Os controles fracos de segurança não são os únicos responsáveis pelos ataques que seus dados sofrem, processos de negócio legados e ultrapassados no dia a dia da sua empresa também influenciam a eficácia dos seus programas de segurança da informação.

Para identificar se sua empresa sofre desse mal, é importante executar uma auditoria completa de como o negócio opera. Isso inclui analisar cada função em andamento, uma prática cada vez mais comum, de acordo com o diretor de engenharia da PROOF, Leonardo Moreira. “No Brasil vemos que é uma tendência mapear as técnicas de negócio, de análise de negócio, para depois pensar em segurança”, explica. Assim, é possível dizer o que ela pode sofrer de ameaça nos próximos três anos, inclusive incidentes graves.

Indícios de que os processos de negócio vão mal

Muitas vezes, ainda que os processos tenham sido “automatizados”, seguem sendo desempenhados da mesma maneira que eram na época “do papel”. Ou seja, os métodos foram mantidos, a diferença é que tudo foi digitalizado.

Imagine, por exemplo, uma empresa que mantém diversas cópias dos dados de seus clientes em diferentes partes do ambiente corporativo. Isso certamente é resultado de um procedimento legado que exigiu que essas informações fossem replicadas e armazenadas em locais diversos, que, muitas vezes, não são bem protegidos.

Um bom processo de negócio ditaria que os dados fossem armazenados em um único local seguro e que os funcionários teriam acesso a eles de acordo com a necessidade, sem necessidade de replicá-los ou movê-los.

Evolua os procedimentos

A evolução dos processos é bastante vantajosa para a segurança da informação. Considere, por exemplo, a indústria de cartões de crédito. Enquanto algumas empresas continuam seguindo o que é determinado por procedimentos legados – que inclui um caminho de 16 passos até que o pagamento seja aprovado – algumas organizações, como a M-Pesa, do Quênia, reduziram consideravelmente o processo, diminuindo também os vetores de ataque. O novo processo é baseado no telefone e requer apenas a digitação da quantia que uma pessoa quer pagar, assim, nenhum dado sensível do usuário é pedido e, portanto, nenhuma informação pode ser comprometida durante o processo.

De nada adianta investir em controles caros de segurança se por trás não houver processos de negócio inteligentes. Por meio de uma análise baseada no negócio, as empresas podem descobrir que precisam gastar muito pouco para ter um programa de segurança efetivo.

Com Dark Reading