PQO BM&F, BACEN 3380, SOX, SUSEP, etc… De que adianta tanta regulamentação se existe uma briga interna entre as equipes de TI e Segurança da Informação? O departamento de TI geralmente não acredita que possa acontecer um evento não-programado que cause indisponibilidade dos negócios e, muitas vezes, não investe financeiramente e nem demanda esforço para se precaver de uma eventual ameaça.
Trago longa experiência em TI e, nessa época, não acreditava que corríamos tantos riscos. Vivenciei várias brigas internas entre as áreas de Segurança da Informação e TI e sei que esse "privilégio" não é apenas meu e, sim, do mercado. A equipe de Segurança tentando se adequar aos padrões e às normas de qualidade e regulamentação a fim de estabelecer um ambiente mais seguro. Porém, se esbarra no departamento de TI, que na maioria das vezes está ocupado "apagando incêndios", deixando de lado as preocupações com assuntos "secundários". Mas a continuidade dos negócios de uma empresa não é prioridade? Muito pelo contrário, ela é imprescindível: é preciso um planejamento minucioso para avaliar os riscos e se proteger de acordo com as vulnerabilidades existentes.
Também não basta estar seguro e preparado para agir em um momento de crise, se não existe nenhuma sinergia entre as equipes de TI e Segurança. É preciso haver uma evangelização, um discernimento sobre continuidade de negócios e contingência, pois áreas que fornecem serviços em prol da empresa não podem ir de encontro umas com as outras.
Quando raramente um profissional de TI tem em mente que é preciso se preocupar com continuidade de negócios, geralmente ele não tem "braço e força" suficientes para se preparar. Muitas vezes as empresas sabem o que precisa ser feito, mas não existe um planejamento estruturado para isso. É preciso ter documentado todos os procedimentos, desde como e quem serão as pessoas que precisarão agir em caso de contingência, até para quem e como comunicar um óbito em caso de um incidente.
É válido salientar que TI não é nada sem o negócio e os negócios não funcionam sem TI, ambos precisam caminhar lado a lado. Foi-se o tempo em que se utilizavam máquinas de escrever e calculadora para a execução de trabalhos, hoje em dia uma simples planilha de Excel substitui e tem a mesma importância de grandes sistemas em grandes corporações.
Pensando e continuidade dos negócios, o ideal seria que ambas trabalhassem juntas: a TI parando um pouco para entender as reais necessidades do negócio, as atividades críticas e os sistemas e arquivos que as suportam, e as áreas de negócio deixando um pouco o preconceito de pensar que TI simplesmente é um atendimento de helpdesk. Dessa forma, as equipes poderão determinar estratégias bem-sucedidas para não somente atender às regulamentações e auditorias, mas também para não deixarem de existir em caso de um incidente não-programado ou catástrofe natural.
Essa briga de egos não faz bem para as necessidades da companhia, é preciso quebrar esse paradigma. O intuito deste artigo é alertar as equipes de TI e Segurança a caminharem no mesmo sentido, pois ambas precisam garantir os serviços acordados com as equipes de negócio, seus clientes internos.
* Marcelo Pinheiro é consultor da Sion People Center
