*Por Leonardo Moreira
Um dos principais problemas de segurança da informação no Brasil é a falta de uma cultura de segurança. O mercado local se espelha muito nos Estados Unidos e em outros países mais avançados no assunto, porém, alguns executivos ainda pensam na TI como um produto e não conseguem visualizar a segurança da informação de forma mais ampla.
E não é tecnologia que falta. Há muitos produtos de ponta no mercado de soluções de segurança brasileiro. O problema, no entanto, é o direcionamento, a forma de pensar e de proteger o ambiente, ou seja, o mindset de segurança da informação.
No país podemos notar a existência de dois grandes grupos e um grande hiato entre eles. Veja a seguir:
Os muito maduros
Nesse grupo estão as empresas com um alto grau de maturidade em segurança, que estão muito avançadas na área e, em sua maioria, em fase de reconstrução da estrutura.
Mesmo com a crise desestimulando os investimentos, os projetos de segurança da informação continuam em andamento nessas empresas, que já entenderam a importância dessa área. Felizmente, cada vez mais executivos de alto nível têm adquirido uma cultura mais favorável à segurança e já perceberam o quanto ela impacta nos resultados das empresas.
Os pouco maduros
Se as empresas com alto nível de maturidade já estão em fase de reconstrução de sua estrutura de segurança, as organizações pouco maduras ainda nem começaram a implementá-la. A maioria dessas organizações não vê valor na segurança, portanto, não desenvolvem uma cultura voltada para prevenção e remediação.
Em alguns casos, essas empresas acabam investindo em soluções “de caixinha” que, a rigor, não entregam o resultado esperado e quando fazem isso, geralmente é porque existe algum órgão regulador ou padrão da indústria as obrigando a fazer isso.
O que define a maturidade
Não é a quantidade de dinheiro investida que determina os níveis de maturidade de uma instituição, mas o foco nos objetivos de segurança e sua sinergia com o negócio. Além das empresas que não gastam em segurança porque não a consideram importante, existe uma série de organizações que gastam fortunas com soluções ineficientes porque não há planejamento ou gestão de risco para direcionamento dos investimentos.
Empresas com alto grau de maturidade em segurança contam com o envolvimento constante de altos executivos e outros membros do conselho administrativo, que tratam a segurança com a prioridade que ela merece e dão todo o apoio necessário à equipe de TI.
Organizações com alto grau de maturidade em segurança também sabem que não precisam ter todas as soluções de segurança lançadas no mercado para criar um ambiente seguro. Além de ferramentas básicas, como firewalls e antivírus, ferramentas caras nem sempre são essenciais.
A segurança da informação deve ser vista como um investimento, não como custo. Por isso o planejamento é importante. Com ele, a empresa consegue determinar quais são os recursos necessários para proteger seus ativos com base no seu valor e nos riscos que os cercam.
Além disso, talvez um dos aspectos mais importantes de uma empresa com alto nível de maturidade é o envolvimento generalizado de todos os funcionários da empresa. É essencial que todos conheçam suas responsabilidades na proteção dos ativos e dados corporativos. Isso é feito com base em programas de conscientização e de políticas de segurança bem definidas. A segurança não deve ser pensada em uma área ou departamento, mas deve permear toda a empresa.
*Por Leonardo Moreira, diretor da PROOF