Nesta economia globalizada, a rápida evolução da tecnologia levou à uma profunda transformação do mercado em termos de segurança da informação. Hoje as empresas consideram que os recursos estão mais limitados, devendo ser tratados com prioridade para as áreas de maior retorno econômico e maior necessidade. Determinar prioridades para uma empresa, no entanto, é uma tarefa difícil, especialmente se o objetivo é maximizar resultados, minimizando o investimento e os recursos comprometidos.
O fato é que essas mudanças sem sempre são compatíveis com uma estratégia de segurança da informação e aqui entra o papel fundamental do Chief Information Security Officer (CISO), que deve ser proativo na divulgação e apoio de novas iniciativas de negócio, baseando-se nas medidas de segurança da informação, além de fazer uma análise contínua de risco com foco no negócio. Na Conferência Gartner Segurança & Gestão de Risco 2017, que aconteceu em São Paulo, foi defendido que os CISOs devem focar em aplicar uma nova abordagem denominada Carta (Continuous Adaptive Risk and Trust Assessment, ou Análise Continua e Adaptável de Risco e Confiança). Em resumo, os negócios não param e é preciso acompanhar essa evolução.
A relação direta e constante entre o CISO e a alta administração é fundamental, uma vez que ele deve apresentar as iniciativas tecnológicas e de segurança considerando riscos e resultados de negócios. Novas tecnologias são adotadas para se diferenciar e ganhar uma vantagem sobre seus concorrentes, mas a análise dos riscos precisa amadurecer, ser robusta e considerar os custos e benefícios. O relacionamento com a administração deve ser focado em como a segurança da informação é capaz de apoiar as prioridades de negócios da empresa como, por exemplo, adquirir e reter clientes, construir vantagens competitivas e promover a inovação.
A atividade de gestão de risco deve incluir ainda uma análise adequada dos riscos enfrentados no negócio e como a falta dela pode comprometer o sucesso de qualquer empresa. A pergunta certa a se fazer é: "Se o pior acontecer, estamos preparados?"
Prevenir adversidades
Muitas empresas estão agora suficientemente preparadas para responder aos incidentes de segurança, mas poucas são aquelas que desenvolveram uma abordagem estruturada em analisar o que deu errado e em como prevenir novos ataques. O resultado é que muitas empresas são obrigadas a suportar custos desnecessários e correr riscos excessivos. Mesmo com os melhores planos de segurança e com mais ações de prevenção, nem todos os incidentes de segurança podem ser evitados ou impedidos. Empresas de qualquer tamanho certamente devem atingir uma certa maturidade e capacidade de desenvolver a gestão de incidentes apropriada, mas sem uma avaliação adequada dos impactos não têm como medir os custos incrementais e as consequências de longo prazo. Os custos podem afetar fortemente o orçamento e, pior ainda, a reputação corporativa. O segredo é se preparar com antecedência e com foco em resolver os sintomas - em vez das causas.
Dessa forma, as empresas precisam certificar-se de que estão maduras e preparadas o suficiente para enfrentar os perigos cibernéticos, que estão cada vez mais emergentes e desafiadores. E o primeiro passo começa com o CISO.