Segurança da informação: tudo o que os gestores precisam saber

Há três pessoas que acessam as redes de dados corporativos de uma determinada companhia. A primeira delas, um executivo de vendas, observa o perfil dos clientes (informações sócioeconômicas e histórico de relacionamento com a organização) para identificar oportunidades de aumentar seus resultados. A segunda, um gerente de negócios, que utiliza os dados armazenados para criar estratégias de marketing intelligence. Já, o terceiro é um hacker, que busca maneiras de acessar informações sigilosas para realizar ações maliciosas que resultem em benefícios financeiros para ele mesmo.

O desafio do executivo que desempenha o papel de gestor de segurança dessa empresa fictícia é fazer com que os profissionais de vendas e de negócios acessem tudo o que necessitam. Mas, ao mesmo tempo, ele deve impedir que o hacker consiga enxergar ou manipular os dados da companhias. E o conjunto de políticas e ações realizadas por esse líder - ou seja, as formas como atingirá o objetivo estabelecido - designam o conceito de gestão da segurança das informações corporativas.

Para conhecer mais sobre o tema, seguem algumas questões que precisam ser consideradas pelos responsáveis pela segurança da informação, antes de se estabelecer políticas específicas:

Deve-se direcionar mais esforços nas ameaças, como vírus, ou em políticas para proteção de informações?
De acordo com Jonathan Penn, analista e vice-presidente de segurança da Forrester Research, as regras para garantir a segurança das informações precisam ser priorizadas. Para ele, embora os perigos externos  - como o acesso de programas maliciosos (malwares) à rede da organização - sejam populares e tenham grande impacto quando discutidos com o board, eles podem ser considerados incidentes pontuais. E, em vez de reagir a suas aparições, Penn aconselha que os gestores precisam estar preocupados em criar políticas mais abrangentes para blindar a companhia desses ataques.

Essa estratégia, segundo o especialista, não imunizará totalmente a empresa, mas deve prepará-la para reduzir os impactos dessas ameaças por meio de respostas rápidas e políticas de redundância de informações e checagem de vulnerabilidades.

Existe um limite para os investimentos em segurança?
Sim, existe. E, de acordo com o analista do Gartner, John Pescatore, o maior desafio na hora de definir o orçamento que será voltado à proteção da companhia é identificar um ponto de equilíbrio entre a eficiência operacional e a segurança.

Na prática, isso significa que a TI deve garantir que os dados corporativos estão protegidos da melhor forma possível e que esse cenário não diminui a produtividade das equipes. Um exemplo claro acontece com o time de vendas: quando essa equipe encontra barreiras para acessar informações, os resultados sofrem quedas.

“As grandes empresas direcionam cerca de 7% de seus orçamentos de TI à segurança, sem levar em conta os investimentos em recuperação de desastres e planos de continuidade de operações”, diz Pescatore. Ele acrescenta que o investimento deve ser utilizado também na busca contínua por ferramentas de proteção mais eficientes e nos processos de treinamento e de orientação dos usuários.

É possível reduzir o orçamento de segurança sem prejudicar a proteção dos dados?
Sim, desde que o gestor de segurança tome decisões assertivas quanto ao direcionamento dos investimentos da área e tenha pleno conhecimento de seus sistemas de armazenamento de dados e de suas vulnerabilidades.

Segundo Pescatore, antes de mais nada, o CIO executivo deve avaliar a estrutura organizacional em todos os seus níveis, com o objetivo de identificar pontos fracos. “Analisando as várias camadas da companhia, o líder de TI consegue prever o tipo de ameaças a que estará sujeito se não reforçar sua estrutura de segurança”, explica o especialista.

Com esse conhecimento, o executivo precisa rever sua estratégia de aquisição de ferramentas e de contratação do serviços, adequando e direcionando-as às questões mais arriscadas da empresa. “Muitas vezes as organizações estão com lacunas em termos de soluções, redundância de produtos, e outros aspectos que a fazem desperdiçar o orçamento com questões menos importantes”, afirma o analista do Gartner.

Como vender a estratégia de segurança ao CEO?
Para Penn, da Forrester Research, torna-se impossível convencer alguém das prioridades de segurança. “É preciso educar as pessoas quanto às questões de proteção de dados, mostrando os riscos aos quais a companhia está vulnerável e citando exemplos das ações já executadas por concorrentes ou parceiros de negócio”, afirma ele.

O especialista destaca que o gestor de segurança precisa mostrar ao CEO como a política proposta cobre todas as vulnerabilidades corporativas e é capaz de prever e dar respostas imediatas a ataques de hackers ou a contaminação por vírus ou spywares (programas espiões).

Em longo prazo, uma companhia cujos sistemas são divididos em plataformas ainda precisa direcionar recursos à proteção individual dos usuários?
É preciso garantir que os dados críticos não estão sendo transacionados sem permissão dentro dos ambientes internos. Principalmente em uma época na qual todos têm acesso a pen drives e smartphones há a necessidade de se criar políticas para garantir que informações confidenciais não poderão ser vazadas e que os dispositivos móveis pessoais também estão livres de ameaças.

O responsável pela segurança dos dados corporativo deve interromper um projeto que está prestes a ser concluído por não respeitar as boas práticas de proteção?
O gestor de TI tem a obrigação de impedir a conclusão de um projeto que poderá trazer riscos à companhia e, consequentemente, à sua própria carreira. Além disso, ele deve garantir que nenhum projeto será aprovado sem ser avaliado pela equipe de TI.