Segurança 100% é possível! E está acontecendo!

Author Photo
3:34 pm - 06 de março de 2018
segurança segurança
Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Em viagem profissional procuro aproveitar o tempo no avião para relaxar, descansar e no máximo pensar em estratégias. Na medida do possível: nada de stress de trabalhar no notebook.

Em viagem recente lendo a Revista AVIANCA na secção Palavra do Presidente, li algo que sempre defendi: é possível ter 100% de segurança. O Sr. Frederico Pedreira, Presidente da Avianca, comenta que 2017 foi o ano mais seguro d história da aviação comercial. E o primeiro da história da aviação sem acidentes fatais em aviões a jato. De acordo com a Aviation Safety Network (ASN) foram apenas 10 (dez) acidentes, nenhum deles ocorrendo em linhas comerciais regulares.

Como usuário fiquei muito satisfeito e como profissional de segurança e risco, conheci um dado da vida real que sempre defendi: em segurança da informação podemos ter 100% de segurança.

Mas, ter 100% de segurança não é apenas um desejo, nem um passe de mágica. O que precisamos saber e trabalhar para alcançar este patamar de excelência?

1. É um objetivo
Segurança 100% tem que sérum objetivo. Precisa ser buscado. Não basta dizer, é preciso fazer muitas ações.

2. É necessário ter boa maturidade
Uma organização precisa estar em um bom patamar de segurança para poder almejar os 100% de segurança. Muito profissionais de segurança alardearam que não é possível ter 100% de segurança quando por exemplo sofrem um ataque mundial tipo Ransomware. Quando analisamos, esta organização não tem o menor controle sobre atualização de produtos (SWs).

3. Precisa ter um escopo de ameaças consideradas
Para se garantir 1005 de proteção é necessário complementar: 100% de proteção para este conjunto de ameaças. Não podemos considerar todas as ameaças possíveis e desconhecidas. Um exemplo simples: o controle de acesso lógico de um sistema que valida o usuário por senha, tem que ser 100% seguro. É inadmissível que um usuário digite uma senha errada e acesse o ambiente.

4. Deve ser parte de um planejamento
O primeiro problema é que as organizações não possuem um plano de ação para os próximos três anos em relação à Segurança da Informação. A sua organização possui? Bem caso exista e deveria existir, os controles necessários para evitar a concretização das ameaças (minimização de riscos) devem ser planejados, implantados e gerenciados para que mantenha a sua efetividade (eficiente=cia e eficácia ao longo dos anos).

5. Haverá um preço a pagar
Segurança 100% custa caro, mas é um valor possível. Porém custa valor monetário, tempo, comprometimento dos gestores e esforço para manter a sustentabilidade dos controles. Porém quanto mais estruturada a organização estiver, mais possível será assumir este custo. Sua organização tem um processo Organizacional de Segurança da Informação?

6. É um assunto de Governança de S.I. alinhada à Governança Corporativa
Ter 100% de segurança para um conjunto de ameaças não é uma decisão isolada da Área de Segurança da Informação. muito menos da Área de Tecnologia da Informação. Estas duas áreas podem e devem recomendar as situações possíveis e o porque desta decisão. A organização representada pelo seu Corpo Diretivo deve validar (ou rejeitar) a Segurança 100%. Se a decisão for ter este patamar de excelência, este fato deve estar atrelado aos indicadores de desempenho das áreas e dos profissionais, inclusive da Alta Direção.

7. É necessário crer que é possível
Se você não acredita que existem situações que precisamos e podemos ter segurança 100%, sugiro que abandone este projeto. Com você, a organização já começa a partida em desvantagem.

Conclusão
Segurança 100% não é uma mágica. É uma decisão profissional e um estágio de maturidade de excelência. Alguns profissionais de tecnologia vivem esta realidade. Programas que controlam vida de pessoas na saúde ou equipamentos tipo avião, precisam ser exaustivamente testados para garantir excelência de performance. Sistemas de defesa nacional, segurança de Estado precisam ter e alcançar este objetivo. Tenho o orgulho de estar participando de um projeto onde sistemas implantados, que necessitam de segurança 100%, estão há anos sem problemas reportados. Este pessoal é muito bom!

Como começamos falando de aviação, por gentileza não me cite o ocorrido com o time da Chapecoense. Aquilo não foi um acidente. Foi um crime. É outro tipo de ameaça.

Grande abraço.

Edison Fontes, CISM, CISA, CRISC
Coordenador do Comitê de Segurança da Informação da ABSEG.
Estrategista, Consultor e Gestor: Segurança da Informação, Riscos, Continuidade e Combate à Fraude, Compliance.
[email protected]
www.nucleoconsult.com.br

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.