A segunda edição do Cybersecurity Forum, promovido pela TI INSIDE nesta terça 29, em seu primeiro painel discutiu o tema gerenciamento de riscos, governança de TI e os planos de contingência que tem tudo a ver com planejamento.
Conforme Edison Fontes, Cybersecurity Evangelist – NTT Data Europe & Latam, é preciso ter em mente que quando se trata de contingência há como espinha dorsal as resoluções do Bacen sobre riscos, e para continuidade dentro do risco corporativo, as normas ISO 27000 que abarcam o código de prática para controles de segurança e que descreve as melhores práticas para aqueles que implementam o SGSI, fornecendo diretrizes sobre a seleção, implementação e gerenciamento de controles levando em consideração os ambientes de risco da organização.
"E dentro desse espectro olhar os gestores precisam atentar para o que é estratégico e o que é financeiro. Assim, o plano de contingência e suas normas de gestão, bem como a segurança da informação e a segurança cibernética, além da proteção à privacidade são aspectos relacionados dentro das organizações que precisam estar correlacionadas nos planos corporativos", disse.
Segundo o especialista em questões relacionadas a governança corporativa. o ponto mais importante é a rapidez que a TI permite para sustentabilidade da segurança – ou seja, o que é preciso para acontecer a governança. "Uma delas através das normas e políticas da organização ( continuidade de negócios), onde tem que dizer explicitamente os planos de continuidade, de quem é a responsabilidade de cada passo e outros controles", reiterou. "Quando uma política diz e explicita esse controle e depois as normas dizem como vai acontecer, acredito que aí já se tenha os princípios de uma política bem estruturada.", conceitua .
Para Edison Fontes a questão de contingência também serve para dizer aos gestores sobre os ambientes onde serão tratados os dados como um todo, mas separados por ambientes dependendo do tipo de dado ( estruturados ou não, dados de infraestrutura, etc), nos quais , como disse todos eles devem ser examinados para ter planos específicos de continuidade. "Neste aspecto, definir os ambientes de informação, cenários e escopos, tempos máximos de indisponibilidade, quais recursos mínimos e os testes são essenciais. Destaco os testes como o mais importante nos planejamentos pois ao definir o escopo de testes, os tempos e escopos deles já se tem ai uma visão de como responder proativamente ao eventos que possam vir a ocorrer", destacou.
Um ponto importante evidenciado por Fontes sobre a governança, é o envolvimento do corpo diretivo nos processos de preparo e implantação dos planos de contingência, a fim de demonstrar como a maturidade da segurança da informação está seguindo os passos estabelecidos. "Empresas que não tem maturidade adequada vão ter mais incidentes e por isso, com os planos de recuperação – explicitamente na mão deles – haverá a iniciativa de se fazer a contingência. Dessa forma, ao ter o escopo e o cenário já determinados, do ponto de vista de continuidade são fundamentais. Determinar a política de cópias e outras questões relacionadas à tecnologia, antes que incidentes ocorram, não se trata apenas do básico, mas sim de ter a lição de casa feita e isso vale para proteção e testes, muitas vezes nada sofisticados, mas para se ter garantias e saber exatamente os tempos necessários para recuperação após eventos", reiterou.
Como explicou, Paulo Kimura, diretor de Segurança da Informação e Governança de TI da Take Blip, que até bem pouco tempo atrás se falava muito em ameaças cibernéticas para sensibilizar as empresas, mas hoje elas já são realidade e acontecem no cotidiano de qualquer organização.
"Naturalmente existem approaches de segurança em camadas que servem para trazer o contexto nos quais a responsa da missão crítica está envolvida. Esta é uma jornada de múltiplos times e também para eles existem atalhos no sentido de caminhos corretos pelas experiências adquiridas e frameworks de sucesso desde os mais tradicionais até os mais atualizados, sempre a luz dos riscos que ocorrem todos os dias ".
Por isso, como explicou o diretor de segurança, as normas ISO 27001 são o padrão e referência na gestão de segurança da informação, cujo tema central pressupõe a governança, bem como o sistema gerencial de segurança da informação deve ter representantes das áreas chaves da organização para que todo o ecossistema se crie em torno da segurança como ponto focal.
"À parte as soluções empregadas, deve haver o compartilhamento da responsabilidade entre todos na organização, pois para ser eficiente e ter os investimentos eficazes, é necessário se ter governança, com base nas certificações. Isso acelera a curva de maturidade desde o início dos projetos", reiterou.
Kimura alertou ainda que os incidentes e ransomware acontecem por questões básicas em segurança, já que muitos ataques não são tão sofisticados, mas muitas empresas pecam por questões simples. "Questões como phishing ou acessos e testes são importantes tanto por compliance quanto por riscos. Com a prática (simulação de crises ou eventos por exemplo) levam os players, gestores e todos envolvidos a saber como atuar e reduzir o tempo de recuperação do desastre. Treinar e capacitar as pessoas torna-as mais confiantes para assumir a responsabilidade diante da crise ", ressaltou.
"Gerir a segurança é importante, mas há linhas para manter a cadência e o nível de segurança e isso só acontece por meio da governança e pelas normas", garantiu André Prevedel, CIO da NEObpo. Como disse o especialista, o convencimento de todos os envolvidos na organização é o tema principal da gestão da segurança da informação. "Sem esta consciência não existe uma cadeia confiável e isso só ocorre diante de treinamentos e convencimentos , que mostram a cada indivíduo aonde se quer chegar e quais os meios para isso permeando todas as áreas da companhia", evidenciou.
Segundo ele, empresas com o foco baseado na governança, com atenção sobre os riscos, são aquelas que privilegiam os objetivos de cada negócio. 'E neste sentido temos visto um grande amadurecimento do mercado brasileiro, onde poucas indisponibilidades reais ocorreram.", lembrou o especialista.
Prevedel também reforçou a importância de se ter um plano de gestão de riscos implementado por testes e exercícios, a fim de ter um pessoal alerta para restabelecer os negócios, no menor prazo possível e exequível. "Para isso é necessário ter um gestor de crise estabelecido e pessoas treinadas para sobrevivência até que a normalidade seja restabelecida. Há sempre uma discussão de sempre estar preparados para ataques, mas é primordial ter quais as prioridades e planos e a comunicação dos eventos para o público interno/externo e contar com parceiros nesta fase da crise. Por isso o aculturamento é o fator determinante", finalizou.
