Ao longo dos últimos doze anos, tenho trabalhado com a venda de soluções de segurança para empresas de diversos portes e segmentos.

Durante todo esse tempo acompanhei diversas mudanças no mercado, normalmente provocadas por novos tipos de ameaças, ou mesmo pressões legais e de regulamentação.

Utilizei a palavra mudanças de propósito, pois pelo menos no mercado brasileiro, não consegui ainda notar uma evolução.

Na esmagadora maioria das vezes somos procurados pelos clientes apenas quando alguma dor nova surge, seja um vazamento de informações, seja um malware que derrubou a rede, seja a possibilidade de um ataque de negação de serviços.

É a velha história de colocar a tranca na porta depois que ela já foi arrombada.

Esse comportamento sem dúvida causa estragos à empresa e ao próprio departamento de segurança da informação, classificado normalmente como “escoadouro de recursos”, “o pessoal que sempre diz não”, e outras expressões desse tipo.

Mas o que podem fazer os CSO ou CISO ou quaisquer outras siglas cabíveis para mudar esse jogo?

Como transformar a segurança de tal maneira, para que ela deixe de ser vista como dificultadora e passe a ser vista como habilitadora de novos negócios?

A receita é simples, mas sem dúvida trabalhosa.

Ela começa com a remoção, por algum tempo, de alguns recursos que, com certeza, estarão atolados no dia a dia da área para que possam trabalhar no desenvolvimento de um framework processual da segurança da informação para a empresa como um todo, o que nada mais é do que uma das siglas da moda em segurança: GRC (Governança, Risco e Compliance na sigla em inglês).

Este framework será a base para a criação de um programa contínuo de melhoria, como já vemos em todas as áreas fabris e processos de serviço por esse Brasil afora.

Dentro deste programa, objetivos serão definidos a partir dos requisitos do negócio, priorizados e tratados como projeto.

Essa construção deveria começar com o entendimento de como as informações são armazenadas, tratadas e trafegadas entre as diversas áreas da empresa.

Qual o valor de cada peça de informação para cada área?

Quais os efeitos para as áreas, e para a empresa como um todo, da perda, vazamento ou alteração não autorizada dessas informações?

Em minha experiência posso afirmar que menos de 10% dos líderes de segurança da informação das empresas têm essas respostas.

Normalmente alegam que é um processo muito difícil, trabalhoso e custoso.

Não enxergam as vantagens que esse conhecimento lhes daria, como o envolvimento de toda a empresa no reconhecimento do valor da informação, fundamental para que passem a apoiar as iniciativas de protegê-las.

Também o entendimento dos processos e requisitos de negócios utilizados pela empresa e as interações entre as áreas são subprodutos deste levantamento e formarão o alicerce de um framework viável.

Outras das queixas que ouço continuamente quando recomendo esse mapeamento é que os processos de negócio e as informações mudam constantemente e que isso acarretaria retrabalho sem fim.

Lembrem-se de que somos profissionais de tecnologia da informação.

Por que não utilizar a tecnologia para nos auxiliar nesses processos repetitivos, na manutenção e mesmo na descoberta do paradeiro das informações?

Até dois anos atrás eu tenho que concordar que as tecnologias que prometiam descobrir onde estavam as informações e monitorar sua troca, eram bastante incipientes, normalmente desenvolvidas para entender apenas o idioma inglês e sem o desempenho necessário para que fosse viável em redes de grandes empresas.

Essas deficiências são coisa do passado. Já temos tecnologia suficiente para nos ajudar nessas tarefas e reduzir o ciclo de implementação e refinamento dessas informações. Mãos a obra e até o próximo artigo.

* Cristiano Silverio é Gerente de Arquitetura de Soluções de Data Center e Segurança da Dimension Data