Talvez essa seja
a principal razão para a precária situação da grande maioria das empresas em
relação a forma como gerenciam seus riscos, desenham seus programas de
segurança da informação e realizam investimentos.
O problema não é novo e o passar do tempo não tem
se mostrado suficiente para fazer esse comportamento mudar. Mesmo depois de
catástrofes globais com ampla divulgação dos impactos nas empresas, não se vê
muita mudança no comportamento dos líderes e suas empresas. Muito se especula
sobre as razões por trás da inércia.
É possível que em mercados muito competitivos onde
sobreviver ainda é o maior desafio, os gestores acabem inclinados a pensar no
imediatismo e assim focar os investimentos no core business. Coerente. É ainda
possível que estejam realizando investimentos isolados e estes já lhes deem a
garantia mínima que os satisfaça, bem como aos seus acionistas. Entretanto, a
experiência me diz que há muito mais profundo e preocupante por trás dessas
justificativas. Desconhecimento.
As empresas simplesmente não enxergam toda a
amplitude do problema. Conhecem superficialmente as ameaças antigas e nem
imaginam o quão criativas e poderosas são as novas.
Não compreendem a inexistência de perímetros para
proteger. Que o agente de risco pode ser qualquer um, estar em qualquer lugar e
agir a qualquer hora. Que o cibercrime é uma realidade alimentada por
estruturas bem profissionais com motivação financeira que transcende os
interesses pessoais e acadêmicos do hacker de duas décadas atrás. Esquecem que
a empresa está dia-a-dia mais exposta e sujeita a incidentes que podem começar
com a indisponibilidade do site e acabar com a interrupção total de suas
operações.
SITUAÇÃO DE RISCO INCOMPATÍVEL COM O APETITE =
+ necessidade de canalizar os orçamentos escassos
para o core business
+ ausência de impacto percebido e medido + ganho de
confiança com o passar do tempo sem incidentes
+ falta de cultura de prevenção
+ efeito "calmante" de ter implementado
alguma solução de segurança isolada
+ dificuldade de enxergar cenários de risco
integrados + dificuldade em ensaiar o retorno que o investimento em segurança
+ desconhecimento das ameaças e impactos potenciais
Mas nem tudo está perdido.
Se você ainda lê este artigo e tem onde trabalhar
amanhã, possivelmente sua empresa ainda não foi vítima de um incidente de
segurança devastador, portanto, ainda há tempo para reagir.
Não subestime o risco. Converse com
especialistas-estrategistas em gestão de riscos da informação. Descubra o nível
de exposição do seu negócio. Discuta seu apetite de risco. Conheça a anatomia
das ameaças. Projete cenários de risco integrados e seus impactos potenciais.
Elabore um programa de gestão de riscos da informação que seja business-centric
(orientado ao negócio). Estabeleça métricas e conecte-as aos indicadores do
próprio negócio (COBIT é uma ótima sugestão).
Contrate um CISO (Chief Information Security
Officer) e lhe dê atributos de posicionamento estratégico para trabalhar lado a
lado ao CEO. E não esqueça de alimentar o processo que estabeleceu. O que não
se conhece não se pode controlar. O que não se controla não se pode mensurar. O
que não se mensura não se pode gerenciar. O que não se gerencia não se pode
aprimorar.
Marcos Semola - executivo de TI, especialista em
governança, risco e conformidade, professor da IBE-FGV, escritor, palestrante,
VP do conselho de administração da ISACA e mentor de startups.
Nenhum comentário:
Postar um comentário