Muito se fala da revolução pela qual TI está passando em virtude das tecnologias digitais e outras tendências emergem no mercado, mas quem também está sendo transformada é a segurança da informação. CISOs e gerentes de segurança convivem com o dilema das rígidas políticas de controle em um ambiente que pede cada vez mais liberdade de trabalho e regras que não causem impacto no desenvolvimento das mais diversas atividades. E como lidar com isso?
A tarefa não é simples, como nada é em segurança, mas Claudio Neiva, diretor de pesquisas do Gartner, que falou durante apresentação no Ciab 2016, sugere uma abordagem a partir de três tópicos:
Sim, é verdade, assim como se aplica à saúde de uma pessoa, mas o fato é que cada vez mais é impossível monitorar e prevenir 100% dos ataques, de maneira que as companhias precisam reconhecer isso e tal façanha passa pelo amadurecimento do profissional de segurança, que precisa se melhor negociador para mostrar ao board quais são as opções, e por um suporte maior dos CIOs ao trabalho de segurança, seja quando ele um par ou responde para a TI.
“Ser ortodoxo já não funciona mais, são muitas identidades, devices, ameaças e dados. O profissional de segurança precisa entender como o negócio funciona e a normalidade de uso dos sistemas, tudo dentro de um contexto e, com base nisso, terá melhor noção do que acontece para tomar decisões mais apuradas. Não é possível proteger nossos ambientes 100% porque eles estão mudando, parte está dentro, parte está em nuvem e o nível de controle está menor e você precisará entender isso”, argumenta Neiva.
>> Confira a cobertura completa do evento
Assim sendo, lembra o especialista, em vez de controlar, será preciso tentar avaliar 100% das atividades. E as empresas parecem ter entendido o recado. Pelas previsões da consultoria, até 2020, 60% dos orçamentos de segurança das corporações serão alocados para abordagens de detecção rápida de ameaças e respostas. Em 2012 esse volume era de 10%.
Embora também seja real, é preciso aprender a conviver com esse fato. Com uma força de trabalho com cabeça mais voltada à independência, o movimento de dar poder à ponta não voltará, de maneira que será necessário criar uma abordagem educacional diferente daquelas que vinham sendo aplicadas nos últimos anos. Não bastam aquelas palestras para conscientizar.
“O funcionário ganha autonomia e isso é sem volta. Você, como empresa, tem que dar alternativas de controle que podem ou não afetar o trabalho, isso associado às responsabilidades sobre o que pode acontecer de errado. Mesmo que reduza os controles de segurança ao mínimo, você vai compartilhar uma responsabilidade. Com essa abordagem, a usabilidade dos controles sugeridos pela área de segurança aumentam, porque foi feito um trabalho para o funcionário entender o motivo de cada ferramenta e de repassar a responsabilidade para o ele em caso de qualquer problema associado ao não uso do ferramental e regras de segurança”, pontuou.
Se você pensar que até 2020 50% da força de trabalho será formada por millennials, é melhor preparar a empresa para esse momento. Essas pessoas são independentes, trabalham mais remotamente que qualquer outra geração e querem os resultados mais rápidos. Se você conseguir trazê-los para o seu lado, desmistificando a segurança e dado a ele o entendimento do cenário e repassando responsabilidades, o trabalho fluirá e você conseguirá gerir seu dia a dia com mais tranquilidade.
Quem nunca reclamou das proibições e perfis extremamente restritos criados pela área de segurança? Até isso precisará ser repensado e passa totalmente por conhecer bem os objetivos do negócios e quebrar essa visão de que SI é o departamento de atrapalha todo mundo. Dar acesso apenas ao que um profissional precisa não é mais escalável, sempre ficará algo fora do radar. Neiva citou um exemplo de uma empresa de 15 mil funcionários que tinha 1,5 mil perfis de acesso ao ERP. Num trabalho complexo, eles reduziram isso para 17. A maioria das pessoas acabou tendo acesso a mais informação que o necessário para o desenvolvimento da atividade, mas não houve resultados negativos e a SI reduziu muito a complexidade de gestão do ambiente, além de investir em monitoria de sistema para prevenir o mau uso.
“CIOs precisam suportar os CISO ou gerentes de segurança nessa nova realidade, não se pode trabalhar com a proibição de uso sob pena de ser ignorado pelo board da empresa e os profissionais de segurança precisam ser bons negociadores, a segurança existe para habilitar usos e não inibir inovação.”
