A segurança da informação pode ser um facilitador de negócios

Não seja o mensageiro do Apocalipse

A segurança da informação pode ser um facilitador de negócios.  Este tem sido um mantra há algum tempo e, embora seja repetido em grandes conferências, a realidade é que a falta de boas práticas de segurança é mais um desestabilizador dos negócios.

Tomemos por exemplo as recentes notícias do Facebook, um recente verdadeiro infortúnio no Facebook, a análise sugere que o movimento #DeleteFacebook atingiu um pico de 60.000 menções no Twitter. Se calcularmos a receita média estimada por usuário, isso equivale a um impacto financeiro máximo de US $ 360.000. Isso pode parecer pouco significativo para uma empresa gigante como o Facebook estimada em US$537Bilhões, no entanto, com o escândalo, segundo o Portal G1, o Facebook perdeu em apenas dois dias 9,15% de seu valor, o que significa US$49Bilhões.

No entanto, esse número não reconhece algumas ressalvas importantes, como a localização geográfica de cada uma dessas menções (porque os usuários dos EUA geram mais receita para o Facebook), e nem toda menção leva a uma conta excluída. Além disto o Twitter como plataforma não é onipresente e, portanto, não é o melhor barômetro para determinar a intenção, mas o valor das ações na Bolsa de Valores certamente é muito significativa para a empresa e seus acionistas.

Nossas demandas por melhores controles de segurança e privacidade são muitas vezes refletidas em estudos de caso em que as falhas ocorreram “em outros lugares”, “em outras empresas” e a incapacidade de investir é, então, tecida na inevitável mensagem “eu avisei”. Os CISOs assumem, ou são forçados a assumir, injustamente a culpa quando atualizam seus currículos após dois anos. Certamente esta abordagem tem que mudar. A capacidade da segurança da informação de habilitar os negócios depende do valor atribuído às boas práticas de segurança e privacidade por aqueles que compram os serviços.

Infelizmente, como em setores como seguros, o valor da segurança da informação não é aparente até que algo de ruim ocorra. É somente nesses momentos que a inadequação das soluções é discutida e se o produto “anti-malware” não consegue detectar uma nova variante do ransomware. Essa discussão ignora completamente as milhares de variantes que a solução de segurança protegeu; toda a discussão se concentra no negativo de como ela não conseguiu impedir a variante que os criminosos usaram.

Nosso objetivo não é lamentar as questões que enfrentamos, mas sim considerar como esse ciclo vicioso de culpas pode ser quebrado. A educação é frequentemente citada como uma tática, mas a realidade é que a segurança cibernética é questionada dia e noite nos principais canais de noticias. Nos relatórios de cada grande campanha, o foco é em qual país estava por trás do ataque e seu nível percebido de sofisticação.

A falha em gerenciar adequadamente o risco afeta o investimento e a receit

A história real, no entanto, é o impacto de uma campanha. Esta história não é comunicada porque é difícil de medir imediatamente. No entanto, esta é a parte mais importante da história, porque a falha em gerenciar adequadamente o risco afeta o investimento e a receita. O efeito sobre os indivíduos pode ser consideravelmente mais prejudicial, como demonstra diversos casos que observamos na internet, em especial da empresa Ashley Madison, que oferece serviços de encontros para pessoas que querem uma experiência extra conjugal, e que foi hackeada expondo 30milhões de nomes, endereços e outros dados pessoais, levanto muitas pessoas ao divórcio e até mesmo ao suicídio.

Desenvolver uma narrativa diferente para a discussão é imperativo. Algumas empresas já tomaram uma posição para considerar uma visao diferente.  “Como as empresas ganham dinheiro?“, Perguntou o CEO da Apple, Tim Cook. “Siga o dinheiro. Se eles ganham dinheiro principalmente coletando dados pessoais, acho que você tem o direito de se preocupar e realmente deve entender o que está acontecendo com esses dados.” Se pudermos fornecer um mundo transparente no qual entendemos o que e como as empresas podem gerenciar e proteger nossos dados, a segurança da informação pode finalmente ser o ativador, um facilitador, que sabemos que deveria ser.

Uma vez um gestor me pediu “não seja o mensageiro do apocalipse”, analisando esta frase e observando a situação atual, acredito que para obtermos a atenção desejada e não sejamos tratados como negligentes, ou mesmo como “culpados” por incidentes, que certamente irão acontecer, temos tido muito de “mensageiro do apocalipse”, pode ser que para algumas empresas isto seja aceito, ou até mesmo faça parte da cultura, mas certamente não é a melhor postura que poderíamos ter frente a um executivo da empresa.  Atuar com inteligência, falar mais do positivo, dos ganhos de credibilidade e de confiança dos clientes, redução das perdas operacionais e de imagem resultantes de um incidente que envolva o nome da empresa pode ser um “approach” interessante, mesmo eu um mercado pouco regulado, no tema privacidade de dados, como o nosso.

 

fonte: HelpNetSecurity

 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. CISO (Chief Information Security Officer)

Deixe sua opinião!