Para os iniciantes, é importante saber quando comunicar um risco, a fim de entender o público e o enfoque. “Aprendi o modo difícil que resulta no desperdício de esforços direcionados aos aspectos de risco quando percebi que desenvolver projetos de TI em uma companhia que não tem métodos de segurança é uma iniciativa ruim”, declara Mike Murray, da área indústria de serviços financeiros.
A terminologia é importante e, historicamente, a TI não tem realizado o melhor trabalho possível nesse setor. Por exemplo, para a TI, a palavra “ativo” pode significar qualquer coisa, desde um item físico (como um drive de USB), um sistema (de registro de pedidos) até conjuntos de dados. Preencher essa lacuna é fundamental para que se tenha discussões produtivas sobre riscos. As equipes progressivas de TI e de segurança têm realizado esses mapeamentos e – provavelmente, tão importante – comunicado as suas correlações.
Os termos “vulnerabilidade” e “ameaça” também são muito importantes para o processo e, freqüentemente, são confundidos. Utilizando uma definição imprecisa, a vulnerabilidade é um estado ou defeito de um ativo, que pode ser explorada para criar perdas ou danos; já a ameaça é uma entidade ou ação que pode causar perdas ou danos.
O que pode acontecer
Identificar ativos, vulnerabilidades e ameaças nos leva ao infame estágio da probabilidade. Infelizmente, esta é outra área na qual o gerenciamento de riscos de TI precisa de aperfeiçoamento. Deixando de lado os princípios básicos do gerenciamento de riscos, eis em que aspecto reside o verdadeiro avanço: aprender a deixar mais “a situação caminhar por si só”. Quando se conversa com os tradicionalistas do setor de segurança da informação, o pensamento que vem à mente depois de “risco identificado”, geralmente, é “mitigar”, sendo que o conceito de “transferência de riscos” raramente é considerado e que a “aceitação de riscos” é freqüentemente muito contestada.
A aceitação, por outro lado, é algo que certamente compreendemos e efetuamos freqüentemente, embora, geralmente, apenas nas áreas consideradas como sendo de baixo risco. Mas será que a aceitação deveria ocorrer com maior freqüência? Aceitamos riscos suficientemente e nas áreas certas?
Colocadas no contexto das iniciativas táticas de segurança, será que as falhas na prevenção de worms e vírus são mais importantes do que a necessidade de criptografar informações pessoalmente identificáveis? Se considerarmos a opção entre proteger tudo inadequadamente e proteger efetivamente uma parte dos ativos, o que a TI deveria escolher? A história sugere que preferimos a primeira opção; mas a segunda alternativa pode resultar no melhor caminho a seguir.
* Greg Shipley é diretor de
tecnologia na Neohapsis e também colaborador da
InformationWeek EUA.
