Segurança da informação: como você faz seus investimentos?
O quê, como e quanto investir em segurança da informação (SI)? Talvez, esse seja o principal desafio para uma corporação. Priorizar é necessário e isso passa por conhecer o real cenário da empresa, quais são as vulnerabilidades, o que é aceitável, qual risco vale correr e, a partir disso, definir o que comprar e como trabalhar o aculturamento da companhia em relação às boas práticas de SI. Essa, pelo menos, foi uma das conclusões do IT Mídia Debate sobre Os Desafios da Segurança da Informação, realizado na quarta-feira (17/07), na sede da IT Mídia, em São Paulo.
Participaram da mesa debatedora Edgar D?Andrea, sócio-diretor da PwC, Edison Fontes, blogueiro da InformationWeek Brasil, consultor em SI e professor de gestão da segurança, Curt Zimmermann, CIO da BRF, e Vanderlei Ferreira, CIO da EDP Energias.
?A empresa tem que começar a identificar se o valor investido em segurança é o que ela precisa, fazer priorização. Às vezes, sua ameaça são os funcionários que não cumprem regras, ou falta de política clara sobre uso dos dispositivos. Você tem que começar a segurança pelo simples, classifique as ameaças, preste atenção?, comenta Fontes, lembrando que é preciso analisar, também, se o investimento a ser feito é o suficiente para a necessidade da corporação e para o nível de segurança que a empresa deseja ter.
Na mesma linha de raciocínio veio a explanação de D?Andrea, da PwC. O especialista lembrou que com a digitalização cada vez maior dos processos, é natural que o desafio em SI cresça, assim como o investimento nesta seara. E até por isso, ele frisa que a segurança tem transcendido a tecnologia da informação e partido muito para as áreas de negócios, no sentido de participar, por exemplo, da definição de perfis de acesso ou mesmo do processo de engajamento dos funcionários para cumprirem a política de segurança. ?Na medida em que os dados diversos passam a ser o alvo de muitos ataques – e são dados importantes no servidor da empresa e também nos dispositivos móveis -, o valor do investimento continuará crescente. O que priorizar é o maior dilema, já que não consigo investir em tudo que deveria investir em segurança.?
Aos CIOs, além de todo o desafio ferramental e de processos, vem a questão da cultura corporativa, que muitas vezes precisa ser alterada para que os funcionários aceitem as regras da política, e mesmo a velha discussão sobre segurança estar ou não dentro do departamento de tecnologia. No caso da EDP Energias, Ferreira conta que mobilizou uma equipe de dez pessoas só para este fim, enquanto Zimmermann vem trabalhando desde a formação da empresa, em 2011, nesse processo de aculturamento das pessoas dentro de uma política de segurança mais regrada. ?Quando foi autorizada a fusão (entre Sadia e Perdigão), começamos a desenhar uma política única e eram empresas com maturidades diferentes na época. Estamos no meio da implantação. Já houve muita evolução, mas é um trabalho longo, não de dizer que amanhã estará tudo resolvido?, pontua.
A cobertura completa do IT Mídia Debate sobre Segurança da Informação você terá na edição de setembro da InformationWeek Brasil.
