Hoje vou falar sobre um tema que foi foco de um painel que participei ano passado num evento de segurança da informação bastante importante: a estratégia de segurança da informação e cyber segurança.
E estratégia não é somente sobre orçamento, contratar pessoas ou escolher ferramentas, vai muito além disso e requer conhecimentos sobre vários temas, inclusive e muito importante, requer conhecimentos sobre o perfil da empresa, da alta direção e do negócio.
Quando você inicia a jornada em uma nova empresa, seja para construir algo novo ou para seguir gerenciando o que já existia, há uma primeira tarefa essencial e quem nem todos fazem que é se aprofundar no negócio e no perfil da empresa, pois somente assim você terá visão do que é "estar seguro" para esta empresa e também no contexto de negócio.
A partir daí, você conseguirá entender o apetite ao risco e o que realmente é importante para a alta direção, obviamente fazendo ajustes para que esse apetite ao risco não gere falhas de segurança, pois afinal, o time especialista responsável é o time de segurança da informação.
Neste contexto, um dos pontos mais importantes do trabalho do CISO é a gestão de expectativas, trabalhando frustrações da alta direção e também do time técnico.
Por um lado, o time quer implementar todos os controles e ferramentas técnicas existentes, afim de evitar incidentes – ninguém quer ter seu nome vinculado a notícias de ataques, por mais que isso não seja um grande problema, pois todos estamos sujeitos.
Neste ponto, o grande trabalho é deixar claro para o time as expectativas da empresa e da alta direção com relação à segurança, além de envolver o time, de alguma maneira, nesta construção/avaliação da estratégia. Seja por meio de reuniões, brainstorm ou qualquer outra ferramenta de gestão que faça com que o time colabore de maneira efetiva.
Do outro lado, há a expectativa grande da empresa que investe valores altos (sabemos que não é barato fazer segurança) e espera ver, de alguma maneira, resultado do investimento.
Isto posto, há o grande desafio de definir a melhor estratégia, considerando o que o negócio tem de mais importante e quais são os pontos fracos. Veja que é essencial considerar o conhecimento técnico da equipe e as experiências vividas e aprendidas.
O plano diretor de segurança e a o política de segurança da informação devem ser construídos de acordo com esta estratégia.
O fato é que não há uma estratégia modelo.
O que há é conhecimento técnico, experiência, muita comunicação e um aprofundamento necessário das necessidades da empresa e do negócio.
Carla Batistella, Gerente de Segurança da informação | DPO.