CULTURA CORPORATIVA: uma grande ferramenta de Segurança da Informação que é prontamente negligenciada.

CULTURA CORPORATIVA É UMA DAS MAIS BÁSICAS E RELEVANTES FERRAMENTAS PARA SEGURANÇA DA INFORMAÇÃO. A Cultura, de uma forma geral, pode ser entendida como o conjunto das ideias, costumes e comportamento social de um grupo específico. Isso se traduz em valores, convicções, ideologias, crenças, comportamentos de grupo. No meio corporativo, nada mais natural que absolutamente toda organização tenha sua cultura própria. E sim, essa é um dos mais fortes instrumentos para construção, ou destruição, de um ambiente seguro.

O fato é que a CULTURA DEVORA A ESTRATÉGIA NO CAFÉ DA MANHÃ. A frase, originalmente atribuída a Peter Drucker, nunca foi tão verdadeira quanto nas organizações modernas, especialmente no que é relacionado a Segurança da Informação e Gestão de Riscos. A cultura corporativa pode tanto motivar quanto drenar a energia dos profissionais da organização. Entenda: A cultura é o ambiente onde a estratégia corporativa, mesmo a mais bem definida, floresce ou padece. Qualquer companhia que tente desconectar esses dois fatores, está trazendo um grande risco no seu caminho para o sucesso.

Você tem toda razão, meu caro sr. Drucker!
Você tem toda razão, meu caro sr. Drucker!

Durante os últimos anos, várias empresas têm aprendido – da maneira mais difícil – que negligenciar Segurança da Informação pode trazer impactos desastrosos sobre operações, marca e resultados financeiros. Este cenário nos leva a acreditar que a mentalidade da alta direção deve ter evoluído para uma abordagem mais madura, onde a segurança é vista como um facilitador de negócios e incorporada em todos os aspectos da estratégia e transmitida na cultura corporativa, correto? Longe disso.

A verdade é que – até agora – pouco mudou. Segurança ainda é vista primariamente como uma disciplina puramente técnica e percebida como custos e burocracia desnecessários por parte dos gestores e das empresas.

O grande desafio não é uma questão técnica. Nuvem, Big Data, transações comerciais, vazamento de dados, para cada item de risco existem inúmeras tecnologias que poderiam ser implementadas como solução. No entanto, tudo isso parece simples em comparação com o trabalho de se criar uma cultura de cibersegurança forte, envolvendo estratégia, processos maduros e, especialmente, pessoas.

Que tal um bom exemplo prático, razoavelmente recente? Bem, se você acompanha o tema “segurança” deve ter ouvido falar do vazamento de informações ocorrido na Target. O incidente, que aconteceu no final de 2013, se iniciou através de computadores de uma prestadora de serviços, culminando na instalação de um código malicioso nos POS (pontos de venda, onde são lidas informações dos clientes).

Sorry, não resisti a piadinha!
A Target foi um alvo e tanto!

O resultado foi o vazamento de 40 milhões de registros de cartões de crédito e débito, além de 70 milhões de registros de clientes. As consequências?  O que você acha de perdas em seu resultado financeiro que totalizaram aproximadamente USD 148 milhões, além de uma multa de USD 10 milhões. Isso sem contar demissão do CIO, CSO e nos danos a marca, que não vão ser esquecidos tão cedo.

O que muitas vezes passa desapercebido é que a Target possuía um bom time de Segurança da Informação/Segurança de TI. Meses antes da ocorrência do incidente, a direção foi avisada pela própria equipe de segurança que existiam vulnerabilidades, e que estas precisavam ser tratadas. Durante a própria ocorrência da invasão, vários alertas avisaram da existência do malware. Ambas situações foram prontamente negligenciadas pelo negócio, que preferiu focar nas vendas do período natalino.

Quem é o culpado? O negócio que ignorou bons conselhos e alertas críticos, ou o time de segurança que, mesmo sabendo de uma possível invasão, falhou em comunicar o risco real nos termos do negócio? Bem, na minha humilde visão, o problema está na cultura corporativa, que permitiu a criação de um enorme abismo entre quem buscava obter mais vendas e quem deveria proteger a organização.

Cultura Corporativa: Nunca subestime sua importância para a cibersegurança!
Cultura Corporativa: Nunca subestime sua importância para a cibersegurança!

A solução não é tão simples quanto se aparenta. É preciso se criar pontes de comunicação entre a equipe de Segurança da Informação a todos os níveis da empresa. Limitar a proteção a simples implementação de tecnologia, e não enfrentar o desafio de criar uma mentalidade de segurança cibernética proativa é a receita certa para o insucesso.

Quer começar a fazer a SegInfo funcionar da maneira certa? Aprenda a conversar com a alta direção da sua empresa, não em termos de bit-byte/zero-um, e sim falando em objetivos de negócio e como esses podem ser impactados pela falta de bons controles de segurança. Faça isso e bem, um dia quem sabe você será visto como Pontifex Maximus.

Sim! Devemos pensar em como nos tornar supremos construtores de pontes!
Sim! Devemos pensar em como nos tornar supremos construtores de pontes!

Artigo originalmente publicado na revista TI Nordeste, edição de Outubro de 2015 (cuidado, PDF!)

Fontes:

http://www.bloomberg.com/bw/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data

http://pressroom.target.com/news/target-provides-preliminary-update-on-second-quarter-expenses-related-to-the-data-breach-and-debt-retirement

http://www.reuters.com/article/2015/03/19/us-target-settlement-idUSKBN0MF04K20150319

http://www.wsj.com/articles/SB10001424052702304703804579381520736715690

https://pt.wikipedia.org/wiki/Pontífice_máximo

https://pt.wikipedia.org/wiki/Peter_Drucker

Comentários

Comentários