Pressões de negócio, mercado e regulatórios colocam o profissional de segurança da informação em uma situação difícil.
O profissional de segurança da informação já há algum tempo não tem que lidar somente com os aspectos operacionais da área, mas também com aspectos regulatórios, demandas de negócio, mitigação de riscos e etc. Os aspectos regulatórios provem de diferentes tais como regulamentações federais, regulamentações de mercado e regulamentações financeiras internacionais, e aparecem de acordo com fatores que não estão no controle deste profissional. Diante de tantas demandas, como este profissional pode encontrar o equilíbrio para lidar com tanta pressão?
Como vivemos em uma economia global, o quê acontece em um país muito provavelmente afetará outros. A lei Sarbanes Oxley é um exemplo clássico. Quando uma empresa americana, como a Enron e WorldCom faliu, isto mudou a maneira das empresas gerenciar seus controles internos.
Por exemplo, se uma empresa no Brasil ou Europa que ter suas ações negociadas na Bolsa de Nova York (NYSE), elas tem que implementar todos os controles requeridos e obter os relatórios independentes sobre a eficácia destes controles. Mesmo empresas que não são afetadas por algumas regulamentações, acabam seguindo o mesmo caminho para se manterem competitivas no mercado.
Adicionalmente, cada país tem suas próprias regulamentações com relacionados direta ou indiretamente com segurança da informação e o profissional de segurança deve estar bem informado sobre elas e estar atualizado sobre o quê está ocorrendo em outros países.
Por exemplo, não existe lei específica a cerca de privacidade no Brasil como as existentes nos países norte americanos e europeus, mas outras regulamentações, especialmente as chamadas regulamentações de mercado como, o Payment Card Industry Data Security Standard (PCI- DSS), estão se tornando populares e de fato requeridas pela indústria para que haja uma padronização de controles que já se provaram efetivos em outros países.
Nesta linha de pensamento, o profissional deve entender o funcionamento das leis de privacidade consolidadas em outros países, pois muito provavelmente elas serão algum dia sancionadas por aqui e antecipando-se, o profissional já terá as estrutura de controles internos de sua empresa preparada para acomodar estas leis.
Obviamente o negócio, TI e segurança, não vive somente em função de conformidade com leis e regulamentações.
A implementação de controles de segurança por meio do uso de soluções tecnológicas, incluído software e hardware, suportados por processos corretamente implementados, pode garantir esta conformidade combinado com a efetiva mitigação de riscos. Mas para que este objetivo seja atingido, o profissional de segurança deve obter o orçamento e apoio da alta administração adequado.
Muitas regulamentações devem ainda aparecer e o profissional de segurança deve implementar um processo, ou quem gostar da expressão em inglês um framework, com o objetivo de se encontrar controles que possam atender diversas regulamentações, mitigar riscos, atender as demandas de negócio utilizando recursos e investimentos que já foram efetuados. Caso contrário, o aporte financeiro será mais difícil, pois a alta administração não verá efetividade na forma que o profissional está gerindo e concentrando os investimentos em segurança.
Para conseguir equilíbrio para atender as demandas de negócio, regulamentações e mitigar riscos de forma eficaz, existe uma receita muito bem conhecia. O profissional de segurança deve convencer a alta administração e gestores de que eles fazem parte do problema e da solução.
Afinal, é a empresa e não a área de segurança que deve estar aderente às leis ou somente a área de segurança sofrerá as conseqüências de perda ou vazamento de dados, interrupções e outras materializações de riscos. O profissional de segurança não deve ser o “cowboy” solitário tentando fazer o que é correto ou criar um feudo isolado de toda a organização com uma visão limitada de sua visão e missão.
A alta administração e os gestores devem ser trazidos para a briga por meio de comitês ligados a segurança da informação, campanhas maciças de conscientização e outras medidas para que todos conheçam suas responsabilidades, suportem as iniciativas lideradas pela área de segurança.
Caso estas iniciativas deixem de ser cumpridas por impactarem estratégias e processos de negócios, além da famosa frase “não temos orçamento”, todos terão consciência e compartilharão conseqüências no advento da materialização de um risco de segurança.
Walmir Freitas é CISO da Fidelity Processadora e Serviços e membro do (ISC)2 Advisory Board of the Americas.
Fonte: Site Baguete
