Deixe de ser reativo na gestão da segurança de TI
Os astrofísicos e os profissionais de segurança da informação têm algo em comum: os universos que eles monitoram estão se expandindo em um ritmo inexorável e voltar no tempo não é uma opção. Estamos sendo bombardeados com demandas concorrentes relacionadas à adequação, à regulamentação e à próxima novidade na área de segurança, enquanto os problemas que combatemos estão causando um impacto maior. Nossos adversários passaram de hackers que invadiam computadores como um passatempo a criminosos organizados; as leis relativas à divulgação e à privacidade de informações continuam ultrapassadas; estão aumentando os custos para uma companhia se recuperar depois de ser atacada. A estratégia reativa aplicada à segurança das informações tem se mostrado ineficiente. Os interesses envolvidos são cada vez maiores em todos os segmentos e este é, claramente, o momento para se realizar uma importante mudança.
Não é preciso ser nenhum cientista especializado para perceber isso: em um mundo com escassez de recursos, a priorização é um componente fundamental para se estabelecer uma agenda de segurança para a TI. Defina quais são os sistemas e os conjuntos de dados mais importantes das organizações e avalie os riscos associados ao ativo.
Identifique quais riscos são aceitáveis, quais deles podem ser reduzidos e transferidos. Desenvolva um plano e designe os recursos apropriadamente. Não é fácil e nem existe processo, tecnologia ou abordagem referente à segurança que seja único. Mas, depois de analisar sucessos e fracassos e de conversar com líderes da indústria, nota-se que uma tendência se destaca: as organizações estão mudando daquele sistema binário, antiquado de pensar na segurança da informação considerando apenas aspectos como sim/não, bom/mau, e passando a utilizar uma abordagem pragmática de avaliar os riscos.
É necessário assegurar que uma abordagem de gerenciamento de riscos está integrada em todos os processos, que permanece diligente sobre a seleção de projetos e vai além de apenas “apagar os incêndios”. Todos nós estamos saturados de jargões. “Adequação” e “gerenciamento de riscos” parecem ser obrigatórios em todos os posicionamentos relativos a produtos de segurança, e o termo “governança” não fica muito atrás. É questionável especificar quantos produtos realmente acrescentam aspectos como governança, gerenciamento de riscos e adequação como uma filosofia, mas estes dois últimos são absolutamente relevantes.
Desse modo, qual é o fator capaz de unificar? A maturidade. Manter o princípio do gerenciamento de riscos e gerenciar os riscos ativamente não são a mesma coisa. As áreas de gerenciamento de riscos variam em seu grau de maturidade. Contudo, independentemente da profundidade e da base de seu entendimento ou da probabilidade de que você adote uma estrutura formal de gerenciamento de riscos no ambiente de TI, alguns conceitos e ajustes necessários são vitais.
* Greg Shipley é diretor de tecnologia na Neohapsis e também colaborador da InformationWeek EUA.
