Os negócios digitais trouxeram produtividade, agilidade, eficiência, lucro e satisfação aos clientes de empresas de diversos portes e segmentos. Mas por outro lado, também expuseram organizações do mundo todo a novas ameaças e riscos. Assim, as empresas precisam criar planos efetivos e uma gestão de riscos eficiente para que se antecipe a ameaças virtuais que circulam pela internet – como o recente ataque a milhares de computadores corporativos que reacendeu o alerta quanto à realização de procedimentos de segurança para a proteção de softwares e dados, inclusive confidenciais, das empresas.
Para nos ajudar a entender melhor sobre gestão de riscos, conversamos com Claudio Neiva, vice-presidente de Pesquisas do Gartner, consultoria norte-americana que é líder mundial no fornecimento de pesquisas e aconselhamento sobre o tema tecnologia.
Riscos e ameaças
Para Neiva, os principais riscos e ameaças que as empresas enfrentam no ambiente virtual pode variar de acordo com o segmento de mercado em que atuam. E nesse sentido, uma boa gestão de riscos deve ser pensada em nível de ecossistema, já que corporações estão conectadas a outras.
“A gestão de risco não é mais o domínio de uma única empresa e deve ser considerada em nível de ecossistema; tanto que vimos as implicações disso, recentemente, com ataques a provedores de serviços de infraestrutura digital. Por exemplo, as empresas OneLogin e Dyn, que tiveram falhas em seus serviços, afetaram os negócios de muitas outras. Em cinco anos você avaliará continuamente o risco e a reputação dos seus principais parceiros digitais e eles farão exatamente o mesmo com você”.
Ainda de acordo com Neiva, uma pesquisa do Gartner prevê que, até 2020, 60% dos negócios digitais farão parte de grandes ecossistemas. Mas quais são os desafios que os negócios enfrentam para manterem a segurança no ambiente virtual? Para o vice-presidente de Pesquisas, existem, pelo menos, quatro:
- A identificação dos parceiros da empresa e a preparação para proteger essas interconexões e monitorar, procurando por indicativos de ataque;
- Aumento da superfície de ataque ao ampliar canais de relacionamento com cliente e parceiros por meio de diversas tecnologias, aumentando também a complexidade, que pode gerar um problema de escalabilidade sobre as capacidades das equipes técnicas em acompanhar e proteger tudo;
- Desenvolvimento de rápidos DevOps sem um framework que padronize a inclusão de recursos de segurança;
- A adição de novas tecnologias à velocidade, que, do modo tradicional, é difícil de acompanhar e manter controle de tudo de forma manual.
Nesse caso, o Gartner sugere que haja o desenvolvimento de uma arquitetura de segurança adaptativa com foco em uma avaliação contínua de riscos e tomadas de decisão baseadas em contexto.
“De forma direta, não existe um meio de eliminar esses riscos e ameaças; no entanto, é possível ter uma estrutura que permita automatizar muitas das tarefas repetíveis exercidas pela equipe de segurança, dando maior capacidade de fazer mais com menos”, afirma Neiva.
Segundo ele, o modelo CARTA (Continuous Adaptive Risk and Trust Assessment) promove meios para construção de uma estratégia de segurança que viabiliza a escalabilidade de serviços com segurança. “Risco não se elimina, mas se gerencia a ponto de não ser proibitivo ousar com novos projetos e produtos”.
Protegendo as organizações com a gestão de riscos
Como não é possível eliminar as ameaças no ambiente virtual, é preciso fazer uma completa gestão de riscos. Mas como? Por meio de uma cultura de segurança na empresa.
Neiva explica:
“ A cultura de segurança vai muito além de tecnologia (TI). Isso deve fazer parte do cotidiano de todos os funcionários. O mundo digital é igual ao mundo real, com a diferença que as pessoas e empresas conseguem fazer um estrago muito maior devido à inexistência de limites físicos”.
Nesse caso, a segurança deve ser um tema discutido nos processos internos e os princípios e valores da empresa devem estar evidenciados também no ambiente virtual.
“A tecnologia vem para suportar os princípios e valores estabelecidos pela empresa. Desta forma, o uso da tecnologia se torna mais eficiente por ser aplicada no que mais importa. Falhas/problemas de segurança vão sempre existir; a diferença é como uma empresa está preparada para responder. Ou seja, sem princípios, estratégias e objetivos bem estabelecidos, significa que esta empresa sempre será reativa dentro de cada caos que acontecer”.
Neiva finaliza com o que considera o equilíbrio na gestão de riscos:
“O equilíbrio está realmente na mudança de mentalidade da alta gestão da empresa e dos CIOS e CISOS. Todos trabalhando juntos na viabilização de projetos com segurança e em acordo com o plano estratégico da empresa. TI e Segurança existem para manter e inovar dentro dos objetivos de negócio, e não o contrário”.
Gostou de saber mais sobre a gestão de riscos? Então compartilhe esse post em suas redes sociais e leve a discussão sobre a segurança da informação a seus amigos. Até a próxima!