(*) Mário Sérgio Ribeiro
Errar é humano, como se costuma dizer. Não somos infalíveis, erramos, mas sempre devemos procurar aprender com os nossos erros. Enquanto isso ocorre com nossa vida pessoal tudo bem, geralmente temos condições de corrigirmos o rumo, aprendemos com ele e seguimos em frente. Em nossa atividade profissional é que a coisa pode mudar de figura. Nem sempre nossos erros são aceitos de primeira, e podemos ter problemas, principalmente quando determinados erros podem desencadear consequências bem desagradáveis para a organização que trabalhamos.
E quando falamos em prover de forma devida a segurança da informação corporativa (SIC) nesses tempos por demais bicudos, os erros podem não ser bem digeridos pelo “andar de cima”. Não é uma tarefa nada simples mitigar o máximo possível incidentes de segurança da informação. São muitas variáveis envolvidas que requerem planejamento, execução e monitoramento. Nesse artigo, sem ser exaustivo, vamos falar de dez erros bem comuns que pode servir de alerta na SIC. Vamos à lista!
Erro 1: A Segurança da Informação Corporativa (SIC) não é só TI
É mais comum do que imaginamos a ideia de se pensar que SIC é segurança da TI. Pensar que só porque a TI é a custodiante da informação das empresas não quer dizer que a SIC deva se concentra inteiramente nela. Envolve bem mais que a TI.
A segurança da informação corporativa (SIC) deve ser desmembrada e avaliada em quatro núcleos e entendida da seguinte forma:
- Baseada em Pessoas;
- Baseada em Processos;
- Baseada em Tecnologia da Informação; e
- Baseada em Segurança Física.
Então veja só. Além da TI eu tenho mais três outros núcleos que eu devo olhar e tratar; são eles: as pessoas que trabalham na empresa, os processos que regem a segurança da informação e a segurança física, que trata entre outros, dos acessos físicos às áreas internas e externas da empresa.
Cada núcleo tem atividades específicas de trabalho que se somam as da TI. Tratá-los como secundários ou negligenciá-los só aumenta o risco de incidentes de SIC na empresa. O planejamento da SIC só estará correto se você olhar para os quatro núcleos de forma igual e integrá-los, um alinhado ao outro.
Erro 2: Definição equivocada na Gestão da SIC
Esse é um dilema antigo na SIC e o que mais se vê são modelos que não atendem às necessidades da organização. Na linha de raciocínio do item 1, pergunto: o gestor da SIC deve ficar em TI? Seria esse o melhor modelo? A maioria faz desse jeito então eu também vou fazer porque deve ser o certo? Qual o melhor?
Aqui não dá para copiar e colar. A empresa deve avaliar seu negócio, seus objetivos organizacionais, suas estratégias e seus riscos antes de tomar uma decisão dessas. Não é simplesmente colocar a gestão embaixo do CIO, promover alguém de TI e trazer um caminhão de responsabilidades para a pessoa, que em boa parte das vezes, não tem nem a competência necessária para cuidar do núcleo de TI, quanto mais dos outros três núcleos! Tomar decisões cômodas e que até parecem óbvias podem colocar a empresa sob riscos desnecessários.
Se a Alta Administração considera que a Segurança da Informação é uma questão estratégica para a empresa, então deve ser tratada de tal forma, tornando uma área independente, reportando-se ao primeiro nível.
Erro 3: A SIC sem Planejamento Estratégico
Como qualquer outra área na empresa não é possível fazer gestão e governança da SIC sem que, antes de tudo, tenha tido um planejamento estratégico elaborado a ser executado. Infelizmente, acredito até por falta de conhecimento do tema, muitas empresas executam a SIC de forma pontual, executam o que outros executam, e por aí vai.
Novamente a mesma premissa, se você considera a informação de sua empresa um ativo primordial, protegê-la deve ser a condição básica. Visitando o que falei aqui: são quatro núcleos a serem tratados! O Planejamento é a base do orçamento (próximo item) e premissa para a assertiva execução.
Erro 4: A SIC sem um orçamento anual
Se você concorda comigo que a informação de sua empresa é um dos seus principais ativos, então ela deve merecer atenção especial, certo? E essa atenção especial passa por destinar recursos ($$) para que a mesma seja devidamente protegida de incidentes que possam causar impactos e até a descontinuidade de sua empresa. Então, como qualquer outra área, a SIC, independente de onde ela esteja no organograma, deve ter um orçamento anual. Não destinar os recursos necessários à área por meio de um orçamento, é tratar a informação como um ativo sem importância.
Erro 5: Política e Normas longas, confusas e impraticáveis
A Política geral de SIC e suas normas complementares devem ser entendidas como controles de disuassão. A ideia é que a partir de sua elaboração e implantação, os colaboradores da empresa entendam e pratiquem suas diretrizes e determinações, pois caso contrário, poderão sofrer as sanções previstas. Ok, essa é a ideia.
Mas para que as pessoas as cumpram é preciso que elas entendam o que está sendo definido pela empresa. Infelizmente muitos erros são cometidos desde a elaboração até a implantação da política e das normas complementares. Faça um teste em sua empresa. Peça para que as pessoas opinem sobre as mesmas? Pergunte a elas para citarem algumas diretrizes? O que acaba acontecendo na grande maioria dos casos é que você construiu essa papelada apenas para inglês ver, como diz o ditado popular, ou para fiscalizador conferir. Muitos incidentes poderiam ter sido evitados se a coisa tivesse sido feita corretamente desde o início.
Erro 6: Não há um Programa de Conscientização e Educação
Muitas empresas elaboram sua política geral, suas normas complementares, convocam seus colaboradores para uma palestra de conscientização em SIC, e pronto, tá fechado esse ano o que eu tinha que fazer para o núcleo, Baseado em Pessoas. Infelizmente errou de novo e é mais comum do que se possa imaginar.
A palestra de conscientização em SIC é parte integrante de algo bem mais abrangente e que chamamos de Programa de Conscientização e Educação em SIC (PECSI). Esse programa tem no centro o tratamento do elo que consideramos o mais fraco na SIC que são as pessoas, os colaboradores e outros que trabalham em sua empresa. O PECSI envolve uma série de atividades é deve ser executado ao longo de todo ano, revisado anualmente.
Erro 7: Inexistência da Gestão do Risco em SIC
Realizar a gestão do risco da SIC é uma condição imperativa nas organizações que prezam seu ativo informação. Essa disciplina é a base para planejamentos, programas, etc. que tenham que ser executados. Infelizmente, também é esquecido ou mal executado nas empresas.
Identificar, medir, priorizar, responder e monitorar o risco nos quatro núcleos da SIC é a base do trabalho nessa área. O problema é a visão opaca que uma parte das empresas tem com relação à matéria. Não se trata de algo subjetivo, de despesa desnecessária, como muitos apregoam. A gestão do risco é tema normativo e praticado por empresas dotadas de excelente governança. A gestão quando executada dentro das melhores práticas, auxilia de forma contundente as empresas na melhor identificação de seus riscos, na medição dos mesmos, a encontrar quais as melhores respostas e a realizar o seu monitoramento, pois os riscos não são estáticos, principalmente os da SIC.
Dá trabalho, requer investimento, mas tenha certeza que conhecer seus riscos em SIC é bem melhor do que simplesmente negligenciá-los.
Erro 8: Falta de critérios na escolha do profissional de SIC
Em muitos casos a SIC fica com a TI, conforme comentado aqui, e um profissional interno da área é escolhido para ser o security officer da empresa. Acho extremamente louvável a ideia de sempre aproveitar e promover alguém internamente, antes de sair para o mercado. O problema é que em muitos casos a escolha é feita sem critérios. Não é porque o profissional gerencia o firewall ou a rede da empresa que ele reúne condições de ser o security officer da mesma. Esse é um erro muito comum.
Conforme já falado aqui, existem quatro núcleos na SIC. Critérios para escolha devem ser estabelecidos para contemplar o que esses quatro núcleos necessitam. Se internamente você tem essa pessoa, ótimo. Caso contrário, você deve ir para o mercado e selecionar o profissional que atenda as necessidades definidas.
E ainda, cometendo o erro de “promover” alguém sem as credenciais necessárias, você pode desfalcar uma atividade importante exercida por um bom profissional e “achar” que resolveu o problema de outra, promovendo a pessoa errada. Cuidado!
Erro 9: Importância menor ao agente de ameaça interna
Vamos contextualizar os dois principais agentes de ameaça em SIC. Internamente os colaboradores da empresa e, externamente, o que convencionamos chamar de hackers, crackers…
Pois bem, não tenho uma opinião formada por qual o motivo que as empresas ficam excessivamente preocupadas com o agente de ameaça externo. Talvez deva ser porque as notícias de hackers dão mais IBOPE, pesquisas de todo jeito são lançadas na mídia, mas o certo é que as empresas se preocupam 80% com as ameaças de fora e no máximo 20% com as ameaças internas. Parece existir certa complacência, uma letargia quando o assunto é tratar o agente de ameaça interna com a mesma dose de importância que se dá para o externo.
Você pode até justificar que ramos de atividade como o setor bancário ou e-commerce merecem uma atenção redobrada com os agentes externos, ou governos ou entidades públicas, mas chegar quase a negligenciar o agente interno é perigoso demais e bem comum nas empresas.
Fraudes internas, vazamento de informação e uma lista bem grande de incidentes podem ser perpetrados por agentes internos e ficarem anos até serem descobertos, causando substanciais perdas financeiras e na reputação. É preciso de forma imperativa tratar com o mesmo foco tanto o agente interno como o externo, sem entrar na onda de que A é mais danoso do que B, simplesmente por causa de números ou porque outros agem assim.
Erro 10: Falta de envolvimento da Alta Administração
Deixei por último da lista, mas poderia ser o primeiro. Sem o envolvimento da Alta Administração da empresa que deve demonstrar com ações que ela se preocupa com a SIC, a coisa não anda. Não quero dizer que seria por conta de liberar verba, de aprovar orçamento. Digo de ações que demonstrem que esse é um tema considerado importante para o alto escalão, tanto quanto o faturamento ou a redução de custos na empresa.
As pessoas da organização precisam do exemplo, da palavra e das ações da Alta Administração para acreditarem que de fato aquilo é importante. E essa ação não é só quando se tem que punir, é bem antes.
Um erro bem comum é ver que esse envolvimento venha a acontecer depois que um grave incidente de SIC ocorreu na empresa. Não é assim que as coisas devem acontecer, mas se esse foi o “caminho escolhido”, pela dor, enfim, que seja.
Claro que a lista poderia ser maior, e de fato é. Erros e descuidos de toda monta existem em todo lugar. Mas como disse, é importante avaliar e corrigir em tempo. Infelizmente um incidente de SIC não avisa quando vai ocorrer. Mesmo em organizações com alto índice de maturidade na SIC incidentes ocorrem e provocam impactos, várias vezes significativos. Fragilidades tem uma relação linear com as incertezas. Precisamos ficar atentos em corrigir o que não está certo, diminuindo as fragilidades, diminuindo nossas incertezas.
Até a próxima!
_______________________________________________________________
(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br
