Quando se trata de proteger dados sensíveis, a área de segurança de TI parece estar sempre um passo atrás da área de negócios. Mas é a última quem deve decidir se vai correr riscos, evitá-los, ou mitigá-los.
Durante anos, as empresas pregam que a segurança é muito importante para seus clientes e para o sucesso de seus negócios. No entanto, com tantas violações em vários e diferentes setores, é difícil para a área de segurança de TI levar seus argumentos para a companhia.
Muitos gerentes de segurança da informação dizem que a área de negócios da casa [empresa] não entende de segurança. Em muitos lugares há, claramente, um descompasso.
"Os profissionais de segurança de TI estão sempre procurando maneiras de atender às exigências e às fases de uma nova aplicação ou iniciativa", diz um gerente de segurança de uma grande prestadora de serviços da área de saúde. "Mas muitas vezes nós não somos chamados para participar até quando o projeto já foi realmente iniciado", afirma ele. "Infelizmente, até lá, pouco podemos fazer porque os padrões de arquitetura são requisito fundamental. Além disso, pouco pode ser feito nessa fase para melhorar o projeto de segurança sem aumentar tremendamente os custos."
Equipes de operações e outros membros de TI dizem que a segurança tende a permanecer, constantemente, um passo atrás das operações de negócios em muitas empresas. "Muitas vezes, quando nós trazemos a segurança de TI para o projeto do sistema, tudo o que ouvimos são sobre obstáculos e o porquê das coisas não poderem ser feitas com segurança", diz o arquiteto corporativo em uma empresa global de serviços de engenharia.
É aí que reside o atrito mais comum entre gerentes de negócio, equipes de TI e pessoal de segurança. O descompasso com a área de TI ocorre quando eles tomam a posição desagradável de implementar controles de segurança bem depois de um projeto já estar em andamaneto. Isso é mais difícil e mais caro. "Quanto mais cedo fazer parte da discussão, melhor e mais segura será a iniciativa", diz o especialista.
Outros gestores de segurança alegam que por vezes as equipes de desenvolvimento de aplicações propositadamente evitam, pelo maior tempo possível, as orientações de segurança, adotando-as tardiamente, quando já são irrelevantes. Poucos profissionais de segurança dizem que há relações positivas entre segurança, desenvolvimento e área negócios, durante a fase inicial em que se discute a arquitetura.
Não podendo vencê-los, o desafio para as equipes de segurança é tornar-se parte integrante das discussões. "Antes de falar sobre especificações técnicas ou os riscos de uma nova iniciativa, em primeiro lugar você precisa ter algo mais", diz o analista da empresa de segurança e pesquisa Securosis, Mike Rothman. "Esse 'algo mais' que é 'credibilidade'. Tudo começa com a construção de relacionamentos, ficando cara a cara com os gerentes de negócios."
Brian Honan, fundador da Dublin, empresa de consultoria de segurança, baseada na Irlanda, concorda: "Você tem de ter contato constante com o negócio e estabelecer essas relações", diz Honan. "Assim, quando chegar a hora, você não é um cara estranho que, de repente, veio do back-office e ninguém viu antes."
Haverá um longo caminho até obter credibilidade e estabelecer relacionamentos para conseguir ser ouvido em momentos críticos. "Você também tem de considerar que trabalha para uma emrpesa que atua em determinado setor - e não apenas como uma pessoa de segurança", acrescenta Honan. "Só assim, você pode construir um perfil em segurança de que a empresa precisa, e falar de modo que os líderes de negócios entendam."
Além disso, uma das maneiras mais comuns dos profissionais de segurança de boa reputação serem criticados é por persistentirem em atirar pedras, alegando que as iniciativas não podem ser realilzadas por causa dos riscos. "Explique à liderança da empresa sobre os riscos que existem com os projetos e os custos que podem mitigar esses riscos", diz Honan. "Deixe para a área de negócios decidir se eles vão correr o risco, evitá-lo, ou mitigá-lo".
Os riscos precisam ser articulados com o negócio de forma que eles entendam, de certa maneira, os benefícios da implementantação de uma aplicação ou de uma plataforma e o que poderia dar errado. "Mostre-lhes os riscos reais se fizerem de maneira insegura. Use exemplos recentes ou demonstrações para defender seu ponto de vista", afirma Rothman." O importante é falar em termos de negócios, não no jargão de segurança ", diz ele.
"Se você está apenas apresentando para as pessoas, a organização vai encontrar maneiras de ficar longe de você", diz Rothman. "Se você quer fazer parte da discussão inicial - quando você pode implementar segurança - primeiro você tem de se relacionar com o negócio e, em seguida, explicar os riscos".
Nenhum comentário:
Postar um comentário