Alta Direção: Como a Segurança da Informação deve conquistar seu apoio?

Alta Direção: Como a Segurança da Informação deve conquistar seu apoio?

UM DOS MAIORES DESAFIOS PARA SEGURANÇA DA INFORMAÇÃO É A CONQUISTA DO APOIO DA ALTA DIREÇÃO.  Esse tema é tão relevante que a ISO 27001, em sua última atualização, resolveu dedicar uma seção exclusiva para falar de liderança e comprometimento da alta direção.

Mas o que tona isso é tão difícil? No cenário de hoje notícias de vazamento/venda/sequestro de informações se tornaram rotina e isso é só a ponta do iceberg dos incidentes de segurança da informação. Com ameaças tanto internas quanto externas, era de se esperar que o tema tivesse mais aceitação no nível de diretoria ou do board, mas essa nem sempre é a realidade.

O que nós, profissionais da área de segurança da informação, estamos fazendo errado? Bem, muitas vezes é uma questão de foco. Infelizmente, segurança ainda é entendida como uma disciplina primariamente técnica, algo extremamente prejudicial e que joga por terra a ideia de conseguir dar alguma contribuição para a estratégia corporativa. Mas como vamos conseguir mudar isso?

Sem citar diretamente Sun Tzu, e partindo do princípio que você já conhece suas próprias limitações, o primeiro e mais importante passo é compreender como funciona a mente de um gestor. Pense bem, quais são os motivadores que levam alguém responsável pelo futuro e sucesso de uma corporação a tomar uma decisão? O exemplo a seguir é bastante genérico e se aplica melhor ao mercado privado, mas não deixa de ser uma reflexão importante:

A verdade é que apesar de toda relevância do tema, a segurança da informação não é um objetivo em si, devendo ser entendida como apenas um meio (ok, um meio MUITO importante!) para garantir que os objetivos de negócio sejam atingidos.

Dessa forma, acredito que a melhor estratégia para ganhar os corações e mentes da alta direção e ter segurança como uma disciplina efetivamente estratégica na sua empresa, passa por responder como segurança da informação torna o negócio mais competitivo, se existe alguma lei/regulamentação/requisito contratual que deve ser obrigatoriamente atendido e, especialmente, qual será a contribuição da segurança da informação para o aumento de receita da empresa?

Paradoxalmente, garantir os itens acima requer uma abordagem diferente do que é empregado na maioria das organizações. Por exemplo, quando criamos um processo de negócio, na maioria das vezes as empresas esperam que este esteja montado, testado, documentado e praticamente em produção para aí pensar, onde se encaixam aspectos de segurança? Em meus anos de consultoria acabei encontrando bastante esse dilema e apelidando carinhosamente de síndrome da cereja do bolo.

Considero a analogia é perfeita, não é possível esperar que o bolo esteja completo, com massa, recheio e cobertura, para apenas nesse momento colocar uma linda cereja e pensar “estamos seguros”. Infelizmente essa abordagem é a que leva aos maiores e mais impactantes incidentes de segurança. Idealmente, temos que garantir requisitos para a proteção dos dados corporativos em todas as fases da montagem do bolo.

Para mudarmos esse paradigma e obter o tão sonhado apoio da Alta Direção é vital que você consiga demonstrar que um alinhamento aos objetivos estratégico não só é viável, como faz parte do objetivo central da área de segurança. Sem um alinhamento claro, não será possível demonstrar o valor real que é entregue ao negócio.

Com essa estratégia e falando no mesmo “idioma” é bem mais fácil conseguir aliados em posições vantajosas, capazes de tornar a Segurança da Informação uma realidade dentro da sua organização.

Próximo desafio? Mudar a CULTURA CORPORATIVA, que como bem dizia Peter Drucker, continua devorando a estratégia no café da manhã.

CULTURA CORPORATIVA: uma grande ferramenta de Segurança da Informação que é prontamente negligenciada.

CULTURA CORPORATIVA É UMA DAS MAIS BÁSICAS E RELEVANTES FERRAMENTAS PARA SEGURANÇA DA INFORMAÇÃO. A Cultura, de uma forma geral, pode ser entendida como o conjunto das ideias, costumes e comportamento social de um grupo específico. Isso se traduz em valores, convicções, ideologias, crenças, comportamentos de grupo. No meio corporativo, nada mais natural que absolutamente toda organização tenha sua cultura própria. E sim, essa é um dos mais fortes instrumentos para construção, ou destruição, de um ambiente seguro.

O fato é que a CULTURA DEVORA A ESTRATÉGIA NO CAFÉ DA MANHÃ. A frase, originalmente atribuída a Peter Drucker, nunca foi tão verdadeira quanto nas organizações modernas, especialmente no que é relacionado a Segurança da Informação e Gestão de Riscos. A cultura corporativa pode tanto motivar quanto drenar a energia dos profissionais da organização. Entenda: A cultura é o ambiente onde a estratégia corporativa, mesmo a mais bem definida, floresce ou padece. Qualquer companhia que tente desconectar esses dois fatores, está trazendo um grande risco no seu caminho para o sucesso.

Você tem toda razão, meu caro sr. Drucker!
Você tem toda razão, meu caro sr. Drucker!

Durante os últimos anos, várias empresas têm aprendido – da maneira mais difícil – que negligenciar Segurança da Informação pode trazer impactos desastrosos sobre operações, marca e resultados financeiros. Este cenário nos leva a acreditar que a mentalidade da alta direção deve ter evoluído para uma abordagem mais madura, onde a segurança é vista como um facilitador de negócios e incorporada em todos os aspectos da estratégia e transmitida na cultura corporativa, correto? Longe disso.

Leia mais

Pesquisa Nacional de Segurança da Informação: Divulgação dos resultados!

Um dos trabalhos que mais me agradou esse ano, foi à possibilidade de coordenar a Pesquisa Nacional de Segurança da Informação realizada pela DARYUS Strategic Risk Consulting. Afinal, essa era uma oportunidade de colocar no papel um retrato fiel de fatos que vejo no meu dia a dia como consultor.

pesquisa_resultados
clique na imagem para baixar a pesquisa!

 

A pesquisa, realizada em parceria com a EXIN e IT MÍDIA, é fruto do esforço de um grupo profissional com ampla experiência prática no assunto, além de toda comunidade que se prontificou a contribuir. O objetivo era claro: Apresentar a forma como a maioria das empresas brasileiras encara a Segurança da Informação.

Leia mais

Participação em matéria sobre Continuidade de Negócios

Prezados colegas,

Mais uma vez tive a oportunidade de contribuir para uma matéria para o jornal O POVO. Publicada hoje (03/08/2014) no caderno de Economia, falo sobre como impacto da indisponibilidade de Sistemas e Serviços de TI para o ambiente corporativo.

Exemplos recentes, como a falha do novo sistema de emissão de nota fiscal da Prefeitura de Fortaleza ou o sistema emissão de vistos americanos mostram que incidentes severos podem ocorrer em organizações de todos os portes.

Crises são inevitáveis, a diferença está na forma como sua organização se prepara e lida com cenários adversos. Veja: isso pode ser a diferença entre uma instabilidade momentânea bem controlada e conduzida, ou um desastre extremamente negativo e impactante.

OPOVO_030814
Clique para ler a matéria completa!

A matéria completa você encontra no jornal (doh!) ou acessa aqui: http://dary.us/opovo04

DARYUS realiza Pesquisa Nacional de Segurança da Informação 2014: Participe!

A situação atual dos cibercrimes no Brasil já extensivamente discutida. Sabemos que – em média – temos uma tentativa de fraude com uso de identidade falsa a cada 17 segundos, mais de 2500 denuncias de crimes online por dia e um prejuízo anual estimado em R$ 18,3 bilhões.

O que não sabemos, é como este cenário está sendo tratado. Claro, o primeiro passo na definição de uma boa estratégia, sempre é a compreensão da conjuntura atual. Será que essa situação tão grave já está refletindo em controles de segurança e equipes preparadas? Será que já entendemos que a Segurança da Informação extrapola os aspectos técnicos e requer uma gestão madura, com visão estratégica e abordagem sistemática?

pesquisa

Com o objetivo de responder essas e outras perguntas igualmente relevantes, a DARYUS Strategic Risk Consulting iniciou agora em Junho a Pesquisa Nacional de Segurança da Informação 2014.

Elaborada por um grupo profissional com ampla experiência prática no assunto, a pesquisa aborda pontos que ajudarão a mapear como o órgãos e empresas brasileiras entendem e tratam a Segurança da Informação, incluindo suas definições básicas, estrutura normativa, aspectos operacionais, leis regulamentações, requisitos de continuidade e melhoria contínua.

Para isso, precisamos de você, caro Profissional de SegInfo! É a sua contribuição vital que nos permitirá apresentar – em até 120 dias – uma visão real do que é a Segurança da Informação no Brasil.

Precisamos de você! Clique e participe da pesquisa!
Precisamos de você! Clique e participe da pesquisa!

Faça sua parte! Clique aqui e participe da Pesquisa Nacional de Segurança da Informação 2014.