Tenho realizado muitos treinamentos sobre a ISO 27001 e a Segurança da Informação (SI), além de implementar esta Norma em diversos clientes e fazer auditorias de certificação em tantos outros. Em resumo: vivo a SI no meu dia a dia, assim como vivo a Qualidade, o Lean Thinking e outros modelos de gestão igualmente importantes.
Algo que chama a minha atenção é como muitas organizações ainda pensam que SI é algo do "pessoal da TI". Vejo também muitos treinamentos sobre SI e ISO 27001 sendo oferecidos por empresas de TI ou de educação em TI (nada contra isso, mas...). Em geral, cometem o mesmo pecado: Tratam SI como algo de TI ou das equipes de cybersecurity e aplicam uma visão muito focada nos controles, esquecendo da GESTÃO.
Pior ainda: muitas organizações acham que SI é preocupação EXCLUSIVA de um pequeno grupo de empresas, tais como bancos, instituições financeiras ou fintechs. Nada mais enganoso.
Muitas Organizações ainda acham que SI é coisa só de banco, instituição financeira, fintech ou ainda que isso é coisa do "pessoal da TI"
O problema é que essas visões acabam por deixar fraquezas nas abordagens de SI que em geral se manifestam em grandes incidentes, como os que temos visto recentemente em várias empresas (como são informações públicas, podemos citar: Facebook, Netshoes, Sephora, British Airways, MyFitnessPal, Hotéis Marriot, Saks/ Lord & Taylor e até o Todo Poderoso Google - e esses são só uma gota num oceano cheio de "causos" impressionantes - para saber mais, clique aqui). E estes são apenas os incidentes de vazamento de dados; se formos contar os casos de ransomware, como os ataques do WannaCry, que já causaram prejuízos de mais de US$ 300 milhões, a lista aumenta ainda mais... isso sem falar nos riscos introduzidos pelo aumento do uso de equipamentos com o conceito do IoT - internet das coisas.
Estes incidentes revelam muito sobre como a Alta Direção das Organizações ainda trata a SI: como uma preocupação secundária. De acordo com levantamento realizado pela consultoria McKinsey, somente 16% das empresas norte-americanas estavam preparadas para lidar com riscos cibernéticos e o número é ainda menor nas empresas brasileiras (saiba mais aqui).
A pandemia da COVID-19 foi um divisor de águas: havia o mundo antes dela, que relutava em reconhecer os meios digitais como forma de construir relacionamentos, fazer negócios, operacionalizar processos; e agora existe o mundo pós-COVID, que teve que na marra abraçar a tão falada "transformação digital" - muitas vezes sem ter tido tempo de fazer uma análise de riscos apropriada. Essa transformação até certo ponto "improvisada" trouxe para os negócios tanto oportunidades quanto ameaças - cresceram exponencialmente os riscos de SI, na medida em que o trabalho remoto em massa veio como solução para a impossibilidade ou a inconveniência de se trabalhar nos locais físicos. Na esteira deste processo, grandes seguradoras lançaram recentemente o seguro para riscos digitais ou cibernéticos. Mas não é só isso.
A LGPD - Lei Geral de Proteção de Dados (Lei Federal 13.709/2018), trouxe para os negócios a necessidade de se cuidar adequadamente da privacidade dos dados pessoais - aqueles que você pode transmitir, processar ou armazenar de alguma forma e que dizem respeito às informações de terceiros dentro de suas bases de dados. Isso também é SI.
Portanto SI, em sentindo amplo, vai muito além da TI. Estamos falando de segurança das informações que são estratégicas para os negócios, sejam essas informações criadas, transmitidas, processadas ou armazenadas em qualquer meio.
Segurança da Informação é um conceito que vai muito além da TI e que precisa ser aplicado em TODAS as Organizações para proteger suas informações estratégicas
Mas o que seriam essas informações estratégicas? Eis alguns exemplos:
As inovações em gestação na sua Organização, que lhe trarão vantagens competitivas mais adiante;
Os segredos de negócio, o "know how", o conhecimento específico da sua Empresa e que tem valor incalculável (como aquela receita de bolo "matadora" que foi passada de geração em geração na sua família...);
As estratégias do seu negócio, aquilo que vai te fazer vender mais, ganhar mais clientes, ter custos menores, etc.;
O histórico de dados e transações comerciais, cadastros de clientes, bases de custos e de formação de preços;
Os dados pessoais conforme definidos na LGPD...
Pare e pense: quanto valem para o seu negócio as informações únicas, exclusivas, que só sua Empresa detém e que fizeram ela chegar até onde chegou?
Longe de ser algo que a gente vê apenas em filmes de espionagem, o vazamento de informações sensíveis é cada vez mais frequente, e um vilão recorrente nestes casos não é um super-hacker, mas o bom e velho "inside job": involuntariamente ou não, os funcionários das Empresas respondem por uma boa parcela das informações vazadas ou mesmo roubadas.
Há algumas semanas, um de meus clientes relatou o caso de um funcionário que foi pego literalmente roubando a base de dados de cadastro de clientes e repassando essa informação a um concorrente. Por razões óbvias, não vou entrar em detalhes sobre o caso, mas o ponto é: isso acontece TODO DIA, e muitas Empresas nem ficam sabendo ou descobrem que foram lesadas somente quando já é tarde demais (tarde demais significa: você perdeu negócios; a informação já veio a público; seus clientes já te deixaram; sua reputação já era). Felizmente, neste caso em particular, a descoberta foi feita a tempo de pouco ou nenhum dano ter sido causado (porque o cliente tem um programa de SI implementado).
Exemplos como esses mostram que a SEGURANÇA DA INFORMAÇÃO (proteção da CONFIDENCIALIDADE, da INTEGRIDADE e da DISPONIBILIDADE das informações) deve ser uma preocupação ESTRATÉGICA das organizações, não importando o quanto sejam grandes ou pequenas, ou em que ramo de negócios atuem.
Mas como uma Organização, grande ou pequena, que atue na indústria, agroindústria, comércio, serviços ou tecnologia pode tratar ESTRATEGICAMENTE o tema SI?
Não há fórmula padrão, mas dou aqui algumas dicas de ouro:
RECONHEÇA que o tema é importante. Traga o assunto para o Board, para o Conselho de Administração, para a Diretoria Colegiada. Se a sua empresa é pequena, leve o tema para o "dono", para os sócios. Se você é o sócio ou o dono, entenda que SI é sua responsabilidade e que esse tema será permanente nos negócios!
PLANEJE a SI, ainda que de forma simples: Organize um orçamento, crie uma política de segurança, defina responsabilidades, busque capacitação básica. Valorize o time de TI/ SI. Se na empresa só tem o "carinha da TI", considere treiná-lo, mas lembre que SI vai além: envolve também a segurança física da Empresa; o controle de acesso de funcionários, fornecedores e prestadores de serviço; a guarda de documentos sensíveis; a conscientização e a educação das pessoas; e assim vai. Em empresas maiores, criar um comitê de SI com representantes de áreas que impactam a SI pode ser importante (comercial, RH, operações, produção e compras/ procurement são áreas típicas).
IDENTIFIQUE e gerencie os principais riscos de SI de sua Empresa, tanto aqueles diretamente relacionados ao seu ambiente tecnológico (servidores, computadores, firewalls, links de dados, acessos a sistemas e redes), assim como os relacionados ao ambiente físico e pessoas (perímetro de segurança, salas de acesso restrito, locais de guarda de documentos, comportamento das pessoas dentro e fora da empresa, etc.)
CUIDE do básico: controle o acesso físico; use apenas softwares licenciados e de fontes confiáveis; não deixe documentos físicos expostos; Mantenha o antivirus atualizado; instale e configure um firewall em sua rede; Gerencie os perfis de acesso a email, redes e aplicativos; restrinja o acesso às informações; cuide dos backups e redundâncias de sua infraestrutura; e treine, treine e treine as pessoas em SI, em todos os níveis da Organização.
CRIE indicadores para acompanhar o desempenho em SI: redução dos níveis de risco, dinheiro economizado ao se evitar um ataque, imagem perante o cliente e mercados, etc. Pelo menos UM desses indicadores deve ser estratégico e de acompanhamento direto pela Alta Direção da Organização.
Um programa básico de SI deve ser de preocupação e de iniciativa do nível estratégico da Organização
Com estas medidas, você será capaz de proteger o valor e a reputação dos seus negócios contra os ataques que podem lhe trazer enormes prejuízos, que vão desde a perda de imagem, passando pela perda de clientes, podendo chegar aos tribunais de justiça e, em casos mais extremos, culminar na liquidação da Empresa. Os principais benefícios de se ter uma Gestão Estratégica de SI são:
Proteção dos seus ativos de informação - talvez seus ativos mais valiosos;
Melhoria da reputação perante clientes e o mercado;
Aumento da resiliência do negócio diante de imprevistos;
Melhoria dos níveis de compliance;
Redução de ameaças internas e externas;
E se quiser fazer a Gestão Estratégica de SI usando um modelo reconhecido internacionalmente e que pode ser certificado (o que é ótimo para mostrar a terceiros seu compromisso com SI), o caminho é implementar a ISO 27001, que é uma Norma Internacional publicada pela ISO (International Organization for Standardization) e que está para SI assim como a ISO 9001 está para a Qualidade.
Se precisar, procure a Bushidô Business Academy. Podemos te ajudar a implementar e certificar um programa Gestão Estratégica de SI adequado às suas necessidades específicas e de acordo com a ISO 27001.
Ah, e o video com o mesmo tema deste artigo está em nosso canal do youtube, para assistir basta clicar aqui!
Commentaires