CISO: você está preparado para 2016?

*Por Carlos Rodrigues

 As violações de dados mais recentes, como a sofrida em 2015 pela OPM, nos Estados Unidos, e Sony, em 2014, aumentaram a 961_social-2ansiedade dos executivos em relação à segurança da informação e, consequentemente, o budget dedicado a essa área.

Apesar de o budget ter crescido, muitas empresas têm falhado ao alcançar bons resultados com esse investimento, gerando frustrações. Para defender seus recursos, CSOs, CISOs e líderes de segurança da informação precisam aprender a pensar e se comunicar como um verdadeiro membro da equipe de executivos.

No Brasil, a situação se agrava porque os recursos gastos em segurança da informação são vistos como uma despesa, e não como um investimento na proteção dos ativos mais importantes da empresa, que é justamente a informação.

Primeiro passo: entender o que você está comprando, e de quem

Não é raro encontrar departamentos de TI com tantos sistemas e soluções rodando que, às vezes, poucas soluções resolveriam o problema de forma mais efetiva, melhorando a gestão.

O primeiro passo para resolver essa questão é desenvolver um inventário das plataformas de segurança da empresa, assim é possível identificar, por exemplo, os gastos com a manutenção de programas e serviços ultrapassados e desnecessários.

Com esses dados, CISOs podem facilmente criar um plano para desenvolver uma estratégia com base nas informações de infraestrutura e serviços pelos quais a empresa já paga.

Os gastos com pessoal também devem ser levados em consideração. É preciso entender se o time de segurança está bem posicionado e bem formado em relação à quantidade de membros. Uma maneira de avaliar isso é contabilizar a quantidade de funcionários full-time que integram a equipe de segurança em relação à equipe de TI como um todo e então observar como eles se saem em relação aos seus colegas.

A falta de profissionais pode criar uma infeliz situação em que a empresa implementa projetos sem ter a segurança de que o time dará conta de levar adiante.

Cortar o que?

É essencial assegurar que o budget esteja alinhado às atuais demandas e aplicações de segurança. É comum vermos empresas que gastam com a manutenção de aplicações ultrapassadas e desnecessárias, pois temem que sua exclusão impacte negativamente nos processos, gerando um acúmulo contínuo de soluções.

Com um inventário dos investimentos da empresa, líderes de segurança da informação podem procurar oportunidades para cortar custos e operacionalizar a segurança, investindo em ferramentas que tragam retorno, ou na organização dos processos. Isso significa usar os recursos ganhos com cortes de redundâncias desnecessárias para instalar novas soluções de automação que ampliem a segurança e a inteligência.

Não se trata de cortar recursos, mas de dar mais suporte à equipe de segurança. Essas plataformas permitem que analistas tomem decisões mais eficientes e ágeis, limitando tarefas repetitivas e desnecessárias e aumentando a produtividade.

Priorização de riscos

Líderes de segurança precisam priorizar riscos, dimensionando o público afetado e o custo de remediação. Essa priorização é importante para defender o budget, pois traduz as preocupações do time de segurança em riscos de negócios para os executivos.

Plataformas usadas para automação de processos de segurança podem ser úteis na priorização de ameaças, ajudando a implementar um sistema que ajude analistas a lidar com a crescente quantidade de eventos de segurança e ataques.

*Por Carlos Rodrigues, Country Manager da Varonis

Share This Post

Post Comment