Anteriormente comentamos acerca do papel de protagonismo observado pelo departamento de tecnologia dentro das organizações. É que esse departamento passou não apenas a ser o suporte para a otimização do ambiente de produção, mas também tomou para si a complexa missão de ser a força motriz por detrás dos programas de inovação.
De certo que diante de um mercado competitivo, as empresas compreenderam que sem emprego de recursos adequados em inovação, a tendência é a de que se vejam em crescente desvantagem comercial. Custo elevados, produção abaixo dos níveis ótimos, existência de processos manuais, falha humana, entre outros aspectos, encerram a atividade e o resultado empresarial para patamares aquém daqueles apresentados pelas empresas líderes de mercado e daquelas que são as seguidoras imediatas.
Pela complexidade do desafio enfrentado pelo departamento de tecnologia da informação diante de seu novo paradigma, já se percebe que o acréscimo de uma nova competência é tarefa hercúlea e impossível de ser realizada na prática.
Entretanto, esse não é o único fator por detrás da necessidade de separar os departamentos, concedendo-se uma série específica de atribuições ao departamento de segurança da informação em detrimento do que seria levado ao conhecimento do departamento de TI. Trataremos dessas.
Extrapolando a função tipicamente da TI, que cuida do funcionamento do negócio em uma base diária, o departamento de segurança da informação cuida de proteger o negócio, seus dados, suas informações estratégicas e operacionais e ainda de proteger o tratamento de dados de particulares, observando comando de lei. Trata-se de verdadeiro universo que requer, em geral, o emprego de recursos técnicos e habilidades humanas provenientes de diversas áreas de conhecimento que citaremos abaixo, conjugando pessoas, processos e tecnologia.
ALGUMAS DAS FUNÇÕES DO DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO
- Gestão de riscos, incluindo-se os riscos digitais. Prover a gestão baseada em risco enquanto estratégia do negócio.
- Proteger os ativos digitais ou físicos que tratam informação, garantindo confidencialidade, disponibilidade e integridade.
- Estabelecer políticas e procedimentos de segurança e privacidade que efetivamente sejam aderentes ao negócio.
- Estabelecer e gerenciar todo o contexto de compliance, em especial o legal e regulatório específico do segmento de negócio.
- Criar e organizar o plano de continuidade do negócio.
- Criar e desenvolver plano de resposta a incidentes.
- Desenvolver um programa estratégico e de contexto executivo de desenvolvimento de maturidade em segurança cibernética, levando em conta o apetite a risco e a capacidade de investimento empresarial.
- Criar um programa de treinamento e conscientização acerca da segurança da informação.
- Gerenciar programa de auditoria interna e externa de InfoSec.
- Criar plano de correlação e tráfego de informação entre os demais setores da companhia.
- Trabalhar junto ao departamento de tecnologia da informação com um modelo procedimental, que viabilize equalizar os pilares da flexibilidade x segurança para tomada de decisões.
A decisão de se separar os departamentos, diante do conjunto de atribuições descritas que devem ficar a cargo do departamento de InfoSec, apresenta ainda vantagens de ordem prática que merecem serem apontadas:
- Acessibilidade e conveniência versus segurança e conformidade.
Quando se tem segmentados os dois departamentos, é possível criar uma sinergia entre a liberdade de operacionalizar as rotinas do dia a dia e equacionar essa fluidez, com as regras mais rígidas de uma política de Segurança da informação, de maneira a não pesar um lado em detrimento de outro.
- Compreender que a Segurança da Informação se insere no contexto do Risco de Negócio e não resta subordinado ao risco de Tecnologia da informação.
Quando falamos em risco de vazamento de dados, estamos diante de risco de continuidade do próprio negócio afetado, surpassando o risco operacional. A severidade do contexto, clama por um olhar mais aprofundado sobre a questão.
- A Rotina e a resposta imediata a incidentes.
Quando inexiste a divisão, muitas vezes o time dedicado da TI está de tal maneira atarefada com a operação, que não tem tempo para se dedicar com a urgência necessária para lidar com ameaças persistentes, exasperando o risco.
- Auditorias
É importante que um departamento diferente se ocupe da função fiscalizadora das políticas internas de governança e segurança da informação, seja com equipe interna, seja em apoio a prestadores externos.
- Orçamento
Somente o squad de especialistas em InfoSec, deteria condições de avaliar as necessidades mais imediatas e as colocar em uma curva de prioridades, em termo de recursos a serem alocados.
Finalmente, após enumerar algumas competências típicas do departamento de segurança da informação e de tecer comentários sobre algumas das vantagens de se separar o departamento de segurança da informação do departamento de tecnologia da informação, acreditamos ser pertinente discorrer sobre mais um dos aspectos, que é considerado quando da tomada de decisão entre separar ou não os departamentos, a questão do custo.
Cientes de que empresas pequenas não conseguem suportar o custo de se contratar e manter um squad de profissionais bem qualificados e com habilidades técnicas complementares, algumas medidas podem ser tomadas no sentido de otimizar o investimento.
De fato, adotar postura passiva e delegar ao time de TI a responsabilidade de cuidar da segurança dos dados se mostra atitude muito temerária, uma vez que não lida diretamente com o risco partindo de um pressuposto estratégico. A falha e a ocorrência de apenas um único incidente de segurança podem significar a perda de anos de construção acerca da imagem do negócio e da marca, e dependendo do acontecimento, tais como os ransonwares, podem inviabilizar a própria operação da empresa.
A solução para contornar esse cenário de parcial escassez de recursos, pode vir da opção de se promover a contratação de força técnica especializada de empresas terceirizadas e focadas em segurança da informação. Com a construção de uma estratégia bilateral, é possível cadenciar os investimentos e obter retorno mensurável em segurança, dentro de uma linha de tempo de ação.
Perfil do Autor
- Diretor de Riscos e Compliance da NowCy. Advogado sênior, pós-graduado em Direito Empresarial. Especialista em Direito Digital, LGPD, Cibersegurança e Risco Corporativo. Atualmente ocupando posição estratégica na gestão de riscos digitais.
Últimas Postagens
Gestão e estratégia12 de março de 2024Avaliação de Risco: Por que a personalização é importante nessa estratégia?- Gestão e estratégia8 de fevereiro de 2024Regulamentações de Compliance: Como a avaliação de riscos pode ajudar na conformidade das empresas
- Gestão e estratégia30 de janeiro de 2024Avaliação de Riscos: Descubra e mitigue riscos potenciais com uma estratégia abrangente
- Cibersegurança16 de janeiro de 2024A avaliação de riscos como aliada contra os perigos cibernéticos
