Por Denny Roger, CEO da EPSEC
Apesar do assunto segurança da informação nunca ter deixado de fazer parte das principais preocupações dos executivos, os processos sobre o tema não estão estabilizados nas organizações.
O que podemos perceber, na prática, é que as organizações estão investindo constantemente em novas tecnologias de segurança da informação. Mas as equipes de TI, responsáveis pelo suporte técnico, não conseguem adaptar as políticas e normas internas de segurança da informação às novas tecnologias.
O fato ocorre porque a decisão de compra foi baseada nas funcionalidades da tecnologia. Mas o correto é identificar que tecnologia atende às metodologias de segurança da informação implementadas na organização. Por exemplo, antes de comprar um software para prevenção de perda de dados, mais conhecido como DLP, a organização deve ter uma metodologia para classificação da informação. Inclusive a metodologia já deve ter sido implementada. É importante observarmos que a implementação de qualquer metodologia demora para se estabilizar.
Neste cenário, muitas empresas que investiram dinheiro em soluções de DLP perceberam que a tecnologia está subutilizada e que também é administrada através de iniciativas isoladas. Ou seja, sem uma metodologia, cada profissional de TI faz o que quer com a ferramenta. O dono da empresa vê, literalmente, seu dinheiro ir pelo ralo.
Troca de tecnologia
Outra situação preocupante para o dono da organização é quando a equipe de TI solicita, novamente, recursos financeiros para a troca de tecnologia. Por exemplo, durante uma reunião com o gestor de segurança da informação de uma instituição, ele comentou que no ano passado foi adquirido um sistema de anti-spam. Após algumas tentativas de uso, decidiram trocar o recurso.
A questão é: como explicar, ou melhor, como justificar para o presidente da organização que o dinheiro usado no ano passado não serviu para nada? Como conseguir, novamente, dinheiro para comprar a mesma solução? É claro que o executivo não irá liberar o dinheiro para a compra de um novo sistema de anti-spam. Primeiro, os executivos não precisam e nem querem saber o que é e para que serve essas tecnologias, sejam elas quais forem. Segundo, a empresa existe para dar dinheiro ao seu dono ou acionistas. Ninguém quer empatar dinheiro em um determinado tipo de tecnologia.
O “carro” errado
Fazendo uma analogia com os automóveis, vamos imaginar a seguinte situação: uma determinada família é composta por oito pessoas. Foi designado que uma determinada pessoa da família compre um carro para que todos possam viajar. Essa pessoa vai até a loja de carros e o vendedor, todo simpático, apresenta com muito entusiasmo todos os recursos e encantos de um determinado veículo. A pessoa faz um teste, fica impressionada com o que viu e “apaixona-se” pelo novo estilo e funcionalidades do carro. Toma uma decisão totalmente emocional e compra o veículo.
Chegando em casa, feliz da vida, apresenta o carro e repete exatamente as mesmas palavras que ouviu do vendedor. Todos ficam impressionados com o carro e resolvem dar uma volta. Porém, surge um problema: como colocar as 8 pessoas da família no veículo? Tentam por diversas vezes e resolvem que a melhor solução é comprar outro arro. Está acontecendo exatamente a mesma coisa com as tecnologias de segurança da informação.
A maioria dos investimentos é realizado de acordo com as funcionalidades da tecnologia – decisão totalmente emocional. As empresas esqueceram que antes precisam determinar que metodologia irão usar. Depois devem treinar os colaboradores para o trabalho com a nova metodologia e só então passar para a fase de implementação. Após algum tempo, a metodologia é atualizada e começa a estabilizar. O próximo passo é identificar uma tecnologia que irá informatizar/automatizar partes da metodologia.
Investimento perdido
Diversos empresários comentaram comigo, no final do primeiro trimestre de 2010, que um dos principais impactos no demonstrativo de resultados – estamos falando da contabilidade – foram os péssimos investimentos em tecnologias de segurança da informação. Em outras palavras, compraram o veículo errado. Um dos “automóveis” que não atenderam às necessidades de negócio foram as tecnologias para Análise de Risco. Algumas organizações compraram às pressas, pois precisam atender aos requisitos de Governança Corporativa, e não conseguiram fazer uso deste tipo de tecnologia. Mas por quê?
A questão é simples: qual é a metodologia que a organização irá usar para gestão de riscos? Existem diversas metodologias sobre o assunto. Qual delas está alinhada aos negócios da empresa? Será que precisamos adaptar a metodologia ao dia-a-dia da companhia? Quem será responsável pelo processo?
Nem sempre o investimento em tecnologias mais modernas e de menor custo irá contribuir no dia-a-dia da sua organização. Pense bem antes de comprar seu próximo “carro”.
Denny Roger é diretor da EPSEC, membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense. Contato: denny@epsec.com.br http://twitter.com/dennyroger
Pornografia no PC da empresa: punição? A formação das equipes de segurança da informação Os imortais e os mortais da segurança da informação Conheça a diferença entre hacker e cracker Falta de Governança da Segurança da Informação facilita a ação dos crackers Plano de Continuidade de Negócios - necessário? Gestão de Continuidade de Negócios Hole 196 - brechas de segurança no WPA2 Pornografia no PC da empresa: punição? Utilizando o Google como ataque e defesa
Versão para impressora
Indicar para um amigo
Enviar artigo