Segurança e Governança de TI
Ao analisarmos atualmente o papel da Segurança da Informação dentro das organizações podemos notar que, cada vez mais, extrapola os limites da área de TI. É uma tendência natural, já que os serviços de TI estão cada vez mais intrinsecamente misturados com os serviços finais das organizações.
Então a tendência atual é que as organizações passem a ver a iniciativa de Segurança de uma forma mais abrangente, seja ela lógica, quando envolve sistemas de informação, seja física, quando engloba o patrimônio da empresa. Até por que, se alguém tem acesso físico a um computador, não existe mais segurança.
Temos que ter uma visão mais holística sobre segurança, multi-disciplinar e multi-departamental. Além do mais, não é possível também deixar o CSO (Chief Security Officer, na sigla em inglês) subordinado ao CIO. Então, por essa visão que começa a se espalhar nas organizações, o CSO está ligado diretamente ao CEO e/ou ao Conselho de Administração.
A tendência vem sendo corroborada por especialistas, CIOs e CSOs. Alguns chegam a ir além, dizendo que o termo Segurança da Informação poderá ser substituído no futuro por Governança da Informação. Essa forma diferenciada de tratar a Segurança da Informação certamente levará a mudanças nas políticas, nos processos e nos produtos oferecidos pelo mercado fornecedor.
Querem um exemplo de que a segurança deve realmente possuir uma visão mais holística? Se alguém for ao Fórum João Mendes, na Parça da Sé, em São Paulo, SP, verá vários quiosques para prestação de serviço de informação diretamente ao público. Como proteger os dados do Tribunal de Justiça de São Paulo (TJSP) e, ao mesmo tempo, oferecer acesso e serviços aos cidadãos? Como evitar que o acesso físico aos quiosques não seja uma forma de quebrar a segurança da rede do TJSP?
A mesma questão, embora com um enfoque um pouco distinto, vale para os caixas eletrônicos espalhados pelo país. Como evitar que o acesso físico do público não se transforme em uma ameaça de roubo de informações, fraudes em saques ou ainda destruição dos equipamentos?
Acham que os dois cenários acima não devem ser tratados pelo CSO? Ledo engano. Devem e o são, de fato. A segurança lógica é cada vez mais dependente da segurança física. Anti-spam, vigilância física aos quiosques, ou ainda vandalismos devem ser preocupações da área de Segurança da Informação de uma organização.
Um furo de segurança, uma invasão ou roubo de dados, pode não apenas comprometer gravemente a integridade dos dados de uma organização, o faturamento, seus cadastros de clientes, mas, mais grave do que tudo, pode comprometer a imagem da empresa junto ao seu público. Isso, num mundo aonde as transações eletrônicas já estão superando as transações físicas, pode ser um passo sem volta rumo à destruição da empresa…
Uma outra atenção deve ser dada a essa nova forma de trabalhar segurança, que, na minha opinião, o termo Governança da Informação, reflete corretamente as atribuições e enormes responsabilidades. Novos modelos de atuação de segurança, como requisitos de segurança, validação de serviços de TI (que devem respeitar padrões pré-estabelecidos) ou ainda acompanhamento, auditoria e relatório executivo das iniciativas de segurança (o processo de governança propriamente dito) dvem ser estabelecidos nos próximos anos a fim de suportar essa iniciativa.
De qualquer, essa é uma área que ainda tem muito a evoluir e deve ganhar muita força nas decisões de novos ou atualizações de serviços de TI.
Vamos esperar (acho que não muito tempo) para ver…
Abraços e até a próxima.
Ronaldo Smith Jr.