Gestão de Riscos: como você tem tratado esse assunto?

Por Colaborador externo | 30.09.2016 às 06:16

Por Cleber Marques*

A segurança da informação tornou-se algo tão compartimentado –quando se fala em termos de sistemas—que dificilmente um software “conversa” com outro dentro do mesmo ambiente. E isso é ruim, porque cria silos de informação que podem, fatalmente, trazer riscos ao negócio como um todo. Hoje, gestores de Segurança da Informação priorizam três áreas principais na gestão: identificação de ameaças, priorização e remediação. O problema é manter uma gestão efetiva do risco que envolva ações proativas, sendo que o maior problema está em justamente obter dados concisos e precisos.

Soma-se a isso o fato de que os ataques, e sua qualidade e diversidade, só aumentaram. Dados da PricewaterhouseCoopers mostram que o número de ataques cibernéticos detectados no Brasil em um período de 12 meses disparou 274% em 2015, acima da média global de 38% em relação a 2014. Se no passado proteger a rede e o endpoint eram suficientes, atualmente aplicações, serviços na nuvem, a Internet das Coisas trouxeram uma complexidade tamanha que é preciso muito mais do que um sistema: é necessário também um programa estruturado de conscientização do usuário como parte da gestão do risco. Ou seja, a demanda por ações, soluções, ferramentas só aumenta, aumentando a complexidade e, em consequência, os silos de informação.

De acordo com a 2015 Global Risk Survey Management elaborada pela empresa de seguros AON, 84% dos ataques digitais ocorridos atualmente ocorrem na chamada camada de aplicação e não na camada de rede, o que vai exigir das empresas uma atuação ainda mais ampla para a segurança digital. E é aqui que o nosso problema inicial aparece novamente: como gerenciar o volume, velocidade e complexidade dos dados gerados por aplicações diferentes força os gestores a criar uma rotina de normalização dessas informações para tentar gerir o risco.

Para resolver essas questões, sem necessariamente depender um time enorme de talentos em TI para trazer todos os sistemas para a mesma “linguagem”, algumas empresas têm trabalhado com tecnologias que agregam uma camada de orquestração de dados aos diferentes sistemas para auxiliar na mensuração do risco de segurança.

Como isso funciona? Na etapa de Identificação, por exemplo, é possível contar com ferramentas de Business Analytics, ou sistemas que aprendem com a interação humana para agregar dados de diferentes tipos em uma só plataforma, a realizar uma análise uniforme. Neste sentido, ferramentas de UBA (User Behaviour Analytics) também são valiosas para auxiliar gestores na identificação de ameaças.

A etapa de Priorização também pode ser revista a partir desta perspectiva. Ferramentas que identificam a criticidade da ameaça ao negócio, a partir da análise de dados externos pode auxiliar times de Segurança a identificar quais são as ameaças mais iminentes – e quais são aquelas que precisam ser corrigidas imediatamente. Com isso, inclusive, é possível estabelecer um roadmap mais inteligente para a área de SI, e determinar, até mesmo, sua condução estratégica.

Por fim, e não menos importante, os gestores de TI têm uma função muito importante, que é a unir e diminuir os gaps entre os times de Segurança, Infraestrutura e Redes para conseguir, de fato, obter uma gestão realmente transparente das ameaças. Hoje, além dos sistemas funcionando em silos, as áreas também funcionam assim. Ao compartilhar informações relevantes, é possível obter insights e atingir maior eficiência, quando se trata de proteger o ambiente de negócio.

Para além disso, a gestão do risco também deve envolver claramente a gestão estruturada de processos em TI e Segurança. Hoje, quando um gestor brasileiro identifica um problema, não raro ele corre atrás da cura, sem questionar se aquela nova solução vai agregar realmente ao ambiente que ele já tem – e mais: quando essa ameaça passar, a próxima também será garantida por esta ferramenta? Como garantir a continuidade dos processos de maneira efetiva, sem criar mais um silo de informação, ou mais um elefante branco que só será útil dentro de um determinado período, e para uma determinada função. Por onde começamos a planejar a sua estratégia de gestão de risco?

*Cleber Marques é diretor da KSecurity.