Alguns CIOs ainda têm dificuldade em implantar uma estratégia focada nos negócios. Veja orientações de especialista sobre como gerenciar riscos nessa área.
Qualquer organização está submetida, voluntariamente ou não, a uma série de riscos vinculados à segurança da tecnologia da informação. Estes riscos estão associados aos ativos, ou seja, qualquer coisa que tenha valor para a organização (informação, software, o próprio computador, serviços, as pessoas, entre outros).
Os ativos, por sua vez, estão sujeitos às vulnerabilidades – fraquezas que podem permitir que um atacante reduza ou elimine por completo a garantia de segurança. Se explorada, uma vulnerabilidade pode permitir a ação de ameaças, causa potencial de um incidente indesejado e que pode resultar em danos a um sistema ou toda uma organização.
No mundo real, uma forma de organizar os ativos é classificá-los em pelo menos cinco pilares: usuários, dispositivos, sistemas, informações e infraestrutura, sendo que cada classe possui vulnerabilidades e ameaças associadas.
Sem a proteção adequada, tais ameaças podem causar a quebra dos princípios básicos da segurança como confidencialidade, integridade e disponibilidade. E não tenha dúvida que se um desses princípios for afetado, as organizações sofrerão algum tipo de impacto nos negócios, de nível alto, médio ou baixo, e cada um implicará em contramedidas, visando a proteção do ativo.
As ameaças não trabalham somente 24 horas, 7 dias por semana, 365 dias por ano, mas se reinventam de forma exponencial. Desta forma, como afirmar que uma organização com recursos escassos, falta de mão de obra qualificada, orçamento reduzido e desafios de entrega crescentes e complexos, que requerem mais foco e entendimento do negócio por parte da TI, consiga gerenciar adequadamente a segurança?
É preciso quebrar alguns paradigmas.
Com a análise do comportamento de algumas empresas é possível entender o dilema.
Comportamento 1
Algumas companhias são resistentes quando o assunto é implantar uma estratégia que permita focar no seu negócio.
Ao trazer à tona a complexidade de administrar o que não se conhece profundamente, percebo que as companhias pensam em agir na mesma rapidez, mas logo são convencidas de manter um modelo tradicional que não evolui e não garante a escalabilidade necessária.
Neste caso, as empresas preferem continuar com a falsa sensação de segurança até que seu modelo seja colocado à prova. Por outro lado, a insegurança do profissional de TI em se movimentar para o pensamento estratégico, muitas vezes faz com que ocorra a manutenção de um modelo ultrapassado.
Para sair da miopia, é necessário um aprofundamento maior dos riscos que a organização está correndo. Certamente uma opinião neutra e isenta é sempre bem-vinda.
Comportamento 2
Algumas companhias estão alinhadas e antenadas com as melhores práticas e métodos. Têm o desejo e, em muitos casos, o poder de compra adequado para sanar, neutralizar e até mesmo eliminar uma série de ameaças.
No entanto, não possuem capacidade de entrega, parecem “acumuladores” de tecnologias e desperdiçam recursos financeiros que poderiam estar alocados na geração de receita, além do tempo dos profissionais que poderiam estar focados em questões mais estratégicas.
Neste caso, fugir do modismo tecnológico é um grande desafio, pois não faltam soluções no mercado, algumas com maior serenidade e outras nem tanto. Nesta onda, encontramos profissionais que não estão atentos às armadilhas e se aventuram em consumir recursos para a organização, que podem acabar se tornando um grande entulho tecnológico e não contribuir em nada com o avanço do negócio.
Comportamento 3
Algumas empresas adotam princípios claros de governança corporativa e os utilizam para trazer à realidade questões realmente estratégicas. Neste caso, geralmente é adotada uma postura madura na escolha da alocação dos recursos financeiros, humanos e tecnológicos, direcionando-os não apenas para uma resposta mais efetiva aos desafios diários, mas também para alçar novos voos alinhados às estratégias de negócios.
Aqui a organização já compreende a necessidade de escalar a resolução de problemas que minam suas energias. Vencido o medo e a insegurança frente à transição de modelos tradicionais ou de “acumuladores” de tecnologia, é possível abrir um novo horizonte, onde o ganho é inevitável e rapidamente percebido não apenas pela organização, mas também por aqueles que agora ganham tempo para fazer parte e estar mais próximo da visão de negócio.
O fato é que na perspectiva de um CIO, mesmo com tantos objetivos estratégicos à sua frente, a mitigação dos riscos relacionados à segurança não pode passar despercebida. Uma vez que o profissional compreende as ameaças que colocam em xeque-mate a sua imagem e liderança, é esperada uma reflexão positiva a respeito do assunto e que o resultado seja refletido em ações.
Ter um monitoramento proativo de segurança em tempo real 24x7x365 dias, com visibilidade holística do desempenho, disponibilidade e segurança do ambiente de TI, sem desperdiçar recursos e principalmente sem distrações que possam interferir nos objetivos de negócios, é essencial.
Fonte: ComputerWorld