Estrutura organizacional, gestão de terceiros, continuidade de negócios, risco e compliance, são alguns dos temas a se observar
Quando se trata de abordar as principais tendências em segurança de informação para 2008 no Brasil, é necessário analisar, além de fatores globais, alguns fatores próprios do País. O ambiente empresarial brasileiro está mais complexo, regulado e dinâmico. A visão de liderança responsável e de sustentabilidade, as novas regulamentações, os sucessivos processos de IPOs e de fusões e incorporações reforçam a necessidade de segurança. As empresas estão mais dependentes da tecnologia e da comunicação para alcançarem inovação, eficiência, crescimento e criação de valor.
A relação entre governo e cidadão e entre governo e empresas (ex.: SPED, e-NF) se apóia e é controlada pela informática. O número de novos brasileiros com acesso a internet e a dispositivos móveis é cada vez maior. Por fim, o ambiente propício para a ação do crime organizado, dos corruptos, dos fraudadores e dos ladrões em geral tem exigido cada vez mais a atenção e os investimentos em segurança por parte do governo, do cidadão e das empresas.
O fato é que há pouco espaço para tentativas e erros nesse contexto. As decisões no âmbito da segurança devem ser planejadas e os resultados decorrentes, medidos e gerenciados. Os executivos das organizações têm que reconhecer a importância desse tema e oferecer o devido suporte para que a função de segurança da informação possa desempenhar seu papel na empresa.
Estudos e pesquisas de mercado indicam prioridades para a agenda corporativa de segurança de informação. Essas prioridades se relacionam com:
Estratégia, planejamento, gestão e estrutura organizacional da segurança da informação
O desafio é estabelecer instrumentos adequados para definir a estratégia da segurança, o plano de ações de acordo com esta estratégia, priorizar, executar e acompanhar as ações e, por fim, para gerir, medir e comunicar a função da segurança da informação.
Para tanto, é preciso conhecer os riscos associados ao negócio da empresa, as exigências legais e regulatórias, ter as competências técnicas e de negócio necessárias à função de segurança e contar com a arquitetura de segurança da informação de acordo com os riscos e os requerimentos estratégicos e gerenciais da organização.
Gestão dos terceiros
Cresceu a presença, a complexidade e a importância dos terceiros nas empresas. Porém, muitas organizações ainda têm a percepção que instrumentos genéricos como contrato de prestação de serviços, acordo de confidencialidade e acordos de nível de serviços protegem satisfatoriamente a organização dos riscos de segurança decorrentes da relação com o terceiro.
Os requerimentos de segurança, por exemplo, devem ser definidos desde o processo de seleção do terceiro. Da mesma forma, os procedimentos de gestão devem considerar o cumprimento desses requerimentos por parte do terceiro e a aplicação de penalidades por quaisquer incidentes de segurança provocados por eles.
Continuidade de negócios
A complexidade e o volume operacional de muitas organizações brasileiras e a dependência por tecnologia da informação e comunicação trazem riscos de indisponibilidade das operações diante de uma contingência, gerando impactos financeiros, operacionais e de imagem.
Ter procedimentos estruturados, conhecidos e testados de recuperação, por meio de Planos de Continuidade de Negócios ou de Planos de Recuperação de Desastres, é diferencial competitivo além de exigência regulatória.
Aplicações seguras
O crescente uso do canal eletrônico para se fazer negócios fez com que houvesse uma explosão no desenvolvimento de aplicativos web nas organizações.
O fato é que muitos desses aplicativos tiveram seus códigos desenvolvidos, testados e homologados sem que as boas práticas de segurança fossem seguidas. Como conseqüência, muitos aplicativos estão em produção com vulnerabilidades de segurança nos códigos e se tornaram alvos para atacantes externos. Tais aplicativos devem ser construídos com o objetivo de “blindar” o código e a arquitetura.
Risco e compliance
A orientação empresarial pela gestão corporativa de risco e conformidade continua forte e traz destaque à segurança de informação como componente da governança corporativa.
Neste sentido, temas como classificação e proteção de dados, controle de acesso, segregação de funções, identificação dos ativos de informação, políticas e conformidade regulatórias são prioridades para o próximo ano.
Forense computacional
Do lado das autoridades policiais e judiciais, muito tem sido feito nos últimos anos no combate ao crime via internet. Há indícios que as autoridades continuarão firme e atuantes.
Do lado das organizações, os primeiros indícios de atividades criminosas usando a tecnologia ainda surgem por meio de denúncias ou de procedimentos de detecção. Por sua vez, as ações em resposta aos incidentes são, geralmente, conduzidas pelo administrador de segurança, do qual se espera a adoção de procedimentos técnicos e legais apropriados, como se ele fosse investigador especializado em investigações digitais e crimes tecnológicos. Além disso, os resultados da investigação podem revelar fatos que requeiram confidencialidade absoluta e tomadas de decisão radicais por parte da organização, como por exemplo, a de demitir, denunciar às autoridades policiais ou acionar civil ou criminalmente os envolvidos.
Programas de educação e treinamento
O aumento das fraudes nas organizações utilizando a engenharia social, o roubo de senhas e identidades dos usuários e a apropriação de ativos de informação das empresas, o aumento da violência no país sugerem a necessidade de programas de treinamento e educação dos usuários, clientes, fornecedores, terceiros, etc.
As tendências devem servir como direcionadores gerais com o propósito de nortear a agenda corporativa da segurança de informação, a qual deve ser construída de acordo com as necessidades e os riscos de cada organização.
*Edgar D’Andrea é sócio da área de segurança e tecnologia da PricewaterhouseCoopers
