Alta Direção: Como a Segurança da Informação deve conquistar seu apoio?

Alta Direção: Como a Segurança da Informação deve conquistar seu apoio?

UM DOS MAIORES DESAFIOS PARA SEGURANÇA DA INFORMAÇÃO É A CONQUISTA DO APOIO DA ALTA DIREÇÃO.  Esse tema é tão relevante que a ISO 27001, em sua última atualização, resolveu dedicar uma seção exclusiva para falar de liderança e comprometimento da alta direção.

Mas o que tona isso é tão difícil? No cenário de hoje notícias de vazamento/venda/sequestro de informações se tornaram rotina e isso é só a ponta do iceberg dos incidentes de segurança da informação. Com ameaças tanto internas quanto externas, era de se esperar que o tema tivesse mais aceitação no nível de diretoria ou do board, mas essa nem sempre é a realidade.

O que nós, profissionais da área de segurança da informação, estamos fazendo errado? Bem, muitas vezes é uma questão de foco. Infelizmente, segurança ainda é entendida como uma disciplina primariamente técnica, algo extremamente prejudicial e que joga por terra a ideia de conseguir dar alguma contribuição para a estratégia corporativa. Mas como vamos conseguir mudar isso?

Sem citar diretamente Sun Tzu, e partindo do princípio que você já conhece suas próprias limitações, o primeiro e mais importante passo é compreender como funciona a mente de um gestor. Pense bem, quais são os motivadores que levam alguém responsável pelo futuro e sucesso de uma corporação a tomar uma decisão? O exemplo a seguir é bastante genérico e se aplica melhor ao mercado privado, mas não deixa de ser uma reflexão importante:

A verdade é que apesar de toda relevância do tema, a segurança da informação não é um objetivo em si, devendo ser entendida como apenas um meio (ok, um meio MUITO importante!) para garantir que os objetivos de negócio sejam atingidos.

Dessa forma, acredito que a melhor estratégia para ganhar os corações e mentes da alta direção e ter segurança como uma disciplina efetivamente estratégica na sua empresa, passa por responder como segurança da informação torna o negócio mais competitivo, se existe alguma lei/regulamentação/requisito contratual que deve ser obrigatoriamente atendido e, especialmente, qual será a contribuição da segurança da informação para o aumento de receita da empresa?

Paradoxalmente, garantir os itens acima requer uma abordagem diferente do que é empregado na maioria das organizações. Por exemplo, quando criamos um processo de negócio, na maioria das vezes as empresas esperam que este esteja montado, testado, documentado e praticamente em produção para aí pensar, onde se encaixam aspectos de segurança? Em meus anos de consultoria acabei encontrando bastante esse dilema e apelidando carinhosamente de síndrome da cereja do bolo.

Considero a analogia é perfeita, não é possível esperar que o bolo esteja completo, com massa, recheio e cobertura, para apenas nesse momento colocar uma linda cereja e pensar “estamos seguros”. Infelizmente essa abordagem é a que leva aos maiores e mais impactantes incidentes de segurança. Idealmente, temos que garantir requisitos para a proteção dos dados corporativos em todas as fases da montagem do bolo.

Para mudarmos esse paradigma e obter o tão sonhado apoio da Alta Direção é vital que você consiga demonstrar que um alinhamento aos objetivos estratégico não só é viável, como faz parte do objetivo central da área de segurança. Sem um alinhamento claro, não será possível demonstrar o valor real que é entregue ao negócio.

Com essa estratégia e falando no mesmo “idioma” é bem mais fácil conseguir aliados em posições vantajosas, capazes de tornar a Segurança da Informação uma realidade dentro da sua organização.

Próximo desafio? Mudar a CULTURA CORPORATIVA, que como bem dizia Peter Drucker, continua devorando a estratégia no café da manhã.

Ameaças internas e cibersegurança: quais os impactos reais e controles mais efetivos?

QUANDO O ASSUNTO É CIBERSEGURANÇA TENDEMOS A FOCAR EM COMO NOS PROTEGER DO MUNDO EXTERNO EM DETRIMENTO DAS AMEAÇAS INTERNAS. Não que isso esteja exatamente errado: Ransonwares, ataques de negação de serviço, cibercriminosos em todos os locais do planeta e um número impossivelmente alto de fontes de ameaça e vulnerabilidades que podem expor o ambiente corporativo são o pesadelo para qualquer gestor de segurança da informação.

O problema é quando passamos a minimizar os controles que são direcionados para ameaças dentro de casa, incluindo nossos próprios colegas de trabalho, terceiros contratados ou visitantes. Não é nada interessante pensar que a pessoa que está sentada próximo a você pode estar pronta para cometer um ciberdelito, mas a realidade é que fontes internas podem ser tão ou mais impactantes que ataques externos, afinal, possuem conhecimento adquirido sobre o funcionamento da empresa, seus pontos fortes e fracos, e também credenciais e senhas de acesso válidas, que podem ser usadas como base para ataques extremamente direcionados que muitas vezes passam desapercebidos. Todo bom CISO deve buscar meios para frustrar ameaças internas. Mas qual é a maneira realmente efetiva de encarar esse desafio? Bem, vamos a alguns pontos essenciais:

Passo 1: Reconhecendo os tipos de ameaças internas

O primeiro ponto é bastante obvio, é necessário que você entenda as fontes de ameaça internas. Muitos incidentes de segurança ocorrem de maneira acidental, devido a falta de regras ou conhecimento por parte dos envolvidos. Um dos mais comuns são casos onde um colaborador sai da empresa e leva junto um “backup” dos seus e-mails, planilhas e documentos. Malicia? Imperícia? Imprudência? Não importa, é um vazamento de informações corporativas que podem ir parar nas mãos de concorrentes.

Os casos de incidentes deliberados também não são raros. Tive a oportunidade de prestar consultoria a uma empresa que teve o infeliz caso onde um setor inteiro pediu demissão. Haviam copiado todos os arquivos de projetos estratégicos, abriram uma nova empresa e em seguida venceram uma concorrência de mais de USD 10.000.000 que meu cliente estava trabalhando há mais de dois anos.

Pequenos abusos de privilégio também não são incomuns, especialmente dentro da área de TI. Por exemplo, enquanto é difícil encontrar pessoas que “adoram” seguir o processo de gestão de mudanças, não é nada raro ter conhecimento de casos onde a própria equipe de TI burlou regras e, por exemplo, implantou algo diretamente em produção. Parece algo inconsequente, não é? Até um outro cliente me contar como uma pequena alteração em configurações do seu firewall tornaram o sistema de vendas por cartão de crédito inoperante. Era uma grande empresa varejista brasileira, como a paralisação durou em torno de 2 horas, o montante de vendas perdido superou R$ 20.000.000,00 (sim, o valor foi esse mesmo, não errei na digitação…). Foi um preço bem alto para convencer a direção da necessidade de se implantar um plano de recuperação de desastres e melhorar boas práticas de gestão de serviços de TI.

Por fim, a infeliz realidade é que toda grande organização está sujeita a ter em seu quadro pessoas que são literalmente criminosos. Ocorrências de vendas de informações, sabotagens, espionagem, hacking, fraudes e corrupção são muito mais comuns do que imaginamos e – novamente – em boa parte das vezes não são descobertas a tempo.

Passo 2: Gerenciando riscos internos

Entender as fontes de ameaça é um ponto essencial, mas apenas isso não vai impedir a ocorrência de incidentes. Construir uma boa gestão de riscos é fundamental, assim como entender que o seu escopo deve estar alinhado a realidade da empresa. O que queremos proteger? Quais são os impactos reais que ocorrências de segurança podem causar? Quais são os controles atuais de segurança da informação e o que ainda precisamos implantar para garantir níveis adequados de proteção?

Todas essas são questões que devem ser respondidas não só uma vez, mas sim periodicamente, afinal a gestão de riscos é um processo contínuo, que vai exigir investimento e disciplina para poder ser realmente efetivo. Existem diversas publicações que podem ajudar CISOS a implantar um bom programa de gerenciamento de riscos, mas como o tema é segurança da informação recomendo particularmente a ISO 27005 em conjunto com o CobiT 5.

Passo 3: Usando a tecnologia para se proteger de ciberameaças

Existem inúmeras soluções focadas na proteção contra as mais recentes ciberameaças. Se você já sabe o que realmente precisa proteger, busque entender como a tecnologia pode trabalhar a seu favor. Machine Learning, IA, ATP, DLP são todas buzzwords que ficam maravilhosas em apresentações no Power Point, mas entenda que soluções tecnológicas devem estar bem alinhadas com a sua gestão de riscos. Afinal, comprar uma ferramenta apenas por que ela aparece como líder no quadrante mágico do Gartner pode ser um péssimo investimento se você não conseguir realizar o tratamento de riscos específicos ao seu cenário atual.

Será que estamos olhando para soluções que pensam somente nos riscos externos? Será que parte dos controles essenciais que usamos em sistemas publicados na internet não são deixados de lado quando são acessados apenas dentro de casa? Como andam suas trilhas de auditoria? Você consegue identificar quem fez o que e quando? Essas são perguntas que devem ser respondidas para tratar ameaças internas.

99% bom funcionário.. mas aquele 1% é cibercriminoso 🙂

Passo 4: Entendendo a importância dos processos para Segurança da Informação

Tecnologia não é o único fator que vai garantir uma boa proteção ao seu ambiente. Criar processos adequados a sua realidade deve ser uma prioridade para a gestão de segurança da informação. Uma boa gestão de identidades pode prevenir muitos casos de vazamento ou abuso de privilégios. Outro ponto interessante é ter um bom alinhamento com o departamento de recursos humanos, e em alguns casos específicos com o jurídico, sobre verificação de antecedentes e saúde financeira de novos colaboradores ou mesmo veteranos que ocupam posições críticas na organização. Esse é um tema delicado, mas um empregado que está passando por uma situação financeira difícil e tem acesso a ativos estratégicos da organização, pode se sentir tentado a cometer fraudes ou mesmo participar em ações de espionagem industrial, venda de informações sensíveis.

Um dos processos mais importantes é o de resposta a incidentes de segurança da informação. Muitas ocorrências passam dias, meses ou mesmo anos até ser descobertas. Nesse caso a única opção é aprender com os erros e assumir o impacto. Idealmente, uma boa gestão de incidentes deve ser efetiva na detecção e resposta de ocorrências de segurança independentemente se a origem é interna ou externa.

O fato é que processos são vivos, precisam amadurecer constantemente e tirar lições aprendidas de desvios e ocorrências impactantes. Mas nada disso vai bastar se sua equipe não estiver adequadamente treinada e disciplinada para seguir cada passo necessário. Processos que não são respeitados tendem a ser contornados e esquecidos, só são realmente lembrados quando algo dá errado, o que é bem provável nesse cenário.

Passo 5: Educando pessoas e mudando a cultura corporativa

Educação e cultura corporativa são os dois pontos relacionados a Segurança da Informação que mais me chamam atenção nos últimos anos. Infelizmente boa parte das vezes ambos são postos de lado justamente por que falta uma percepção real de sua importância como ferramenta disruptiva para criação de um novo patamar de proteção.

Pessoas muitas vezes são vistas como o elo mais fraco na segurança da informação, mas quando adequadamente treinadas e conscientes da importância que possuem na proteção do ambiente corporativo, funcionam extremamente bem como firewalls humanos. O primeiro passo é ter um bom entendimento da atual cultura corporativa buscar o apoio da alta direção na criação de um programa de conscientização sobre segurança da informação.

Mudar a forma como pessoas pensam e agem é bem mais demorado do que alterar uma configuração ou implantar uma nova tecnologia, mas no longo prazo o resultado é muito mais significativo. Um programa de conscientização efetivo vai garantir que um nível adequado de educação seja entregue a todos os níveis corporativos: Colaboradores que são apenas usuários de sistemas devem ter noções das políticas e procedimentos adotados pela empresa, assim como conhecimento básico dos principais conceitos de segurança. Executivos devem estar cientes de ameaças mais avançadas/direcionadas como ataques de engenharia social e spear phishing. A equipe de segurança deve receber níveis adequados de treinamento em todas as tecnologias adotadas. E por último, mas nem um pouco menos relevante, todos devem estar cientes das consequências de se violar regras ou mesmo tentar cometer ilícitos, a organização nunca deve ter medo – e precisa ser extremamente clara – sobre como serão aplicadas sanções e punições.

Seguir esses passos garante que todas ameaças internas estarão contidas? Infelizmente não, toda boa gestão de riscos parte do princípio que certas ameaças não são completamente eliminadas, o importante é garantir níveis apropriados de tratamento aos riscos e se você adotar as recomendações acima, com certeza, é isso que vai acontecer.

GRC+DRIDay 2016: Impressões do evento!

GRC+DRIDay 2016: Impressões do evento!

FALAR DE UM EVENTO ORGANIZADO PELA DARYUS, que é uma empresa onde trabalhei como consultor por 3 anos, pode até parecer parcial, já que é uma oportunidade de encontrar colegas e amigos que não vejo com tanta frequência. Pondo isso de lado, acredito que consigo reportar com total imparcialidade e concluir que o GRC+DRIDay continua um dos mais relevantes encontros para tratar – no nível estratégico – de Governança, Riscos, Conformidade, Segurança da Informação e Continuidade de Negócios.

Bem, vamos a minhas impressões sobre o evento!

5grc4driday-logo-com-data

DIA 1: O primeiro dia do evento é focado em GRC – Governança, Riscos e Conformidade e logo após a abertura oficial, começaram com apresentações bem interessantes.

Flávio Rímoli – Camargo Corrêa – Governança Corporativa

A primeira apresentação foi do Flávio Rímoli, Vice Presidente de Governança e Compliance na Camargo Corrêa, falando sobre o “Reposicionamento de Compliance na Estrutura Empresarial.”. Obviamente essa foi uma apresentação bem ousada, dado o cenário atual que passa a Camargo Corrêa no meio da operação Lava Jato.

grcdri01

Um dos pontos que mais me chamou a atenção foi Rímoli ter começado falando sobre Cultura Corporativa e o foco no “Tone from the top!”, algo que venho debatendo fortemente como a única maneira de se mudar a realidade e maturidade das empresas no Brasil.

A apresentação em si foi bastante pragmática e não deixa dúvidas que – se o que foi exposto for seguido de maneira séria e transparente – a Camargo Corrêa vai viver uma nova realidade que – talvez – em alguns anos possa conseguir recuperar parte do prestigio anterior.

Victor Oliveira – Grupo 3 Corações – Conformidade

O Grupo 3 Corações é uma empresa que vem crescendo na última década tanto em mercado quanto em maturidade corporativa. Não é a toa que a apresentação do CFO Victor Oliveira, demonstrou claramente a importância de se estar conforme com legislações e boas práticas.

grcdri02

Novamente, fiquei feliz em ouvir o termo Cultura Corporativa logo no começo da apresentação, e na visão bem pragmática do Victor que “Compliance se faz com pessoas, regras – são sim importantes – mas não podem ser seguidas de maneira cega e sem análise crítica”.

PAINEL: A Importância de GRC para a transparência e sustentabilidade das organizações no Brasil

A seguir tivemos o primeiro painel do evento, contando com Rony Vainzof da Opice Blum como moderador e os painelistas: Jeferson D’Addario (DARYUS), Carlos Campagnoli (SANOFI), Fay Diederichs Ivanovich e Mercedes Stinco (IBGC).

grcdri03

A discussão começou em torno do posicionamento reativo das empresas e novamente, da necessidade de se mudar a cultura das organizações para um modelo mais maduro e proativo. Essa é a única forma de se tratar incidentes de maneira adequada e reduzir o impacto para o negócio.

Camilla Do Vale Jimene – Opice Blum – GRC

Infelizmente, devido a um incidente envolvendo um copo de expresso da 3 Corações e meu terno, não pude acompanhar por inteiro a palestra da Dra. Camila.

grcdri04

Um dos pontos que me chamou a atenção – antes da minha retirada estratégica – foi a menção de pesquisas recentes que indicam que até 20% dos empregados não tem escrúpulos em violar regras de segurança, ou mesmo cometer crimes como vazamento /roubo de informações. Certamente esses números são bem assustadores para organizações de todos os portes.

Hélio Cordeiro – Grupo DARYUS – Inovação Disruptiva

Gosto muito do tema Inovação Disruptivaé uma mudança de paradigma que as organizações não podem fingir que não existe. O impacto de novas tecnologias e comportamentos é certo e só tende a crescer nos próximos anos. Hélio falou muito bem sobre a “Uberização” dos segmentos tradicionais de negócios, algo que deve ser cada vez mais comum e que – até certo ponto – cria o risco de reduzir a relevância de empresas tradicionais que não se adaptarem nos próximos anos.

grcdri05

Um dos pontos mais interessantes foi o conceito de “Supply Chain de Dados”, que se apropria de uma metodologia já bem estabelecida, portando-a a era digital. Olhando com a visão de cibersegurança, é interessante pensar em como proteger a informação em todo seu ciclo de vida, especialmente quando ela está fora do controle corporativo, mas ainda pode causar impactos.

Cláudio Yamashita – Intralinks – Conformidade

Empresa Compliant é empresa que cresce!“. Apesar de incluir um leve tom comercial, a palestra do Cláudio Yamashita da Intralinks mostrou de forma interessante que nenhuma empresa faz negócio sem colaborar com o “mundo externo”.

grc-intralinks

A tendência é que a importância da informação em tráfego só aumente, “Porém informação em tráfego é informação em risco!”. A melhor frase da apresentação é algo que concordo plenamente: “O conteúdo é o novo perímetro de segurança da informação!“. Essa é a realidade que as equipes de cibersegurança estão enfrentando diariamente.

Ricardo Tavares – DARYUS – CiberSegurança

Conheço o Tavares pessoalmente dos trabalhos que fizemos juntos na DARYUS. Conversar com ele é sempre uma diversão, pois o assunto muda constantemente, incluindo as últimas novidades de seginfo vindas da Defcon/BlackHat, a ufologia e hipnose (Sim! Esses dois últimos foram o ponto alto do almoço e renderam boas risadas na nossa mesa no segundo dia do evento!).

grcdri07

No palanque, o Ricardo falou sobre o amadurecimento do cibercrime e como hoje é fácil consumir o CaaS (Crime as a Service) através da DeepWeb/Darknet (veja os valores na imagem acima!).  Esse fato explica como o cybercrime foi considerada a maior ameaça – superando o terrorismo – no Fórum Mundial de Davos.

Quanto a boas práticas, Tavares falou dos Critical Security Controls da Center for Internet Security, que são uma abordagem interessante para montar uma defesa cibernética efetiva. A metodologia é gratuita e pode ser baixada aqui: https://www.cisecurity.org/critical-controls

PAINEL: GRC 2016 – Compliance frente à nova Era!

O primeiro dia foi encerrado com um excelente painel sobre conformidade. Em um tom razoavelmente descontraído, os especialistas Jeferson D’Addario (DARYUS),  ‎Marcos Assi (MASSI Consultoria), Flávio Rímoli (Camargo Corrêa), Cláudio Yamashita (Intralinks), ‎Ademar Albertin (EXIN) e‎ Pedro Nuno discutiram como as empresas devem encarar o temido Compliance.

grc-painel01

Novamente, o tema essencial é a mudança na cultura corporativa, junto de inovação, melhoria na legislação brasileira e como entender o Compliance como um diferencial competitivo viável para as organizações.

DIA 2 – O segundo dia do evento é denominado “DRIDay” e tem um foco maior em temas como Continuidade, Recuperação de Desastres, Cibersegurança.

Chloe Demrovsky – DRI – Resiliência

O Segundo dia do evento começou com a palestra da Chloe Demrovsky, Diretora Executiva na DRI International, uma instituição sem fins lucrativos que ajuda organizações a se preparar e lidar com desastres. Eles são sem dúvida os lideres globais em educação no ramo de Continuidade de Negócios, com presença em mais de 50 países.

grc-DRI

A apresentação de Chloe discutiu – dentre outros assuntos – um desastre ocorrido em uma fábrica em Bangladesh (veja mais aqui 2013 Savar building collapse) que vitimou tanto adultos e crianças que trabalhavam no local e gerou uma comoção em escala mundial e ampla discussão sobre responsabilidade social corporativa, mesmo através de cadeias de suprimento.

Novamente, cibersegurança também ganhou os holofotes como o tema que atualmente apresenta maior risco as organizações e eventos como, por exemplo, as olimpíadas Rio 2016.

Robert-Jan Willemsen – EXIN Netherlands – Educação

Infelizmente não tive como assistir toda a palestra do Robert-Jan, pois fui para a reunião dos painelistas. Nos 15 minutos iniciais que eu assisti, a discussão estava muito boa sobre o framework de capacitação da EXIN e como conseguir a pessoa certa, com a habilidade certa e no local certo.

grc-exin

Tive a oportunidade de assistir outra palestra do Robert no GRM Recife em 2014, com um tema bem similar, e acredito que é algo que as empresas precisam. Em especial a área de cibersegurança apresenta uma lacuna enorme quanto a profissionais bem capacitados.

PAINEL: Cyber Security – O desafio corporativo!

Enfim chegou a hora da minha primeira contribuição ao evento! A oportunidade de poder representar o Grupo Edson Queiroz e discutir cibersegurança o lado de nomes de peso como Chloe Demrovsky (DRI), Karol Cordeiro (DRI), Dr. Renato Opice Blum (Opice Blum advogados), Afonso Nassif (Intralinks) e Allan de Aveiro dos Santos (Even) foi um momento impar. O painel foi moderado por Ricardo Tavares (DARYUS), que na reunião prévia, havia prometido colocar fogo nos temas abordados!

grc-painel-dodt01

De minha parte, procurei manter o foco na mudança da Cultura Corporativa, desenvolvimento de equipes e em uma abordagem pragmática a cibersegurança. Agradeço aos membros do recém formado GPSI/CE – Grupo de Profissionais de Segurança da Informação do Estado do Ceará – pela sugestão de temas e desafios próximos a realidade  da nossa região (Skill Gap, Machine Leanrning, Threat Intelligence SIEM, dentre outros).

Dr. Renato fez algumas observações muito interessantes sobre casos recentes como – por exemplo – o whatsapp. Outro ponto de nota foi o entendimento que – mesmo estando compliant e seguindo boas práticas – não existem garantias que incidentes não vão ocorrer. Na verdade uma empresa em conformidade com legislações e normas ISO está apenas mais madura e preparada para tratar esses incidentes e ter um menor impacto.

Rafael Koike – Amazon Web Service – Cibersegurança/Continuidade

grc-aws

Infelizmente também não tive como acompanhar a apresentação do Rafael, pois novamente fui a reunião dos painelistas. Mas pelo que conversamos na hora do almoço, o tema me pareceu bastante interessante.

PAINEL: Como avaliar as ameaças de curto prazo que levam à interrupção dos negócios.

Novamente, subi ao palco junto de profissionais renomados como ‎Ricardo Tavares (DARYUS), ‎Alexandre Guindani (CAIXA), ‎Eduardo Hasegawa (HSBC),  ‎Carlos Campagnoli (SANOFI), ‎Fernando Carbone (Kroll). Dessa vez, o foco era gestão de riscos e continuidade de negócios.

grc-painel-dodt02

O tema central do painel gerou controvérsia desde a reunião feita entre os palestrantes, afinal o que são ameaças de curto prazo? Algo que pode interromper o negócio por um curto período com impacto elevado ou algo que está em eminente ocorrência? Na dúvida, os painelistas procuraram discutir com ambas as visões.

A discussão abordou pontos essenciais para tratar ameaças, dentre os quais ressalto a necessidade de conhecer o negócio, o seu apetite de risco e o contexto em que a organização está envolvida. Sem isso é impossível entender realmente a extensão de ameaças, sejam essas de curto ou longo prazo.

Um item interessante levantado pelo moderador Fernando Carbone, foi uma pesquisa recente que apontava como a “ameaça” mais relevante – no ponto de vista dos gestores – uma “interrupção prolongada dos negócios”, cibersegurança ficava apenas na 4 posição no mesmo ranking.

grc-selfie
Selfie dos painelistas junto a Jeferson D’Addario (CEO Daryus)

Meu argumento foi que, embora conceitualmente incorreto (a interrupção nos negócios é a concretização de uma ameaça e não uma ameaça em si), isso demonstra que gestores não estão especificamente preocupados com a causa da interrupção e sim de como isso afeta suas organizações.

Novamente, meu ponto de vista é que precisamos de uma abordagem pragmática para cruzar o abismo existente entre o negócio e áreas como Cibersegurança/GCN/Recuperação de Desastres.

Impressões finais

Infelizmente não pude ficar até o final do evento, pois existia uma ameaça de bloqueio do acesso ao aeroporto em Guarulhos por manifestações. De uma forma ou de outra, foi interessante sair da discussão teórica e ser lembrado, de maneira prática, da celeridade das ameaças, que surgem de forma inesperada e afetam não só negócios, mas também nossas vidas. Afinal, esse é o cerne do que estávamos discutimos nos dois dias de evento.

O fato é que organizações não podem mais usar a metodologia do avestruz  para tratar riscos. Meses atrás assistimos abismados ao maior desastre socioambiental da história brasileira, que roubou não apenas vidas, mas a existência de uma cidade inteira! Estamos vivendo um momento político altamente instável e inflamável, as olimpíadas já desapontam em meros meses (e claro, temos obras atrasadas e desastres e perdas de vidas humanas no histórico). Quantos casos poderiam ter sido evitados? Quantas pessoas salvas se levássemos GRC mais a sério? Infelizmente esse é um número depressivamente alto.

Por favor: #Não!
Por favor: #Não!

A meu ver – e prometo que essa é a última vez que menciono nesse artigo – nossa única esperança é mudarmos a cultura corporativa das empresas, fazer com que líderes estejam cientes das decisões e de suas implicações tanto no negócio, quanto em um contexto social. O que me deixou feliz durante o GRC+DRIDay 2016 foi ouvir, não só dos palestrantes, mas também da comunidade presente, que esse tema vem ganhando cada vez mais força nas grandes organizações. Ainda temos esperança!

CULTURA CORPORATIVA: uma grande ferramenta de Segurança da Informação que é prontamente negligenciada.

CULTURA CORPORATIVA É UMA DAS MAIS BÁSICAS E RELEVANTES FERRAMENTAS PARA SEGURANÇA DA INFORMAÇÃO. A Cultura, de uma forma geral, pode ser entendida como o conjunto das ideias, costumes e comportamento social de um grupo específico. Isso se traduz em valores, convicções, ideologias, crenças, comportamentos de grupo. No meio corporativo, nada mais natural que absolutamente toda organização tenha sua cultura própria. E sim, essa é um dos mais fortes instrumentos para construção, ou destruição, de um ambiente seguro.

O fato é que a CULTURA DEVORA A ESTRATÉGIA NO CAFÉ DA MANHÃ. A frase, originalmente atribuída a Peter Drucker, nunca foi tão verdadeira quanto nas organizações modernas, especialmente no que é relacionado a Segurança da Informação e Gestão de Riscos. A cultura corporativa pode tanto motivar quanto drenar a energia dos profissionais da organização. Entenda: A cultura é o ambiente onde a estratégia corporativa, mesmo a mais bem definida, floresce ou padece. Qualquer companhia que tente desconectar esses dois fatores, está trazendo um grande risco no seu caminho para o sucesso.

Você tem toda razão, meu caro sr. Drucker!
Você tem toda razão, meu caro sr. Drucker!

Durante os últimos anos, várias empresas têm aprendido – da maneira mais difícil – que negligenciar Segurança da Informação pode trazer impactos desastrosos sobre operações, marca e resultados financeiros. Este cenário nos leva a acreditar que a mentalidade da alta direção deve ter evoluído para uma abordagem mais madura, onde a segurança é vista como um facilitador de negócios e incorporada em todos os aspectos da estratégia e transmitida na cultura corporativa, correto? Longe disso.

Leia mais

(ISC)² Security Congress LATAM 2015: Surviving a poor cybersecurity corporate culture

Prezados colegas,

Fico muito feliz em anunciar que meu trabalho foi selecionado para apresentação no (ISC)² Security Congress Latin America 2015, que acontecerá em São Paulo nos dias 24 e 25 de novembro.

congresso-isc2-latam

Minha apresentação tem o tema Information Security – Surviving a poor cybersecurity corporate culture, para os que se interessarem, segue o resumo* que enviei para o congresso:

During the last couple of years, several companies have learned – the hard way – that neglecting Information Security can have disastrous impacts on operations, brand and financial results. This scenario prompt us to believe that the manager mindset should have evolved to a more mature approach, where security is seen as a business enabler and incorporated on every aspect of the strategy.

The truth is that – even now – little has changed. Security is still mostly regarded as a pure technical discipline and perceived as unnecessary cost and bureaucracy by managers and business alike. That is until a major incident happens, and all of the sudden those alerts sent by the security team become relevant.

Who is to blame? The business that disregarded sound advice, or the Security Team that did not know how to communicate in business terms?

The great challenge is not a technical one. Cloud, Big Data, Business Transactions, Data Leakage, for each risk there are several technologies that could be implemented to solve the issue. However, that amounts to nothing compared to the trials of create a strong cybersecurity culture, involving strategy, mature processes and specially people.

The main objective of this presentation is to discuss the creation of communication bridges from the Information Security Team to all levels of the business. Going beyond the simple implementation of technology, to address the challenge of creating a proactive cybersecurity mindset.

* o resumo ainda está em inglês, pois isso era uma exigência para avaliação dos trabalhos. Nos próximos dias pretendo publicar a versão integral do artigo original em português.