A necessária divisão entre o Departamento de Tecnologia da Informação e o Departamento de Infosec no ambiente corporativo

Anteriormente comentamos acerca do papel de protagonismo observado pelo departamento de tecnologia dentro das organizações. É que esse departamento passou não apenas a ser o suporte para a otimização do ambiente de produção, mas também tomou para si a complexa missão de ser a força motriz por detrás dos programas de inovação.

De certo que diante de um mercado competitivo, as empresas compreenderam que sem emprego de recursos adequados em inovação, a tendência é a de que se vejam em crescente desvantagem comercial. Custo elevados, produção abaixo dos níveis ótimos, existência de processos manuais, falha humana, entre outros aspectos, encerram a atividade e o resultado empresarial para patamares aquém daqueles apresentados pelas empresas líderes de mercado e daquelas que são as seguidoras imediatas.

Pela complexidade do desafio enfrentado pelo departamento de tecnologia da informação diante de seu novo paradigma, já se percebe que o acréscimo de uma nova competência é tarefa hercúlea e impossível de ser realizada na prática. 

Entretanto, esse não é o único fator por detrás da necessidade de separar os departamentos, concedendo-se uma série específica de atribuições ao departamento de segurança da informação em detrimento do que seria levado ao conhecimento do departamento de TI. Trataremos dessas.

Extrapolando a função tipicamente da TI, que cuida do funcionamento do negócio em uma base diária, o departamento de segurança da informação cuida de proteger o negócio, seus dados, suas informações estratégicas e operacionais e ainda de proteger o tratamento de dados de particulares, observando comando de lei. Trata-se de verdadeiro universo que requer, em geral, o emprego de recursos técnicos e habilidades humanas provenientes de diversas áreas de conhecimento que citaremos abaixo, conjugando pessoas, processos e tecnologia. 

ALGUMAS DAS FUNÇÕES DO DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO

  1. Gestão de riscos, incluindo-se os riscos digitais. Prover a gestão baseada em risco enquanto estratégia do negócio.
  2. Proteger os ativos digitais ou físicos que tratam informação, garantindo confidencialidade, disponibilidade e integridade.
  3. Estabelecer políticas e procedimentos de segurança e privacidade que efetivamente sejam aderentes  ao negócio.
  4. Estabelecer e gerenciar todo o contexto de compliance, em especial o legal e regulatório específico do segmento de negócio.
  5. Criar e organizar o plano de continuidade do negócio. 
  6. Criar e desenvolver plano de resposta a incidentes.
  7. Desenvolver um programa estratégico e de contexto executivo de desenvolvimento de maturidade em segurança cibernética, levando em conta o apetite a risco e a capacidade de investimento empresarial.
  8. Criar um programa de treinamento e conscientização acerca da segurança da informação.
  9. Gerenciar programa de auditoria interna e externa de InfoSec.
  10. Criar plano de correlação e tráfego de informação entre os demais setores da companhia.
  11. Trabalhar junto ao departamento de tecnologia da informação com um modelo procedimental, que viabilize equalizar os pilares da flexibilidade x segurança para tomada de decisões.

 

A decisão de se separar os departamentos, diante do conjunto de atribuições descritas que devem ficar a cargo do departamento de InfoSec, apresenta ainda vantagens de ordem prática que merecem serem apontadas:

  • Acessibilidade e conveniência versus segurança e conformidade.

Quando se tem segmentados os dois departamentos, é possível criar uma sinergia entre a liberdade de operacionalizar as rotinas do dia a dia e equacionar essa fluidez, com as regras mais rígidas de uma política de Segurança da informação, de maneira a não pesar um lado em detrimento de outro.

  • Compreender que a Segurança da Informação se insere no contexto do Risco de Negócio e não resta subordinado ao risco de Tecnologia da informação.

Quando falamos em risco de vazamento de dados, estamos diante de risco de continuidade do próprio negócio afetado, surpassando o risco operacional. A severidade do contexto, clama por um olhar mais aprofundado sobre a questão.

  • A Rotina e a resposta imediata a incidentes.

Quando inexiste a divisão, muitas vezes o time dedicado da TI está de tal maneira atarefada com a operação, que não tem tempo para se dedicar com a urgência necessária para lidar com ameaças persistentes, exasperando o risco.

  • Auditorias

É importante que um departamento diferente se ocupe da função fiscalizadora das políticas internas de governança e segurança da informação, seja com equipe interna, seja em apoio a prestadores externos.

  • Orçamento

Somente o squad de especialistas em InfoSec, deteria condições de avaliar as necessidades mais imediatas e as colocar em uma curva de prioridades, em termo de recursos a serem alocados. 

Finalmente, após enumerar algumas competências típicas do departamento de segurança da informação e de tecer comentários sobre algumas das vantagens de se separar o departamento de segurança da informação do departamento de tecnologia da informação, acreditamos ser pertinente discorrer sobre mais um dos aspectos, que é considerado quando da tomada de decisão entre separar ou não os departamentos, a questão do custo.

Cientes de que empresas pequenas não conseguem suportar o custo de se contratar e manter um squad de profissionais bem qualificados e com habilidades técnicas complementares, algumas medidas podem ser tomadas no sentido de otimizar o investimento. 

De fato, adotar postura passiva e delegar ao time de TI a responsabilidade de cuidar da segurança dos dados se mostra atitude muito temerária, uma vez que não lida diretamente com o risco partindo de um pressuposto estratégico. A falha e a ocorrência de apenas um único incidente de segurança podem significar a perda de anos de construção acerca da imagem do negócio e da marca, e dependendo do acontecimento, tais como os ransonwares, podem inviabilizar a própria operação da empresa.

A solução para contornar esse cenário de parcial escassez de recursos, pode vir da opção de se promover a contratação de força técnica especializada de empresas terceirizadas e focadas em segurança da informação. Com a construção de uma estratégia bilateral, é possível cadenciar os investimentos e obter retorno mensurável em segurança, dentro de uma linha de tempo de ação.

 

Perfil do Autor

Saulo Almeida
Saulo Almeida
Diretor de Riscos e Compliance da NowCy. Advogado sênior, pós-graduado em Direito Empresarial. Especialista em Direito Digital, LGPD, Cibersegurança e Risco Corporativo. Atualmente ocupando posição estratégica na gestão de riscos digitais.

Compartilhe