Atualmente, a Segurança da Informação tornou-se essencial dentro das estratégias das empresas para que tenham continuidade de seus processos. Mas, ainda tem o desafio de conquistar um lugar no board das organizações
A Segurança da Informação (SI), como atividade comercial, certamente já percorreu um longo caminho na última década, compelida pelo crescente uso da internet e pela facilidade, talvez leia-se vulnerabilidade, com que as informações podem ser divulgadas ao público. Vários fatores têm contribuído no amadurecimento da Segurança da Informação, permitindo que ela opere em grande estilo, alinhada aos negócios e serviços dentro das organizações, seja do setor público ou privado. Sabemos ainda que nessa área não há espaço para atuação de amadores ou para erros, visto as consequências de sistemas inseguros são devastadoras para a imagem da empresa e para seus sistemas financeiros.
Desafios da Segurança da Informação e o diálogo com o board
O desafio para os especialistas em segurança é desenvolver um diálogo permanente com o board da empresa sobre a importância da Segurança da Informação no contexto das metas organizacionais. Afinal, colocar grades nas janelas após o roubo é o mesmo que aprovar um orçamento de Segurança da Informação depois que sua empresa foi invadida por um grupo de hackers ou ativistas da informação, por exemplo. Nos tempos atuais, informação é o motor da empresa global, logo, Segurança da Informação é fundamental para a identificação, gerenciamento ou mesmo mitigação de riscos empresariais. As necessidades prementes das empresas, catalisada por imensos escândalos ocasionados pelo vazamento de informações deram espaço para que o mercado se regulasse e surgissem leis e normas internacionais, tais como Sarbanes-Oxley (SOX) e ISO 17799, de modo a darem espaço ao tema nas agendas do board e principais executivos das organizações.
Necessidade diária de Segurança da Informação
Cada dia mais, os usuários estão despertando para a necessidade de serem e receberem segurança em suas informações, fazendo com que as organizações voltadas ao público reforcem seu policiamento nas políticas de privacidade. O imperativo corporativo para a Segurança da Informação está ganhando força à medida em que mais empresas terceirizam suas operações e fazem da mobilidade sua premissa para subsistência. É possível observar que as organizações mais “eficazes” no quesito Segurança da Informação tendem a demonstrar três características bem latentes: a)Em primeiro lugar, elas são movidas por resultados ao invés das atividades – no money, no love; b)Em segundo lugar, a credibilidade da Segurança da Informação está diretamente relacionada ao quanto a empresa está “ciente de seus riscos”. Uma avaliação realista dos riscos proporciona investimentos na medida certa, nunca aquém do esperado – Segurança da Informação é um trabalho de evangelização. Educar para proteger; c)Por fim, elas estão comprometidas com padrões independentes de avaliação e conformidade; em muitas organizações maduras, Segurança da Informação opera independente de qualquer estrutura de TI, reportando direto ao board da companhia – Independência e isonomia são imprescindíveis à Segurança da Informação, especialmente quando de auditorias internas.
Gestão de Riscos
Convictos de que Segurança da Informação possui papel fundamental no time de gestão de riscos operacionais, muitas organizações estão se reestruturando, garantindo à Segurança da Informação a responsabilidade não somente pela segurança corporativa digital, mas também às ameaças físicas e problemas relacionados à fraude da marca. Obviamente, que Segurança da Informação não deve ter em mãos somente um plano para responder a incidentes e ameaças ordinárias, mas deve estar preparada para tomar medidas de longo prazo, proativamente, blindando a empresa contra ameaças futuras, a fim de que ela tire o máximo proveito de seus negócios, com baixos riscos de interrupções. Em última análise, a Segurança da Informação corporativa deve ser efetivamente integrada e alinhada com a estratégia da empresa, seus objetivos e, principalmente, ao negócio da empresa. Para que a Segurança da Informação obtenha seu assento no board da empresa, antes de tudo, deve falar a língua do negócio de forma persuasiva. Não apenas demonstrar, mas convencer o board a respeito de todos os dividendos tangíveis que uma estratégia forte de segurança trará ao seu ambiente e aos seus negócios.
Aluisio Andrade