Falar sobre governança já é um assunto complexo por si só, mas a pretensão deste texto vai mais longe, precisamos falar, conversar e discutir mais sobre a Governança da Segurança da Informação. A proposta é trazer à tona alguns pontos delicados sobre como a Segurança da Informação está sendo tratada nas empresas. Isso não é uma tarefa fácil! A intenção não é polemizar, mas cada vez mais fazer a discussão sobre o tema.
Por alguns anos as equipes de segurança da informação atuavam quase que praticamente sobre infraestrutura. Em outras palavras, o mundo da segurança se resumia a Firewalls, IDS/IPS e outras tecnologias envolvidas na comunicação de dados. Infelizmente podemos notar isso muito forte ainda nos dias de hoje, basta ler com cuidado a descrição das vagas de “analista de segurança” que são postadas pelos sites de emprego. Isso reflete como boa parte (mas não todo, por favor) do mercado de TI tem abordado o tema. Estas vagas estão demasiadamente relacionadas à segurança de infraestrutura de TI. Se houvessem outras vagas apontando para as outras direções eu não ficaria preocupado, mas não vemos isso na quantidade que o mercado precisa. Logo isso preocupa de verdade, pois até nossas academias (Universidades, Faculdades, etc.) ainda possuem este entendimento.
O problema está associado a visão e a missão que a Segurança da Informação vem seguido em boa parte das empresas. A maior preocupação destas organizações ainda está em proteger a TI, sob a ótica que as operações de negócio são suportadas por TI e com isso acreditando que estão protegendo o negócio. Isso não é uma verdade absoluta! O que acontece no dia a dia não é bem isso, os profissionais de Governança de TI podem confirmar. O negócio é muito mais complexo e flexível do que se pode imaginar. Participar de uma reunião com o negócio não significa “alinhamento estratégico”, assim como falar o que pode dar errado não significa “gestão de riscos”. Precisamos cada vez mais profissionalizar a abordagem de segurança, precisamos estar estrategicamente junto do negócio, ouvindo e sendo ouvido. É uma posição muito mais “Executiva”. Como já disse antes, isso não é uma tarefa fácil!
A governança da segurança da informação precisa significar um requisito não negociável para a execução de negócios. Com a velocidade que o mundo funciona hoje em dia, não se pode mais fazer negócios e depois “ver” como dar segurança para eles. Você não terá tempo para isso será tarde demais. Então o dever do Chefe de Segurança da Informação é estar tão à frente das decisões quanto o próprio negócio. Seu papel é e será o de antecipar as ações, atualizar o programa de segurança a informação, possuir uma gestão de riscos e vulnerabilidades robusta e ser pró ativo. Como já disse antes, isso não é uma tarefa fácil. É preciso possuir uma estratégia de segurança da informação abrangente, mas ao mesmo tempo intrinsecamente conectada com os objetivos de negócio. Isso por si só já é um bom desafio!
O desdobramento da estratégia de segurança da informação requer uma estrutura organizacional condizente. Assim como o negócio possui seus analistas de riscos, a segurança da informação também deve ter, o mesmo serve para outras posições como planejamento, processos, métricas, etc. Quando maior e mais complexo o negócio, maior e mais complexa será a segurança da informação. Perguntem para nossos companheiros que atuam no setor financeiro (principalmente bancos e cartão de crédito) como é!
Então se voltarmos o olhar para dentro de casa, muitos de nós (agentes de segurança) identificaremos que estamos mais protegendo a TI do que os objetivos de negócio propriamente dito. Além disso, teremos a sensação de sempre estar correndo atrás de soluções de segurança para proteger algo que já existe e, que na maioria das vezes, poderia ter “nascido” mais seguro. Isso não é governança, isso não é estratégico, isso é apenas operacional.
Pense, reflita, discuta, troque ideias, faça melhor!