Com exceção de alguns segmentos de negócios, tipo conjunto das instituições financeiras, os Conselhos de Administração, ou a própria Diretora Executiva recebem poucas informações objetivas sobre os riscos (ameaças x probabilidade ocorrência), maturidade e situação atual da dos controles de Cibersegurança: estamos à beira de um precipício de caos tecnológico?
Sendo pragmático, o Conselheiro que vai decidir investimentos, estratégias corporativas e direcionamentos para o negócio ou novos negócios, precisa receber informações objetivas, de qualidade, diretas e confiáveis sobre o impacto da fragilidade ou robustez dos controles de segurança na operacionalização do negócio. Não se pode dourar nem esconder esta informação. É obrigação do profissional Gestor de Segurança da Informação.
Para simplificar, utilizo o termo Cibersegurança ou Segurança, considerando a nomenclatura oficial da Família das Normas ABNT/ISO: Segurança da informação, segurança cibernética e proteção à privacidade.
O uso desta minha sugestão deve considerar o tipo e especificidades da organização. Mas existe um direcionador sagrado: tem que ser simples e direto. Poucos slides, com letras grande e quadros verde(adequado) amarelo (parcialmente adequado) vermelho (estamos em grande risco).
Não existe padrão para todas as organizações, mas, entendo que existem informações mínimas obrigatórias, independente do porte e tipo de negócio que o Conselho de Administração e/ou Diretoria Executiva devem conhecer.
Para todas e em cada uma destas questões existe uma pergunta sagrada: Qual o impacto financeiro, ou operacional, ou de reputação, ou de ilegalidade no caso de não atendimento adequado ao controle?
- Quais os ambientes de informação da organização?
Ambiente de informação é qualquer ambiente que trate qualquer informação que é utilizada pela organização.
Ambientes de informação, considera tecnologia, convencional, prestadores de serviços, parceiros, governo e muitas vezes ambientes de clientes, dependendo do tipo de negócio da organização.
- Qual o Grau de Maturidade dos controles de segurança?
Sugiro, inicialmente para as organizações de início de informação com o Conselho e ou Diretoria, níveis simples e objetivos, tipo:
– Adequado: todas as proteções considerando o ambiente comercial e o tipo de negócio foram implementadas, são testadas e existe gestão.
– Parcialmente Adequadas: existem proteções básicas, mínimas, mas a organização não está protegida como deveria, em função do seu porte, tipo de negócio e objetivos corporativos.
– Não adequado: organização está sob grande risco se criminosos explorarem as vulnerabilidades existentes.
- Considerando os controles não adequados ou parcialmente adequado, qual o custo e tempo de implementação para o patamar adequado? Qual o Plano de Ação?
Controles não adequados ou parcialmente adequados precisam ter um plano de ação para chegarem ao patamar de controles adequados. Deve existir um plano de ação com prioridades, custo e tempo.
- Qual o nível de dependência de informação que temos dos fornecedores, parceiros e outros?
A Arquitetura da Informação Corporativa deve contemplar os atores extra organização. Em primeiro lugar os fornecedores. Eles são parte da cadeia operacional de valor para o negócio da organização. Muitas organizações não sabem o quanto dependem dos fornecedores. E isto pode necessitar de investimentos que necessitem de aprovação do Conselho. Tipo, a empresa de energia não é de qualidade e precisamos ter geração própria de energia.
Mas existem outros atores que não são fornecedores diretos no dia a dia, mas fazem parte da cadeia de tratamento da informação. Isso inclui, para certos tipos de negócios, até ambiente do cliente. Todos estes elementos precisam ser considerados.
- Qual o nível de maturidade de segurança de cada fornecedor? Qual o plano de ação para fornecedores não adequados?
Além da dependência é necessário fazer a gestão do nível de maturidade de segurança dos fornecedores e demais atores. Um padrão rígido de controles de segurança para os fornecedores é obrigatório.
Fornecedores com baixa maturidade em controles de segurança precisam ser ajudados e mudar o patamar. Caso não aconteça, é necessário a mudança de fornecedor. Dependendo da situação, isso chega para uma avaliação de risco do Conselho.
- Qual o risco de indisponibilidade do ambiente de informação? Qual a capacidade de recuperação?
Gestão de Planos de Continuidade de Negócio é obrigatória. Mas qual a capacidade de recuperação, tem que ser informada ao Conselho. Pessoalmente eu só daria esta informação caso existam os planos contemplando todos os ambientes de informação, testes periódicos realizados e planos de melhoria. Caso contrário, a má notícia: não sabemos com certo grau de garantia qual a nossa capacidade de recuperação. E temos que ter a resposta: quanto tempo para a implementação e quanto custa?
- Quantos ataques cibernéticos aconteceram nos recentes 12 meses? Quantos tiveram sucesso, qual o impacto e qual nossa capacidade de defesa?
Conseguir responder estas perguntas, exige uma boa gestão de proteção técnica. Caso não tenhamos esta informação, é urgente: quanto custa e quanto tempo para implementar?
- Qual o nível de rotatividade de pessoal de segurança, incluindo fornecedores?
Uma baixa rotatividade de pessoal é um indicador positivo para a proteção da informação. Evidentemente não decisivo. E a organização terá que lidar com fornecedores tipo Call Center, onde a essência deste trabalho é uma alta rotatividade de colaboradores. Então a dependência e o tratamento da informação devem ser adequados à estas características.
- Qual o nível de atualização dos nossos recursos técnicos e qual o investimento necessário para mantermos adequados nos próximos cinco anos, considerando cada ano.
A não atualização de recursos de informação gera a médio e longo prazo vulnerabilidades crescentes. É importante o Conselho e Direção entender que é obrigatório o custo da atualização tecnológica. Muitas ações de criminosos são realizadas em fragilidades que não foram corrigidas por não existir a tecnologia mais atualizada.
- Qual o nível de conformidade com todas as legislações relacionadas a tratamento de informação e proteção cibernética, obrigatórias para a organização diretamente ou por que presta serviços para clientes que exigem esta legislação?
Atualmente, entendo que de maneira positiva, é crescente a quantidade de legislações relacionadas à proteção da informação e à proteção aos recursos de informação cibernéticos.
A organização precisa identificar quais legislações aplica diretamente à mesma, e quais legislações a empresa deseja seguir porque atende a clientes que estão subordinados a outras leis.
Esta situação precisa ser entendida pelo Conselho de Administração, pois se for tomada a decisão estratégica da organização atuar em um outro país ou continente, é necessário considerar na implementação desta diretriz, a legislação existente em relação ao tratamento de informação.
CONCLUSÃO
Estas orientações "são uma trilha, não são um trilho!"
Podem ser melhoradas e devem ser ajustadas ao ambiente da organização. Existem outras informações que você leitor e profissional podem identificar. Ótimo! Tenha a sabedoria de adaptar para a sua organização.
Tem medo de ser portador de más notícias? Verdade, não é agradável levar más notícias se for o caso da sua organização. Mas leve a boa notícia, que tudo pode melhorar e você e equipe tem um plano de ação com prioridade, com tempo e custo definidos.
Edison Fontes, CISM, CISA, CRISC, Ms.