As práticas de governança de segurança da informação estão amadurecendo, de acordo com o instituto de análise Gartner.

Essa foi uma das principais descobertas de uma pesquisa feita com mais de 900 empresas (todas com pelo menos 100 funcionários e receita anual de, no mínimo, US$ 50 milhões) em sete países.

De acordo com Tom Scholtz, vice-presidente do Gartner, o aumento da consciência sobre o impacto dos riscos dos negócios digitais e os altos níveis de visibilidade recebidos pelos incidentes de segurança estão tornando os riscos em TI um assunto dos executivos.

Mais de 70% dos entrevistados indicaram que o gerenciamento de riscos influencia decisões dos executivos.

Isso também reflete um foco crescente nos riscos de TI como uma parte da governança corporativa.

 

Gerenciamento de Segurança

De acordo com o Gartner, a natureza das linhas de subordinação das equipes de segurança da informação é um dos atributos chave para uma governança efetiva.

O estudo mostrou que 38% dos entrevistados indicaram explicitamente que o profissional mais sênior responsável pela segurança da informação responde para fora do departamento de TI.

As razões primárias para estabelecer esse tipo de estrutura de subordinação são melhorar a separação entre a execução e a fiscalização, aumentar a participação corporativa na segurança da informação e quebrar o mindset existente entre funcionários de que segurança é um problema de TI.

Segundo o Gartner, as empresas reconhecem cada vez mais que a segurança deve ser gerenciada como uma questão crítica para os negócios, e não apenas um tema operacional de TI.

Há também uma compreensão crescente de que os desafios em cibersegurança vão além do tradicional “reino” de TI e chegam a outras áreas como tecnologia operacional e internet das coisas (IoT).

 

Apoio a programas de Segurança da Informação

Outra descoberta chave da pesquisa é que aumentou o apoio de níveis mais altos da liderança aos programas de segurança.

Quase dois terços dos entrevistados indicaram que recebem patrocínio e apoio de lideranças de fora do departamento de TI para programas de segurança da informação.

Em 2014, a proporção ainda era de 54%.

O patrocínio de CEOs e outros executivos, no entanto, permanecem constantes (30%), enquanto os patrocínios de comitês de direção subiram de 7% para 12%.

Para Scholtz, o apoio de executivos seniores a programas de segurança da informação é fundamental.

Sem eles, há poucas chances de o programa obter apoio do resto da empresa.

 

Como conscientizar usuários da sua importância 

Um estudo feito em 2013 pelo Instituto Ponemon, em parceria com uma empresa de segurança de TI, comprovou que 64% dos vazamentos de dados ocorrem por negligência humana ou erros de sistema.

A mesma pesquisa ainda mostrou que o custo médio de um incidente com violação de sistemas é de impressionantes R$ 2,64 milhões.

Muito além do valor, em alguns casos, a empresa chega a pagar a fatalidade com o comprometimento de sua própria sobrevivência, o que reforça a necessidade de concentrar atenção total às políticas de segurança da informação. 

O levantamento acima não deixa dúvidas de que de nada adianta investir milhões em tecnologias de segurança de dados sem um esforço paralelo para mudar a cultura da organização.

Diversos gigantes do mercado mundial já perceberam isso e, em alguns casos, levaram essa questão ao limite (como é o caso da Grendene, que chegou a transferir a responsabilidade da segurança de TI para o RH!).

Não entendeu? Vamos te explicar o porquê. 

 

Segurança da informação & gestão de pessoas: o case da Grendene

Uma política de segurança da informação deve ser complexa o suficiente para proteger todos os dados críticos da empresa, mas simples o bastante para que possa ser compreendida por todos os seus colaboradores.

É essencial, portanto, que todos façam parte da batalha contra ações virtuais maliciosas. Do contrário, todas as mais modernas soluções de segurança serão inócuas. 

A Grendene, uma das maiores fabricantes mundiais de calçados, percebeu — através de estudos como os citados acima — que o ponto crítico nas disseminações de cavalos de Troia, spywares, worms e ações de phishing no ambiente virtual das empresas estava na própria imprudência de seus funcionários.

Partindo dessa premissa e sabendo que o RH é a área competente para treinar e gerenciar o capital intelectual a favor da organização, seu CIO entendeu que o mais inteligente seria transferir a SI para a tutela da área de pessoal (a TI ficaria encarregada apenas da parte técnica da segurança, como a implementação de sistemas).

Tal iniciativa se mostrou (apesar de soar excêntrico à primeira vista), extremamente benéfica à organização! 

Ações do dia a dia que mostram a relação entre violação de dados corporativos e negligência humana 

  • Clicar em links suspeitos (mesmo após redirecionamento de páginas para alertas de risco); 
  • Deixar senhas expostas em bilhetes de fácil acesso e visualização; 
  • Criar senhas óbvias e de fácil dedução; 
  • Não instalar um patch de atualizações de SO ou de aplicativos, sob o pretexto de que isso tornaria seu PC mais lento; 
  • Muitas redes corporativas são infectadas a partir da “importação” de vírus por meio de pen-drives externos, inseridos nos computadores da empresa de forma irresponsável. 

Entre muitas outras ações “suicidas” que nascem dentro da dinâmica da própria equipe. 

 

Preciso conscientizar meus funcionários. Por onde começo? 

O trabalho de disseminação da responsabilidade como valor supremo no uso dos recursos computacionais da empresa deve envolver, especialmente, os departamentos de TI, Gestão de Pessoas e Comunicação, da seguinte forma: 

  • A área de tecnologia da informação deve ficar encarregada de atualizar-se e implementar os melhores sistemas do mercado em segurança de dados e proteção contra fraudes
  • A Gestão de Pessoas fica responsável pela elaboração de treinamentos, palestras, workshops e dinâmicas de grupo, que tragam para a realidade de funcionário a importância de atentar-se aos princípios de SI. 
  • Pesquisas de conhecimento devem ser aplicadas a todos os funcionários periodicamente, a fim de fornecer feedback para elaboração de novos treinamentos por parte do setor de recursos humanos. 
  • A mesma área também pode encabeçar a elaboração de um manual, um guia de procedimentos sobre o assunto. 
  • Uma sugestão interessante é nomear um responsável de cada área como “missionário” dos valores ligados à segurança da informação. Essa posição (que pode ser rotativa) tem o objetivo de engajar os colaboradores e aproximá-los do assunto em seu dia a dia. 
  • O departamento de Comunicação da empresa tem também papel-chave nessa mudança de cultura organizacional, já que deve divulgar permanentemente, por meio de ações de endomarketing (SMS, banners, etc.), a necessidade de ter cuidados redobrados no acesso a páginas desconhecidas, utilização de mídias removíveis, etc. 

Quer continuar sabendo mais sobre a importância da SI nas organizações? Veja nosso EBOOK: O PAPEL DO CIO E DO CISO NO NOVO CENÁRIO DE SEGURANÇA.

Ah, e não se esqueça de compartilhar nosso conteúdo nas redes sociais, ok? Até a próxima!