Convidado para reunião de resultados com toda a diretoria, o CIO entusiasmado na sua perspectiva de ter atuado com determinação, ouve atentamente sobre as estratégias para o próximo ano, desde a ampliação geográfica da empresa até especificidades como giro de estoque e turn over.
No seu momento, ao tentar iniciar sua apresentação, é imediatamente contraposto com um cenário de total falta de sintonia, embalado pela distante realidade, já conhecida, porém sem uma ação consistente de solução. Indagado pelos números de governança, se vê em meio a temas antigos e que só consomem energia, distanciando-o da estratégia para o operacional, tendo em conta que ainda convive com a recorrente falta de:
Nas reuniões de auditoria os índices indicam que o ambiente ainda possui senhas compartilhadas, que as estações de trabalho estão com acesso administrativo liberado e que os privilégios de segurança não estão monitoradores nem gerenciados.
Os repositórios não possuem criptografias e sempre há uma larga diferença no inventario de ativos, abrindo margem para problemas de licenciamento. Recursos tecnológicos são utilizados simultaneamente sem saber quem, de fato, está usando-o, não tendo a visão certa dos riscos.
Eventualmente o ambiente fica paralisado e a causa aparente é a falta de atualização nos sistemas operacionais ou a aplicação incorreta (e fora de hora) de patches de segurança.
Esse assunto costuma ficar de lado, pois não possui informação classificada, nem política e mecanismos de segurança que garantam sua efetiva aplicação. Lembrando que a proteção precisa estar em todos os níveis e o banco de dados é altamente crítico.
Quando confrontado pelas vulnerabilidades desconhecidas e proliferadas na rede, vem à tona o uso indiscriminado e sem segurança dos dispositivos móveis, os acessos de terceiros à rede não segregada, que o wi-fi é ponto de fuga de informações; sem contar a internet que, ao servir de apoio ao negócio, é afetada por sua indisponibilidade.
A tendência do velho hábito é um temo que uso para alertar que situações recorrentes e não resolvidas, por natureza, o levará a se distanciar da estratégia do negócio, quando não para fora dele. Assim, ter uma atitude de identificar tais hábitos, planejar ação para neutralizá-los e monitorar seus avanços deve fazer parte da estratégia de um CIO.