 |
|
|
| Segurança de TI: o que importa? |
|
|
* Por Eder Carlos da Silva
Ante a evidente necessidade de investir em segurança, as empresas ainda se perguntam: onde investir e por onde começar? Uma boa pergunta, porém, seria: como garantir o que mais importa no negócio da empresa? Quanto é preciso investir para assegurar o objetivo estratégico?
Primeiro, deve-se focar no essencial (o negócio-fim e a estratégia) e evitar investir em soluções que dão a sensação de segurança, mas em nada acrescentam à operação. Na prática, deve-se seguir um ciclo que compreende cinco métodos.
O primeiro é entender a estratégia e o próprio negócio da empresa. O único sentido que existe para um determinado investimento em uma empresa é estar alinhado com os objetivos de negócio e suas estratégias. Como exemplo, podemos citar o caso de uma empresa que tenha como estratégia levar a força de vendas para próximo do cliente e aumentar o tempo em que o vendedor passa em visitas de 10% para 70% do tempo. Essa estratégia poderá ter como conseqüências o incremento do acesso remoto ao ERP e ao CRM da empresa; a disponibilização de notebooks e outros tipos de portáteis com informações da empresa e clientes aos vendedores; e a disponibilização de telefonia IP para redução de custo de ligações de longa distância e para comunicação mais eficaz entre os vendedores remotos e os escritórios. Isso poderá desencadear uma série de riscos inerentes ao acesso remoto e à segurança de dados.
Após conhecer o caminho que a empresa escolheu, chega a hora de analisar as ameaças que ela enfrentará. Parte-se então para o segundo método, que é identificar e analisar os riscos à estratégia e ao negócio. A identificação e a análise de riscos, aqui sugeridas, são baseadas nas práticas já depuradas e amadurecidas descritas pelo PMI, o Instituto de Gerenciamento de Projetos.
Para identificar a maior quantidade de riscos possível, podem-se usar várias técnicas, como questionários, apresentação aberta de idéias e lições aprendidas de ciclos anteriores, entre outras. Há ainda a participação de especialistas que podem auxiliar na aceleração do processo com a equipe interna, mas sem se sobressair ao papel da equipe.
A partir de uma lista de riscos, que deve incluir até mesmo opiniões “pouco prováveis” colhidas durante o processo, partimos para a avaliação e crítica dos riscos levantados.
O terceiro método, por sua vez, consiste em elaborar um plano de resposta a riscos, sabendo que a principal característica é que todo risco possui um dono. O dono é alguém responsável pelo risco, mas não necessariamente um especialista naquela área. É a pessoa que não deixará o risco ser esquecido, acompanhará a implementação das ações planejadas e responderá perante um comitê.
O dono do risco possui duas características: ele pode não ser o especialista na área do risco e ele não deve ser o implementador do plano. Portanto, o gerente de RH pode ser o dono de um risco que será mitigado pela equipe de segurança patrimonial ou pela equipe de TI. Outra característica é que um risco pode ter várias respostas ou vários riscos podem ser eliminados ou terceirizados por uma única resposta.
Uma expressiva parte dos riscos de TI pode ser “terceirizada” através de uma única ação: um contrato com um prestador de serviço baseado em níveis de SLA. Isso transferirá os riscos para um terceiro, que cobrará por isso e se responsabilizará pelas ações necessárias.
Dentre as várias ações possíveis com relação aos riscos, podemos aceitar e não fazer ação alguma; mitigar para reduzir seu impacto; eliminar através de ações corretivas; transferir com um contrato de prestação de serviços ou um seguro.
Analisados os riscos, partimos para o quarto método, que é implantar e monitorar esse plano. Com isso, é possível ter informação suficiente para elaborar um orçamento baseado nos objetivos da empresa. Será possível, ainda, ter melhores argumentos durante a negociação de verbas e justificar suas ações. Alguns riscos poderão esperar o orçamento do próximo ano, sendo já sinalizados e devidamente compartilhados com os gestores.
Defina as equipes que implantarão as respostas aos riscos e esclareça a posição do dono do risco. Ele será um facilitador durante a implementação das respostas e o elo entre a equipe e o gestor de segurança. Reuniões periódicas servirão para monitorar o desenrolar do plano e sanar dificuldades.
O quinto e último passo é revisar as lições aprendidas e reiniciar o ciclo. Nem todo o planejamento será implementado sem erros e periodicamente deve-se reavaliar o que poderia ter sido melhor e documentar essas revisões. Não se aprende o que não se documenta. O conhecimento não documentado tende a se dissipar e ir embora com as pessoas.
Revisar lições aprendidas exige profissionalismo dos envolvidos. Não busque culpados. A cultura do medo só vai trazer pessoas medíocres para o seu lado. Se houve falhas graves, omissões ou falta de comprometimento, tome as ações necessárias em outro momento. Deixe claro que se pode errar e aprender com o erro e que irresponsabilidades não têm espaço na empresa.
Essa abordagem tem o potencial de trazer transparência e colocar a segurança em um ciclo virtuoso de melhoria.
* Eder Carlos da Silva é Gerente de Serviços de TI da Telesul Sistemas
|
| |
|
|
Esqueci
minha senha
|
 |