Após anos de experiência na área de Tecnologia e Segurança
da Informação, vejo cada vez mais o que podemos chamar de falsa sensação de
segurança, isto é os gestores de segurança desconhecem seus problemas e riscos ao
negocio.
O desconhecido coloca os gestores em uma zona de conforto
onde eles acreditam que os controles e tecnologias aplicadas, estão a contento
para suportar e assegurar os negócios das empresas.
Sempre que é executado um levantamento de Gaps de segurança
ou uma avaliação de segurança, podemos encontrar diversos riscos desconhecidos
pelo gestor, isto ocorre pelo fato que muitos destes riscos nunca foram
enumerados ou tratados pelas políticas e normas de seguranças das empresas ou
até mesmo essas empresas não têm políticas ou diretrizes para tratá-las.
Ao final dessas atividades grande relatórios são gerados e
entregues aos gestores, com diversos riscos que na sua maioria nem sempre são
compreendidos por eles, problemas que antes nunca fora observado ou detalhes
importantes que ficaram em uma área nebulosa das empresas, aparecem com uma
intensidade grandiosa gerando muita preocupação e desconfiança.
Lembro-me que uma vez em uma reunião de apresentação do
relatório após um Assessment (Avaliação de Segurança) , o gestor me questionava
se todos os riscos apresentados no relatório eram “realmente tangíveis”, o que
me deixou extremamente preocupado, pois este gestor estava mais preocupado em
diminuir em números os riscos apresentados (pois o relatório seria replicado
para sua matriz), do que realmente entender qual era o grau de severidade e
gravidade dos mesmos.
Comecei a compreender esse comportamento de uma forma mais
racional, pois estava tirando esse gestor de sua zona de conforto, colocando
ele em uma posição extremamente delicada, exigindo um planejamento estratégico
emergencial de curto, médio e longo prazo.
Para este caso acompanhei todo o processo de levantamento e
implantação das correções, pude verificar que o foco do gestor nem sempre era
da solução imediata do problema e sim criar um ambiente onde seria possível
responder para sua matriz que o problema foi mitigado, não o suficiente para
proteger o negócio da empresa e sim gerar um relatório com um Ok para os
controles.
Ficou claro que muitas das correções de médio e longo prazo,
demandava investimentos, muitos desses não provisionados para o período fiscal e
a outra parte a serem aprovados, pelo executivo patrocinador ou comitê gestor de
finanças da empresa. Porém parte desses investimentos nunca seria aprovada. Foi
recomendado ao gestor de Segurança partilhar a gestão do risco com os mesmos executivos
que aprovam o orçamento, pois garantir a segurança dos negócios é
responsabilidade de todos os gestores das empresas e não somente o Gestor de
Segurança da Informação.
Casos como este é cada vez mais comum no mundo corporativo, os
gestores necessitam avaliar com mais freqüência e reconhecer os riscos e ameaças
sobre seus negócios. Determinar o tratamento preventivo e corretivo, com forças
tarefas mais focadas, elevará a eficácia, eficiência e diminuirá os custos
envolvidos para manter os níveis de segurança em patamares aceitáveis.