Faltam recursos para segurança da informação, reclamam CSOs

Apesar do aumento das ameaças cibernéticas, que colocam os negócios em risco, a área de segurança da informação ainda tem dificuldade para justificar investimentos em projetos que visam  proteção de dados sigilosos. Faltam pessoas e recursos, queixam-se executivos dessa área. Eles revelam dificuldade para medidas proativas que reduzam o impacto de incidentes.

“É difícil hoje conseguir aprovação de recursos nas empresas para projetos na nossa área”, desabafa Leandro Bennaton, gerente de Segurança da Informação do Terra. Ele foi um dos participantes do painel “Segurança da Informação: passou a hora de o negócio discutir?”, realizado durante o IT Forum Expo, que aconteceu esta semana em São Paulo.

Bennaton admitiu que mesmo com o processo de digitalização das empresas, envolvendo tecnologias emergentes (mobilidade, nuvem, big data e internet das coisas), que expõem mais as operações, os gestores da área ficam limitados e mantêm postura reativa. Isto é, correm atrás do prejuízo quando o problema acontece.

Ele acredita que o orçamento a falta de recursos humanos para a área de segurança são em razão de os profissionais ainda terem dificuldade para falar a linguagem dos negócios. Ele constata que muitos Chief Security Officers (CSO) tentam vender os projetos com abordagem técnica e não conseguem ser compreendidos pelos executivos de negócios.

O coordenador de Segurança da Informação do Grupo Serveng, Douglas Coutinho, concorda com Bennaton que não é tarefa simples para os CSOs justificarem investimentos nessa área. Entretanto, diz que esses profissionais precisam conhecer muito bem os negócios na hora de propor qualquer projeto e saber fazer análise de riscos, priorizando o que deve ser protegido na companhia, sem desperdiçar recursos.

Proximidade com os negócios
Bennaton acredita que a aproximação dos CSOs com as áreas de negócios é uma estratégia que funciona. No Terra, por exemplo, ele informa que cada vez que surge uma ameaça nova, ele comunica ao alto escalão. Um exemplo é o caso dos ataques por ransomware, malware, que bloqueia dados das empresas e os criminosos pedem resgate em dinheiro para devolução das informações.

O CSO apresenta suas preocupações sobre as ameaças, informa os recursos que possui para tomar medidas caso o Terra venha a sofrer algum incidente de segurança e pergunta qual é a melhor solução. Ele reconhece que hoje a segurança é mais complexa porque o cibercrime age com muita velocidade.

Para Coutinho, uma das formas de enfrentar esse desafio é reforçar a conscientização dos usuários internos, que ainda são os que mais colocam os dados corporativos em risco. Exemplo disso, são as contratações de aplicações em nuvem pelas áreas de negócios sem que a TI tenha conhecimento e o uso indevido dos dispositivos móveis.

Bennaton e Coutinho reconhecem que esse cenário deverá ficar mais complexo com a chegada da internet das coisas (IoT, na sigla em inglês). “A segregação de rede será uma questão prioritária com a IoT”, acredita o executivo do Grupo Serveng.

Comunicação pública de incidentes
Nos Estados Unidos e em países da Europa, órgãos reguladores estão obrigando empresas a comunicar ao mercado situações nas quais ocorre vazamento de dados dos clientes. No Brasil, ainda não há nenhuma regra sobre este assunto, ma o CSO do Terra concorda com essa medida, desde que o incidente seja divulgado corretamente. “Eu gostaria de saber seus meus dados foram atacados”, comenta ele.

Bennaton acredita que se a divulgação do incidente for realizada juntamente com a área de gestão de crise, comunicação e outras unidades de negócios envolvidas, não haverá danos para a empresa. Ele até concorda que os anúncios oficiais evitam que as informações cheguem ao mercado de forma desencontrada.