Carlos Rodrigues, vice-presidente da Varonis para a América Latina. Foto: Divulgação.

Fonte: Baguete

Estratégia de proteção não é unanimidade

Por Carlos Rodrigues*

A falta de alinhamento entre políticas de segurança e práticas de negócio continua atrapalhando a evolução da estratégia de proteção de dados nas empresas. Um estudo realizado pela Varonis com 345 executivos e profissionais de TI e segurança nos Estados Unidos, no Reino Unido, na França e na Alemanha, deu uma série de exemplos disso que podemos encontrar facilmente no Brasil, especialmente diante das novas exigências feitas pela nova Lei Geral de Proteção de Dados Pessoais.

De acordo com o estudo, que dividiu os resultados de acordo com as respostas de dois grupos distintos, os profissionais da área de TI e segurança da informação, e os executivos, há um aparente progresso em relação à questão do alinhamento entre a estratégia de segurança digital e o negócio. O problema, no entanto, fica evidenciado quando analisamos os detalhes.

Um dos principais exemplos de alinhamento é em relação a quais dados os grupos acreditam que precisam ser mais protegidos. Os dois concordaram que, em primeiro lugar, vêm os dados de clientes e pacientes, seguidos das informações de propriedade intelectual. No entanto, quando chegamos à terceira prioridade, encontramos uma diferença de visão considerável: enquanto o grupo de executivos classificou os dados de funcionários como mais importantes, os profissionais de TI e segurança classificaram os dados financeiros como os mais importantes.

Mais surpreendente ainda foi a divergência de respostas de cada grupo sobre o impacto de uma violação de dados para o negócio: enquanto os profissionais de segurança estão mais preocupados com os danos à imagem da empresa, os executivos estão mais preocupados com os custos de remediação.

Apenas essas duas discordâncias são suficientes para concluirmos que existe uma falta de alinhamento notável entre os profissionais de TI e segurança e o C-Level. Sem esse estudo, o mais provável seria supor que os executivos estão mais preocupados com a reputação da empresa do que os profissionais da área técnica. A razão para isso pode ser algo simples: os líderes do negócio, obviamente, entendem mais de negócios do que de segurança e, consequentemente, estão mais preocupados com o que não entendem completamente.

Foco nos dados é a chave para o melhor alinhamento

Diante deste cenário, os profissionais de segurança acabam tendo dificuldades para encontrar as melhores métricas para se reportar aos líderes de negócio, e a melhor saída para isso é focar nos dados, afinal, ninguém invade uma rede corporativa para roubar registros do funcionamento da rede – o foco é sempre a transferência e o roubo de informações ou a privação do acesso por meio de ataques como DDoS e ransomware.

Apesar de a TI ter consciência da importância de proteger os dados, os líderes de negócio ainda estão começando nessa jornada. A maioria das empresas este ano vai ter entre 30% a 50% mais dados do que tinham no último ano, e isso só deve aumentar. Para lidar com um problema que só cresce, as equipes de TI precisam de um budget crescente, mas os relatórios de desempenho acabam não revelando essa necessidade justamente porque as métricas encontradas não transmitem isso aos executivos.

Uma evidência desse problema é o fato de o estudo ter apurado que 91% dos profissionais do grupo de TI acreditam que a empresa está fazendo progresso na área de segurança, enquanto 69% dos líderes de negócio afirmam ver esse progresso. Isso acontece porque os profissionais de segurança estão mais atualizados em relação aos efeitos dos avanços de tecnologias como machine learning, o que os leva a crer que sua estratégia está melhorando.

Os líderes de negócio, por outro lado, tendem a ter uma visão mais binária e, por isso, têm mais dificuldade para enxergar o impacto das novas tecnologias. Além disso, enquanto 88% dos entrevistados do grupo de TI afirmam que podem quantificar os efeitos das medidas de segurança, 68% dos executivos concordaram.

Por fim, quando perguntados se acreditam que a abordagem do planejamento de segurança está alinhada com os riscos e objetivos da empresa, 96% do grupo de TI responderam afirmativamente, enquanto 73% dos líderes de negócio concordaram. Na América Latina, dados divulgados este ano pela Frost & Sullivan revelam que 30% das empresas ainda não conseguem ou não tem claro o alinhamento da estratégia de TI com o negócio.

Seja devido à falta de entendimento dos executivos ou pela falta de habilidade dos profissionais de TI e segurança para encontrar as métricas certas para dar um panorama mais relevante à diretoria, essa falta de alinhamento é uma das principais razões por que a adoção de novas tecnologias caminha lentamente – de nada adianta propor novas tecnologias sem as métricas adequadas para medir e comprovar sua efetividade.

*Carlos Rodrigues é vice-presidente da Varonis para a América Latina.

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>