Alta Direção: Como a Segurança da Informação deve conquistar seu apoio?

Alta Direção: Como a Segurança da Informação deve conquistar seu apoio?

UM DOS MAIORES DESAFIOS PARA SEGURANÇA DA INFORMAÇÃO É A CONQUISTA DO APOIO DA ALTA DIREÇÃO.  Esse tema é tão relevante que a ISO 27001, em sua última atualização, resolveu dedicar uma seção exclusiva para falar de liderança e comprometimento da alta direção.

Mas o que tona isso é tão difícil? No cenário de hoje notícias de vazamento/venda/sequestro de informações se tornaram rotina e isso é só a ponta do iceberg dos incidentes de segurança da informação. Com ameaças tanto internas quanto externas, era de se esperar que o tema tivesse mais aceitação no nível de diretoria ou do board, mas essa nem sempre é a realidade.

O que nós, profissionais da área de segurança da informação, estamos fazendo errado? Bem, muitas vezes é uma questão de foco. Infelizmente, segurança ainda é entendida como uma disciplina primariamente técnica, algo extremamente prejudicial e que joga por terra a ideia de conseguir dar alguma contribuição para a estratégia corporativa. Mas como vamos conseguir mudar isso?

Sem citar diretamente Sun Tzu, e partindo do princípio que você já conhece suas próprias limitações, o primeiro e mais importante passo é compreender como funciona a mente de um gestor. Pense bem, quais são os motivadores que levam alguém responsável pelo futuro e sucesso de uma corporação a tomar uma decisão? O exemplo a seguir é bastante genérico e se aplica melhor ao mercado privado, mas não deixa de ser uma reflexão importante:

A verdade é que apesar de toda relevância do tema, a segurança da informação não é um objetivo em si, devendo ser entendida como apenas um meio (ok, um meio MUITO importante!) para garantir que os objetivos de negócio sejam atingidos.

Dessa forma, acredito que a melhor estratégia para ganhar os corações e mentes da alta direção e ter segurança como uma disciplina efetivamente estratégica na sua empresa, passa por responder como segurança da informação torna o negócio mais competitivo, se existe alguma lei/regulamentação/requisito contratual que deve ser obrigatoriamente atendido e, especialmente, qual será a contribuição da segurança da informação para o aumento de receita da empresa?

Paradoxalmente, garantir os itens acima requer uma abordagem diferente do que é empregado na maioria das organizações. Por exemplo, quando criamos um processo de negócio, na maioria das vezes as empresas esperam que este esteja montado, testado, documentado e praticamente em produção para aí pensar, onde se encaixam aspectos de segurança? Em meus anos de consultoria acabei encontrando bastante esse dilema e apelidando carinhosamente de síndrome da cereja do bolo.

Considero a analogia é perfeita, não é possível esperar que o bolo esteja completo, com massa, recheio e cobertura, para apenas nesse momento colocar uma linda cereja e pensar “estamos seguros”. Infelizmente essa abordagem é a que leva aos maiores e mais impactantes incidentes de segurança. Idealmente, temos que garantir requisitos para a proteção dos dados corporativos em todas as fases da montagem do bolo.

Para mudarmos esse paradigma e obter o tão sonhado apoio da Alta Direção é vital que você consiga demonstrar que um alinhamento aos objetivos estratégico não só é viável, como faz parte do objetivo central da área de segurança. Sem um alinhamento claro, não será possível demonstrar o valor real que é entregue ao negócio.

Com essa estratégia e falando no mesmo “idioma” é bem mais fácil conseguir aliados em posições vantajosas, capazes de tornar a Segurança da Informação uma realidade dentro da sua organização.

Próximo desafio? Mudar a CULTURA CORPORATIVA, que como bem dizia Peter Drucker, continua devorando a estratégia no café da manhã.

Drones: Inovação, disrupção e preocupações básicas com privacidade, segurança e terrorismo

“AES Tietê, Vale, Manserv e Flex já adotaram as máquinas voadoras antes mesmo de todas as regras brasileiras para drones já terem entrado em vigor.” Sim, inovação e tecnologias disruptivas geralmente não se dão ao trabalho de aguardar a legislação.

Zangões no dia a dia: Inovação e disrupção não esperam legislação.

Pode parecer assunto de ficção científica, mas não é! Drones já são usados pelo crime tem um tempinho, em 2015 um zangão foi apreendido voando sobre um presídio no sul da Bahia com 340 chips e 9 celulares, no começo de 2017, outro drone causou um tumulto em um presídio no MS, presos ficaram com medo de armas estarem sendo entregues a grupos rivais e  quebraram portas das celas e ocuparam o pátio da penitenciária. As câmeras de segurança registraram o drone sobrevoando o presídio, mas não deu tempo de os policiais, que estavam monitorando o local, fazerem algo para abater o objeto.

Drones apreendidos em presídios brasileiros com cargas de drogas e armas 

Não estamos longe do dia que esse mesmo tipo de equipamento será usado em massa como ferramenta de espionagem e representarão um meio rápido para terroristas que querem fazer um ataque a base de explosivos ou mesmo ataques químicos, o grupo terrorista ISIS já está ativamente trabalhando nisso.

As previsões mais otimistas olham para 2020 com medo de ataques do tipo “dronejacking”, que interceptam sinais/desviam sinais e permitem o controle dos zangões conforme a vontade do atacante. Em resumo: Teremos drones roubados, sabotagens e, novamente, abertura para crimes como tráfico de drogas e terrorismo.

Assim como muitos, sempre fui fascinado pela tecnologia dos zangões, mas não podemos esquecer do papel da segurança da informação, leis e regulamentações ANTES de massificar a sua adoção. O problema é conseguir correr com a burocracia, a tecnologia não vai esperar.

De toda forma, é melhor vigiarmos bem os céus.

Arma anti-drone e zangão derrubado enquanto levava drogas para um presídio no mexicano

fonte: http://g1.globo.com/tecnologia/noticia/drones-ja-substituem-trabalhadores-dentro-de-empresas-no-brasil.ghtml

Download gratuito: Ferramenta do NIST de excelência em cibersegurança!

SABER É METADE DA BATALHA. Essa frase (que ouvi a primeira vez vendo G.I Joe / Comandos em ação!) pode até soar como o mais velho dos clichês, entretanto não deixa de ser uma recomendação bastante prudente, especialmente quando lidamos com disciplinas estratégicas como gestão de serviços de TI, governança, continuidade de negócios e cibersegurança.

gijoe

Em termos de publicações e boas práticas, as opções são bem diversificadas. O próprio Cobit 5 é bem abrangente e, quando falamos de Segurança da Informação o processo DSS05 Manage Security Services e suas práticas são uma ótima opção para medirmos a maturidade ou mesmo melhorarmos a gestão da segurança da informação como um todo.

cobit5dss05racichart
Cobit 5 – Enabling processes – DSS05 RACI Chart

Agora, se o seu foco é ter um bom entendimento de como anda a cibersegurança na sua organização, uma publicação razoavelmente recente do National Institute of Standards and Technology (NIST) vai chamar sua atenção!

O Baldrige Cybersecurity Excellence Builder é uma ferramenta gratuita para auto avaliação. Mesmo ainda estando em rascunho (a última versão publicada pelo NIST é de setembro de 2016) o conteúdo bastante maduro e efetivo.

A ideia básica é fornecer às organizações um meio prático para compreender melhor a efetividade dos esforços de gestão de riscos de cibersegurança, ajudando líderes das organizações a identificar oportunidades de melhoria com base nas suas necessidades e objetivos de cibersegurança, bem como em suas maiores necessidades, objetivos e resultados organizacionais.

Com a auto avaliação do Baldrige Cybersecurity Excellence Builder é possível:

  • Determinar atividades relacionadas à cibersegurança que são essenciais para a estratégia do negócio e prestação de serviços críticos;
  • Priorizar investimentos na gestão do risco de cibersegurança;
  • Determinar a melhor forma para garantir que colaboradores, clientes, fornecedores, e demais parceiros estejam conscientes de riscos e de segurança e cumpram seus papéis e responsabilidades na cibersegurança;
  • Avaliar a efetividade no uso de normas, diretrizes e boas práticas de cibersegurança;
  • Avaliar os resultados dos esforços de cibersegurança; e
  • Identificar prioridades de melhoria.

A abordagem é bastante pragmática e fácil de ser seguida, mas é importante lembrar que – como qualquer tipo de auto avaliação – os resultados devem ser avaliados criticamente por uma por alguém com razoável experiência no assunto, para evitar que ocorram falhas no entendimento.

nist01 nist02

Conforme mencionado, o Baldrige Cybersecurity Excellence Builder é uma ferramenta gratuita e pode ser obtida clicando AQUI.

Ponto importante: O guia está em consulta pública, comentários e sugestões podem ser enviados para BaldrigeCybersecurity@nist.gov

Bom proveito!

Fontes:

https://www.nist.gov/news-events/news/2016/09/nist-releases-baldrige-based-tool-cybersecurity-excellence

Cláudio Dodt participa do GRC International + DRIDay 2016!

Cláudio Dodt participa do GRC International + DRIDay 2016!

Prezados colegas,

Nos dias 02 e 03 de Junho, estarei em São Paulo participando do maior evento brasileiro de Governança, Riscos, Conformidade, Continuidade de Negócios e Disaster Recovery, o GRC International + DRIDay 2016. Nesta edição faço parte dos seguintes painéis:

Cyber Security –  O desafio corporativo!
Moderador:

Ricardo Tavares (Sócio-diretor DARYUS)

Painelistas:

Chloe Demrovsky (Executive Director of DRI International)
Dr. Renato Opice Blum (Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados)
Afonso Nassif (Diretor de Vendas Empresariais da Intralinks)
Cláudio Dodt (Líder da equipe de Segurança da Informação – Grupo Edson Queiroz)

Como avaliar as ameças de curto prazo que levam à interrupção dos negócios
Moderador:

à confirmar

Painelistas:

Ricardo Tavares (Sócio-diretor DARYUS)
Alexandre Guindani (Especialista em Continuidade de Negócios – Caixa Econômica Federal)
Cláudio Dodt (Líder da equipe de Segurança da Informação – Grupo Edson Queiroz)

O evento se destaca pelo foco no público de nível estratégico. Na última vez que participei, contei, entre CFOs, CEOs, CIOs, mais de 400 executivos de grandes empresas e servidores públicos de alto escalão. É uma excelente oportunidade para aprender, compartilhar ideias e fazer o velho e bom networking.

Quer participar? Ótimo! Siga esse link ou use o código GRC-EXCLUSIVO-DODT para ter um desconto especial!

inscricao_grc_2016

5grc4driday-logo-com-data

Veja mais detalhes sobre o GRC + DRIDAY 2016:

Tendo como principal objetivo fomentar as melhores práticas internacionais sobre Governança, Riscos, Conformidade, Continuidade de Negócios e Disaster Recovery. O evento é a união do GRC Internacional, criado pela DARYUS em 2010 e o DRIDAY um dos maiores eventos sobre Continuidade de Negócios do mundo, criado pelo DRII (Disaster Recovery Institute International).

Através de parceiros de empresas privadas e públicas reunimos especialistas para discutirem as novas necessidades empresariais, entender os controles internos, avaliar casos de sucesso, entender problemas e disseminar informações do mercado mundial frente as melhoras práticas e a importância da capacitação do profissional.

Palestrantes confirmados

palestrantes-grcdriday2016

Agenda

agenda_grcdriday_2016

 

CULTURA CORPORATIVA: uma grande ferramenta de Segurança da Informação que é prontamente negligenciada.

CULTURA CORPORATIVA É UMA DAS MAIS BÁSICAS E RELEVANTES FERRAMENTAS PARA SEGURANÇA DA INFORMAÇÃO. A Cultura, de uma forma geral, pode ser entendida como o conjunto das ideias, costumes e comportamento social de um grupo específico. Isso se traduz em valores, convicções, ideologias, crenças, comportamentos de grupo. No meio corporativo, nada mais natural que absolutamente toda organização tenha sua cultura própria. E sim, essa é um dos mais fortes instrumentos para construção, ou destruição, de um ambiente seguro.

O fato é que a CULTURA DEVORA A ESTRATÉGIA NO CAFÉ DA MANHÃ. A frase, originalmente atribuída a Peter Drucker, nunca foi tão verdadeira quanto nas organizações modernas, especialmente no que é relacionado a Segurança da Informação e Gestão de Riscos. A cultura corporativa pode tanto motivar quanto drenar a energia dos profissionais da organização. Entenda: A cultura é o ambiente onde a estratégia corporativa, mesmo a mais bem definida, floresce ou padece. Qualquer companhia que tente desconectar esses dois fatores, está trazendo um grande risco no seu caminho para o sucesso.

Você tem toda razão, meu caro sr. Drucker!
Você tem toda razão, meu caro sr. Drucker!

Durante os últimos anos, várias empresas têm aprendido – da maneira mais difícil – que negligenciar Segurança da Informação pode trazer impactos desastrosos sobre operações, marca e resultados financeiros. Este cenário nos leva a acreditar que a mentalidade da alta direção deve ter evoluído para uma abordagem mais madura, onde a segurança é vista como um facilitador de negócios e incorporada em todos os aspectos da estratégia e transmitida na cultura corporativa, correto? Longe disso.

Leia mais