risco que a empresa corre.
Isso requer que a TI tenha um relacionamento estreito com o time de executivos para garantir que eles tenham todo o conhecimento necessário para se manter atualizados e tomar decisões de alto risco.
Eduque os executivos
É comum dizermos que os funcionários são o elo mais fraco da cibersegurança. Porém, é provável que os executivos sejam ainda mais vulneráveis que os funcionários, afinal, viajam mais e têm mais acesso a informações confidenciais e sensíveis.
Basta deixar um documento impresso no avião ou esquecer o smartphone depois de uma reunião. Um executivo tem muito mais oportunidades de expor sua empresa a riscos.
O uso de dispositivos mobile aumentou consideravelmente essa preocupação. Muitos executivos usam no trabalho dispositivos que também servem de entretenimento familiar e acesso às mídias sociais, por exemplo.
Por isso, é importante educá-los sobre a importância de manter a rede corporativa segura. Além de protegerem as informações a que têm acesso, ao demonstrar que se preocupam com a segurança, os executivos influenciam os funcionários para que façam o mesmo, criando um ambiente favorável a Segurança da Informação.
Insira os executivos na cibersegurança
Os diretores devem se inserir nas discussões de segurança da informação regularmente e a equipe de TI deve incentivar esse comportamento mantendo-os sempre bem informados em relação à cibersegurança.
Talvez uma das maiores dificuldades nesse processo seja a falta de conhecimento dos executivos em segurança da informação. É dever do CIO, do CSO e do gestor de segurança manter os diretores sempre atentos às ameaças mais importantes.
O volume de potenciais riscos e vulnerabilidades aumenta a cada dia, por isso, é importante focar a atenção da diretoria apenas nas mais relevantes e apresentar um plano de ação que priorize corretamente cada falha.
A condução de um risk assessment é importante para que os executivos possam avaliar objetivamente o status da segurança na empresa. Os resultados vão servir para pressionar os diretores em relação aos problemas de segurança, mas ainda será necessário apoio externo para dar credibilidade aos argumentos.
Uma empresa de consultoria de segurança pode ajudar na composição do perfil de risco da empresa, algo que pode ser crucial para convencer o time de executivos dos investimentos que a segurança da informação precisa.
Um bom trabalho de consultoria traz, além dos benefícios da visão de quem “está de fora”, as melhores informações para ajudar executivos a tomar decisões de alto risco em relação à proteção dos ativos mais importantes da empresa.
* Cleber Marques é diretor da KSecurity