segunda-feira, 20 de novembro de 2017

SEGURANÇA DA INFORMAÇÃO COMO GESTÃO DE RISCOS DE NEGÓCIO

por Ticiano em 19/11/2017 no blog Ticiano Benetti.
O sonho, e por que não dizer, a utopia de todos os líderes de segurança da informação é viver um cenário em que a totalidade de vulnerabilidades encontradas em um ambiente seja corrigida. Neste cenário, teríamos uma empresa ou entidade que não corre nenhum risco de segurança da informação e que garante que a informação será preservada em confidencialidade, disponibilidade e integridade durante todo o seu ciclo de vida. Em um lugar como esse, o gestor de segurança da informação poderia dormir tranquilo, a não ser pelo fato de que lá, ele não seria mais necessário.dado_risco
Felizmente ou infelizmente, esse cenário não existe e as empresas precisam lidar o tempo todo com um trade-off entre o impacto de corrigir uma vulnerabilidade e o impacto de não corrigi-la. Isso nos coloca no ponto de praticamente definir uma das missões do gestor de segurança da informação, talvez a mais importante: Encontrar todos os riscos de segurança da informação e apoiar as áreas de negócio e o corpo executivo a tomarem decisões conscientessobre a correção, mitigação ou a decisão de conviver com cada risco.
Mas como viabilizar um decisão consciente sobre segurança da informação em gestores ou executivos que possuem pouco ou nenhum treinamento sobre esse assunto? A primeira resposta, é tão intuitiva quanto equivocada: educar o gestor para que ele entenda o risco de segurança da informação. Esqueça! O risco de segurança da informação demanda um discurso que normalmente não está contido no repertório do executivo e portanto não tem apelo para provocar reflexão.
Mas existe uma saída, que reside no fato de que a maioria dos riscos de segurança da informação possui uma relação causal direta com os riscos de negócio, isto é, com os riscos de que a operação da empresa não gere os lucros esperados por conta de perdas financeiras, perda de vantagem competitiva ou perda de capacidade de vender em função de um prejuízo de imagem. O fundamento para essa relação entre riscos vem da constatação que, na sociedade moderna, os processos de negócio estão amplamente apoiados na circulação de informação e que portanto problemas para informação serão problemas para os negócios.
Riscos de negócio, estes sim, participam do repertório de qualquer executivo e estão presentes no rol de preocupações de qualquer pessoa encarregada da sustentabilidade e do crescimento de um negócio.
Com isso, viabilizar a decisão consciente a respeito dos riscos de segurança da informação acaba se resumindo a conecta-los com os riscos de negócio, explicitando a relação causal entre eles, ou seja, mostrando como a realização de um risco de segurança causa a realização de um risco de negócio.
Tomemos como exemplo o vazamento de informação em uma empresa que cria capital intelectual, como na indústria química, farmacêutica ou de cosméticos; e que gera através de pesquisa e desenvolvimento, fórmulas e listas técnicas de materiais para novos produtos.
A abordagem tradicional, é levar ao corpo diretivo um pedido de decisão para investir ou não em uma solução de prevenção ao vazamento de informações, que é bastante cara de maneira geral, baseado no argumento de que a empresa lida com informações confidenciais o tempo todo e que o vazamento destas informações causaria uma perda de capital intelectual.
A abordagem que proponho aqui é outra: explorar com os executivos que a estrutura do plano de negócios de qualquer novo produto tem duas premissas importantes:
  1. A exclusividade desse novo produto em um primeiro momento de mercado, que dura do lançamento até o momento em que os competidores conseguirão copiar o produto;
  2. A imagem de tradição com esse produto atribuída à empresa diante dos competidores, decorrente do fato de ter sido a primeira a lançá-lo.
A ligação causal se estabelece porque a maneira mais provável de não ter a exclusividade esperada em um período inicial, sobre um produto de desenvolvimento próprio, residiria no vazamento da informação chave para a produção deste novo produto.
Com esse contexto fica fácil conectar o risco de vazamento de informação de uma fórmula de um novo produto, com o risco de um competidor lançar um produto similar ou até idêntico ao que se está desenvolvendo, antes ou ao mesmo tempo.
negociosA realização destes riscos, um em decorrência do outro, comprometeria as premissas acima descritas, prejudicando a liderança de mercado inicial e impactando os indicadores VPL (valor presente líquido) e TIR (taxa interna de retorno), que medem o desempenho do projeto de investimento quanto à capacidade de gerar de caixa para a empresa que investe.
Sabidamente, a melhor maneira de resolver um problema é atacar sua causa raiz. Do mesmo modo, a melhor maneira de mitigar um risco, é criar controles para suas causas, ou seja para os seus fatores de risco.
Considerando então o risco de vazamento de informação como um fator para o risco do competidor lançar produto similar ao que se desenvolve, em tempo muito curto, podemos concluir que:
Uma solução de prevenção ao vazamento de informações é um controle eficaz contra o risco de não obter o retorno financeiro esperado em um projeto de novos produtos em função da perda da exclusividade inicial.
O risco bem conectado ao outro fica mais fácil de conscientizar e também mais fácil de quantificar, uma vez que o impacto financeiro da realização do risco é facilmente calculável a partir das premissas contidas no plano de negócio do projeto de desenvolvimento de novo produto. Uma vez quantificado, fica simples a comparação entre o custo de mitigar e o custo de conviver com o risco. Se a conta fechar, é projeto aprovado!
Este foi um exemplo simples, escolhido para ilustrar um racional que conecte os riscos e viabilize as decisões conscientes. A verdade é que conectar ideias é um trabalho complexo e relevante. É portanto um trabalho nobre, gratificante e que deve ocupar uma boa parcela do tempo dos gestores de segurança da informação.conexao-das-ideias
Alguns riscos de segurança serão facilmente conectáveis a riscos de negócio. Outros terão uma conexão sutil e exigirão grande esforço do gestor na montagem do racional. Outros ainda serão praticamente impossíveis de se conectar com riscos de negócio relevantes. O que fazer com estes últimos? Nada, ou praticamente nada. Se não for possível mitigá-los através de processos e procedimentos operacionais que cuidem da saúde básica da circulação da informação na empresa, esqueça-os.
A Segurança da Informação é muito importante mas não tem importância em si só. Tem importância enquanto, através da proteção da informação, proteger o negócio. Qualquer coisa fora isso, não se financia.

Nenhum comentário:

Postar um comentário