Executivos brasileiros não têm ideia do que é Cibersegurança (e adivinhe de quem é a culpa!)

CASSANDRA É UM PERSONAGEM FAMOSO NA MITOLOGIA GREGA. Devota de Apolo, recebeu deste o dom da profecia. Mas quando recusou-se a dormir com o Deus da Arte, foi amaldiçoada: Ninguém jamais acreditaria nas suas profecias ou previsões! Considerada como louca, a falta de credibilidade em suas visões levou a queda de Tróia.

Muitas vezes quando trabalhamos com Segurança da Informação, parece que sofremos do mesmo mal, o Complexo de Cassandra. Claro, não estamos fazendo previsões com o dom da profecia (eu espero!), mas usando análises baseadas em frameworks e melhores práticas de mercado. O resultado, porém, é o mesmo. Apesar de poder “prever”  riscos e possíveis incidentes no futuro, somos taxados como paranoicos pessimistas, e a alta direção ou o corpo executivo da organização descarta a possibilidade baseado na ideia de que aquilo “nunca vai acontecer na nossa empresa”.

Espero que essa não seja sua metodologia de Análise de Riscos.
Espero que essa não seja sua metodologia de Análise de Riscos.

O fato é que uma pesquisa recente, realizada Alvarez & Marsal com 150 executivos seniores de empresas brasileiras, mostra que a maioria tem uma noção apenas superficial dos riscos, e do que é CyberSecutiry. Os resultados apontam que 20% dos entrevistados não sabem quem é o responsável pela segurança cibernética em suas organizações. Outros 28% acham que o assunto é uma responsabilidade de TIC.

Quem trabalha há um tempinho na área de SegInfo, sabe que essa situação não é nenhuma novidade. Ficam duas perguntas:

Se Executivos não sabem o que é Segurança Cibernética, será que entendem o que é Segurança da Informação?

E será que os executivos são os únicos responsáveis por essa situação?

Em ultima instância a Alta Direção de qualquer organização sempre será responsabilizada por incidentes de segurança como, por exemplo, vazamentos de informações, fraudes, erros (propositais ou não). Isso independe se o fato foi uma falha técnica (segurança cibernética) ou se ocorreu fora do mundo digital, que por acaso ainda cai dentro do escopo da Segurança da Informação.

Pensando de acordo com a Norma ISO 27001:2013, uma boa Gestão de SegInfo deve englobar adequadamente Pessoas, Processos e Tecnologia. Afinal, uma das características básicas da informação é sua capacidade de mudar de meio de armazenamento, e pouco faz diferença se um vazamento ocorreu por conta de uma vulnerabilidade de SQL Injection ou num descarte inseguro de relatórios impressos. Se a quantidade de informação afetada for a mesma, o impacto negativo é igual.

Ok! Agora me explique o que é Segurança da Informação.
Ok! Agora me explique o que é Segurança da Informação.

Segurança é uma disciplina estratégica. Cabe aos Gestores da área de SegInfo conscientizar o negócio sobre sua relevância e explicar como uma ausência de controles pode ter um severo impacto negativo na operação, imagem ou reputação da empresa. A ideia central, é que a informação precisa ser protegida independentemente do seu formato, esteja ela em servidores locais, na nuvem, impressa ou armazenada em microfilme.

Muitas vezes falhamos em comunicar esses aspectos. Esquecemos que aprender a entender as estratégias, objetivos e a dialogar no idioma do negócio ($$$ na maioria das vezes!) é tão ou mais importante quanto saber escovar bits para hardenizar um sistema operacional.

Essa perspectiva leva a outra pergunta bem relevante: Assim como os executivos que não sabem o que é Segurança da Informação ou Cibersegurança, será que os profissionais da SegInfo entendem realmente o que precisa ser protegido e conseguem dialogar na linguagem do negócio?

Infelizmente ainda vivemos numa cultura da Síndrome do Appliance: Só nos sentimos protegidos quando existe um Led piscando no Rack. Essa postura, muitas vezes propagada pelos próprios profissionais da área de SegInfo, é uma maneira mais fácil lidar com os anseios de executivos.

Claro, apresentar um hardware que pode ser pesado, medido, tocado e ter um “resultado imediato”, é muito mais fácil do que lutar por controles mais “abstratos” como políticas, normas e procedimentos que exigem uma mudança na postura dos colaboradores e da organização como um todo. Isso serve apenas para propagar a ideia de que Segurança da Informação é uma “responsabilidade exclusiva de TI”.

Quer ser um bom Gestor de SI? Além de ter uma boa compreensão dos aspectos técnicos, aprenda a dialogar com os executivos no idioma deles e procure sempre manter sua área alinhada aos objetivos do negócio. E se mesmo assim o Complexo de Cassandra não diminuir, bem, você lembra o que aconteceu com Troia não é?

Fire_of_Troy
O Fogo de Troia. Ok Cassandra, você estava certa!

Fontes:

http://www.administradores.com.br/noticias/tecnologia/analise-executivos-brasileiros-nao-tem-ideia-do-que-e-ciberseguranca/84408/

http://alvarezandmarsaleurope.com/pesquisa

Comentários

Comentários

2 opiniões sobre “Executivos brasileiros não têm ideia do que é Cibersegurança (e adivinhe de quem é a culpa!)

  • 10 de fevereiro de 2014 em 12:56
    Permalink

    A sena de sec no brasil ainda é pequena de mais, maioria dos empresários brasileiros realmente nem sabem do se trata inteligência cibernética, eles ainda acham que é coisa de filme de espionagem 007 e coisa assim.. Perdi as contas de quantas empresas ditas grandes do brasil cheias de falhas de sec e seus bancos de dados a deriva no oceano digital pra quem quiser!

    • 10 de fevereiro de 2014 em 13:36
      Permalink

      Olá Giba, compreendo seu ponto de vista, mas tenho de descordar. O cenário de Segurança da Informação no Brasil tem crescido a passos razoavelmente largos nos últimos anos. Claro, existem empresas grandes que apresentam falhas de segurança, mas isso não é um problema exclusivo nosso. Posso citar inúmeros incidentes em grandes empresas americanas ou europeias.

      O caso é que ainda precisamos despertar uma cultura corporativa de proteção a informação, e no meu entendimento, profissionais de SegInfo tem que aprender a conversar melhor com alta direção, não falando apenas em termos técnicos, mas sabendo explicar ameaças e impactos nos termos do negócio.

Os comentários estão desativados.