Seis princípios de resiliência para gerenciar riscos

Em 1906, a cidade americana de São Francisco sofreu um abalo sísmico que destruiu parte do território e matou milhares de pessoas. No entanto, a terra arrasada se reconstruiu utilizando estruturas mais robustas e criou diversos departamentos de segurança a fim de se preparar e reduzir os impactos de uma nova adversidade. Como disse Andrew Walls, vice-presidente de Pesquisa do Gartner, durante Conferência realizada em 10 de agosto de 2015 em São Paulo, assim deve ser a mentalidade das organizações de hoje e no futuro.

O executivo afirmou que todo o negócio está se digitalizando. Cloud computing, internet das coisas, BYOD e o crescimento da shadow IT estão trazendo inúmeras oportunidades para as organizações, mas também riscos. “Os cibercriminosos estão evoluindo rapidamente e as estratégias tradicionais de segurança não estão sendo suficientes”, revelou Walls. Em sua visão, é hora das empresas se tornarem mais resilientes a partir da adoção de seis novas práticas.

A primeira delas é que a instituição deve deixar de cumprir um check list de compliance de seus órgãos reguladores. “Muitas vezes, isso causa uma falsa sensação de segurança, além de presumir que auditores conhecem mais da sua organização que você mesmo”, afirma Walls. Na opinião do executivo, é preciso estudar os riscos os quais sua organização está exposta para então elaborar suas políticas de segurança internas.

“Seguir um regulamento, uma estrutura ou apenas fazer o que os auditores dizem nunca resultou em proteção apropriada”, disse. Além disso, esse check list não está impedindo que hackers passem por essas fortalezas. “O PCI é um padrão abrangente e criterioso, no entanto, muitas empresas que sofreram ataques estavam em conformidade”, complementou Claudio Neiva, diretor de Pesquisas do Gartner.

A segunda delas é que é preciso parar de proteger apenas a infraestrutura e começar a dar suporte aos resultados dos negócios. Isso não quer dizer que ela tenha que deixar de ser protegida, porém as estratégias de segurança precisam ser revistas para que os resultados de negócios sejam atingidos.

Tornar-se um facilitador é a terceira prática recomendada pelo Gartner. Segundo o VP, é necessário resistir à tentação de dizer o que fazer para a equipe de negócios e decidir o nível de risco adequado para a organização.

Outro princípio é o de deixar de querer assumir o controle da informação para determinar como ela flui. Negócios digitais introduzirão novos volumes e tipos de informações que devem ser protegidos adequadamente. É impossível aplicar controles apropriados para proteger os dados quando a localidade não é conhecida. “Não dá para proteger o que não se conhece. Mapear os fluxos de informações se tornará uma tarefa primária de profissionais de segurança e risco no futuro”, explica Walls.

O quinto princípio é respeitar os limites da tecnologia e focar em pessoas. Um bom exemplo do que isso diz respeito é que 80% das violações corporativas se dão por pshishing. Entretanto, não há muitos controles técnicos capazes de conter esse problema. Mas se os colaboradores estiverem mais dispostos a compreender a importância da segurança, com certeza, esse número reduzirá consideravelmente. “As pessoas são tão importantes como as tecnologias. É preciso dar a autonomia que eles precisam, desde que sejam monitorados”, afirmou Neiva.

Por último, o Gartner afirma que é preciso parar de tentar proteger exageradamente sua organização e investir em detecção de resposta. Em um mundo digital, será cada vez mais difícil proteger tudo. Por isso, os profissionais de segurança devem reconhecer que ocorrências de comprometimento são inevitáveis e que é melhor investir em tecnologias que permitam agir imediatamente quando um incidente for identificado.

“Antigamente, segurança era visto como algo técnico, mas nos últimos dois anos, essa mentalidade está mudando. Diversas empresas criaram conselhos para discutir o papel da segurança em suas organizações e esse é o momento ideal para que os profissionais tracem um novo posicionamento diante desse cenário”, finaliza Neiva. leit ambem o artigo Sete erros comuns em gerenciamento de riscos

Por: Alexandre Finelli, Risk Report

Artigos relacionados:


Confira os Cursos Online relacionados:


Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *