Segurança: o risco de não fazer

Nesse contexto, o CSO é responsável pela aplicação de todo um processo contínuo que envolve:

– Identificação das necessidades de segurança;

– Análise dos riscos envolvidos;

– Estudo de custo-benefício;

– Criação de uma política de segurança;

– Implementação da política de segurança;

– Operação da política de segurança.

Tendo a política de segurança como grande guia para a tomada de decisões, os profissionais da área de segurança atuam no dia a dia como uma espécie de “autorizadores” dos projetos da corporação. Se um projeto é considerado de risco significativo, ele pode até ser cancelado. Nesse ambiente, o conflito entre as áreas de negócios e a área de segurança é constante. E, para agravar o panorama, em muitos casos a decisão de não fazer acaba prevalecendo.

Essa decisão é, aparentemente, a que traz maior conforto uma vez que não traz riscos de ataques, disponibilidade. Existe, contudo, um aspecto da decisão que muitas vezes é negligenciado mas que pode ser de fundamental importância: O risco de não fazer. Trata-se de aspecto de difícil avaliação mas que deve, necessariamente, ser considerado no processo decisório e que tem dois componentes básicos:

1)O risco para o negócio: O conceito é bastante simples. Se existe uma demanda da empresa para determinado sistema ou serviço, essa demanda deve estar associada a alguma oportunidade de negócios. Ao se decidir não implementar determinada solução, certamente tem-se o risco de não se atingir alguns objetivos empresariais.

2)O risco para a solução: Correndo o risco de parecer simplista e/ou conformista, a experiência mostra que determinados avanços e comodidades da tecnologia são inevitáveis. Assim, é possível citar inúmeros casos em que determinadas regras de uma política de segurança acabam sendo “contornadas” pelas áreas usuárias. Assim, são computadores da diretoria de têm privilégios especiais, são sistemas contratados e implantados em provedores externos, etc. Em resumo, a prática mostra que uma postura muito inflexível da área de segurança de dados acaba gerando soluções que, em alguns casos, trazem mais riscos do que aquela que foi proposta originalmente.

Essa discussão remete àquilo que é hoje um dos maiores desafios dos profissionais de segurança de dados das organizações: Deixar de ter uma atuação normativa, atuando como elemento restritivo e passar a atuar de forma a viabilizar os projetos. A chave da questão está na palavra viabilizar. Ou seja, propor soluções alternativas que apresentem riscos aceitáveis e que permitam a implementação de um particular projeto de interesse da empresa.

Trata-se, certamente, de tarefa complexa e que, em muitos casos, pode não ter solução. Contudo, já se pode notar em muitas organizações a mudança de paradigma e o CSO assumindo um papel mais ativo no processo.

Para isso é necessário investimento contínuo na formação do pessoal de segurança de dados. Os profissionais da área devem se atualizar constantemente e devem conhecer não só as tecnologias utilizadas na organização, mas também tecnologias novas, capazes de solucionar os crescentes desafios impostos pela realidade da Internet e as práticas de negócios associadas.

Concluindo, aqui não se está defendendo uma mudança na missão do CSO e nem a flexibilização das regras e padrões de segurança. O ponto fundamental é que, do ponto de vista corporativo, a decisão de menor esforço (não fazer) pode ser a de maior risco. Ou de outra forma: “O servidor WEB mais seguro é aquele que não está conectado à rede…”