Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Desafios de 2022.


(*) Mário Sérgio Ribeiro Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma Read more

Desafios de 2022.

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma coisa. De toda forma, fiz um pequeno exercício dos principais desafios que as empresas vão precisar enfrentar nesse ano de 2022 na temática da privacidade de dados, cibersegurança, resiliência organizacional e auditoria de terceiros e, se me permitem, compartilho aqui com vocês.

Privacidade de dados e informação.

Para aquelas empresas que implementaram o seu Modelo de Tratamento e Governança dos Dados em conformidade com a LGPD o desafio agora é outro e, certamente, mais pesado. Governar é ter construído métricas e indicadores de qualidade para saber diuturnamente como a coisa anda. Todos sabemos que controlamos somente o que programamos, princípio básico de programação e controle. Então não adianta ter criado e implementado o melhor projeto do mundo se você não planejou o controle no mesmo nível; nesse caso, a recíproca também cabe. Logo, um projeto equilibrado, pressupõe um monitoramento que traga os indicadores necessários para a devida Governança. E mais desafio: mão de obra qualificada para fazer essa Governança. Vou aqui fazer um adendo que talvez muita gente vá torcer o nariz. Mão de obra qualificada não é sinônimo de certificações obtidas e falo com conhecimento de causa. Sou defensor de certificações e posso falar um pouco sobre, pois durante minha gestão na ISACA de 2003 a 2006 fui o Diretor de Educação no Brasil, responsável pelas certificações CISA e CISM na época.  São importantes aliados na vida profissional, mas não é instrumento de marketing.  As empresas devem olhar muito mais para o histórico, trajetória com o tema, os resultados e as entregas do profissional ao longo de sua carreira. Isso parece algo absolutamente óbvio, mas as vezes o óbvio…

Junta-se ao que falei a devida interação das áreas na empresa no intuito único da preservação da marca diante de uma Lei que vem forte com multas e com arranhões em reputação. Conseguir essa sinergia não é nada fácil. Líderes de fato, colaboradores conscientizados, matrizes de responsabilidades entre outros são elementos chaves. Não é para um ou outro aparecerem na foto como o bonzão, o que interessa é o brand da empresa!

Para as empresas que ainda não iniciaram e nem implementaram seu Tratamento é bom começar a arregaçar as mangas. A ANPD já concluiu, dentro do cronograma que estabeleceu, a dosimetria para as multas e pode tratar de maneira retroativa, isto é, para agosto de 2018, quando a Lei foi sancionada. Para quem pensa que a Agência está parada, está enganado e pode ter problemas. Fora essa questão de multa, penso ser muito mais crítico o problema reputacional que um incidente de privacidade pode trazer para a empresa. O desafio é grande e olha que não estamos falando de algumas poucas empresas. Os últimos números apontam que apenas 30% (acho até que é muito) das empresas nacionais se adequaram à LGPD (precisaríamos até saber esse grau de conformidade com a Lei). De toda forma o sentimento é que um volume muito grande de empresas estão fora da conformidade e precisam fazê-lo rapidamente.

Concluindo essa questão da conformidade com a LGPD queria deixar uma importante observação: o diagnóstico/auditoria dos Terceiros críticos da empresa para com a LGPD. Esse é um tema sempre relegado à um segundo plano e que causam transtornos terríveis quando ocorre um incidente. Já escutei e já auxiliei empresas em inúmeros casos. Esse é um desafio que parece que ninguém quer enfrentar. Fiz até um post recente no Linkedin Mario Sergio Ribeiro | LinkedIn caso queiram mais detalhes.

Cibersegurança/Segurança da Informação

Não vou ficar aqui citando pesquisas de A de B…mas pelos incidentes que são noticiados vivemos um momento bem delicado nessa questão. No terreno da cibersegurança, onde o meio que se desenvolve é a Internet, a frase que se escuta é: …não é se a empresa será atacada, mas quando! Esse quando é só uma questão do tamanho da empresa, do que faz e o valor de seus dados/informação. O desafio é enorme porque não é todo mundo que dispõe de investimento para defesa e, até quando dispõe, esbarra na falta de conscientização de quem assina o cheque. O que pode ser feito para mitigar essa situação é conhecer de forma pormenorizada nos riscos e investir de forma madura nas contramedidas. Não há varinha de condão aqui!

Do lado da segurança da informação o maior desafio sempre foi e permanecerá por um bom tempo sendo o investimento na educação das pessoas. Inúmeros incidentes poderiam ter sido evitados se a coisa fosse feita da forma correta. Falo isso há mais de 30 anos, mas parece que não vai mesmo…Essa educação é constante, deve ter um Programa e em 2022 esse desafio permanece mais vivo do que nunca!

Resiliência Organizacional

Plano de Continuidade de Negócios, Recuperação de Desastre de TI, de Resposta Incidentes de Segurança da Informação/Cibersegurança precisam estar devidamente atualizados para servir de contingenciamento para, e principalmente, mitigar os eventos de cauda longa. Esses eventos não podemos e não devemos ficar correndo atrás. Então, o desafio para dar musculatura à resiliência organizacional é a criação/atualização desses Planos, principalmente as empresas que estão voltando ao presencial ou mesmo no modelo híbrido. Prestem atenção pois estamos tratando de rompimento pilares importantes como a Disponibilidade de Confidencialidade.

Era isso. Obrigado pela leitura.

Espero que o ano de 2022 seja ótimo para você e que seja Feliz!

Abraço.

Até a próxima.

_______________________________________________________________

(*) 62 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP.