Com a
adoção das novas tecnologias como cloud computing e mobilidade, o risco de
vazamento de dados aumenta, juntamente com as novas ameaças e ataques cada vez
mais sofisticados. Assim, o papel do Chief
Information Security Officer (CISO) está se tornando mais estratégico dentro
das organizações. O profissional de hoje precisa ser um tecnólogo e líder de
negócios com a capacidade de responder às preocupações da diretoria, bem como
gerenciar tecnologias complexas, revela a mais recente edição do estudo IBM
Chief Information Security Officer Assessment.
De acordo com o estudo,
três áreas impactam o trabalho dos CISOs: a visão de negócios, a maturidade da
tecnologia e a capacidade de medição de resultados. Uma análise em profundidade
das três áreas aponta um novo caminho para os CISOs: atuar como um guia para
novos e experientes líderes de segurança.
Quando questionados sobre
qual conselho dariam a um novo CISO, a maioria dos 2012 executivos entrevistados
compartilhou conselhos semelhantes: ênfase em visão, estratégia e políticas;
gestão de risco global e relações de negócios eficazes.
Os
conselhos da vice-presidente de Risco e Segurança de Informação da Starwood
Hotels & Resorts Worldwide, Shamla Naidoo, resumem bem os resultados do
estudo:
1. Desenvolver uma
estratégia de segurança e obter adesão executiva para metas e planos.
2. Treinar ou contratar
experiência prática; você não poderá proteger, se não souber como.
3. Manter-se informado
sobre a constante mudanca de riscos de segurança e considerar as questões
legais na tomada de decisões de segurança.
4. Entender como seu
negócio gera receitas e encontrar formas produtivas para suportar e gerenciar
de forma agressiva os riscos que podem afetar o crescimento e a inovação da
empresa.
5. Comunicar-se com as
partes interessadas da empresa para informar e educá-las sobre os riscos e as
possíveis soluções, ajudando-as a tornar-se parte de sua organização de
segurança.
Na
opinião da maioria dos executivos ouvidos no estudo, a comunicação
transparente e frequente é a melhor forma de conquistar credibilidade e
construir relações de confiança.
Desafio de tecnologia: Avancar sobre todos os aspectos da seguranca móvel
Enquanto
a nuvem e os dispositivos móveis continuam a receber grande atenção dentro de
muitas organizações, outras tecnologias que os CISOs estão se concentrando são
gerenciamento de identidade e acesso (51%); prevenção de intrusão de rede e
análise de vulnerabilidade (39%); e segurança de banco de dados (32%).
A
seguranca móvel aparece como a principal preocupação tecnológica, com mais
da metade dos líderes de segurança classificando-a como um grande desafio de
tecnologia nos próximos dois anos. As práticas mais frequentemente
implantadas é equipar os dispositivos com uma função de gerenciamento (78%) e
promover o inventário de dispositivos que usam a rede corporativa (76%) -
primeiros passos típicos ao estabelecer com seguranca a mobilidade dentro de
uma empresa.
Segundo o
gerente de Sistemas de Segurança da IBM Brasil, Roberto Engler, o desafio
primário para os líderes de segurança hoje é avançar além desses primeiros passos,
pensando menos em tecnologia e mais sobre a política e estratégia dentro das
companhias.
Menos de
40% das organizações têm implementado políticas específicas para dispositivos
de propriedade pessoal ou uma estratégia Bring Your Own Device (BYOD). Esse
será um dos principais itens de desenvolvimento no próximo ano. Os líderes de
seguranca estão reconhecendo e abordando esta lacuna. Estabelecer uma
estratégia corporativa para BYOD (39%) e uma política de resposta a
incidentes para dispositivos de propriedade pessoal (27%) são as duas
principais áreas planejadas de desenvolvimento para os próximos 12 meses.
Desafio de medicão: Traduzir as métricas de seguranca para a linguagem da empresa
Os
líderes de segurança mais maduros medem mais coisas, com maior frequência. Mas
o que deve ser feito com as métricas, como as informações que geram devem se
comunicadas para a empresa e para estimular a ação?
De acordo
com o estudo da IBM, quase dois terços dos líderes de segurança não traduzem
métricas em resultados financeiros. Eles carecem de recursos ou requisitos de
negócio para fazê-lo, ou esse cálculo é muito complexo. Além disso, mais da
metade não integra plenamente métricas de segurança com medidas de risco de
negócio. Essa incapacidade de combinar medidas relacionadas de sucesso pode
restringir a capacidade dos líderes de segurança para se comunicar com outros
líderes empresariais - o que torna mais difícil para eles representarem de
forma eficaz e precisa a condição da organização internamente.
O que
esses insights e desafios podem nos dizer sobre o foco e a abordagem de
líderes de segurança da informação? Eles podem nos ajudar a construir um
modelo para medir o progresso? Ou encontrar um caminho para seguir?
Os
autores do estudo da IBM recomendam que, para começar, os líderes de segurança
combinem uma estratégia de segurança forte com gerenciamento de risco
holístico que considere o impacto econômico da seguranca de TI, desenvolvendo
relacões de negócio eficazes e gerando confiança com líderes seniores.
"Eles têm que manter as tecnologias de seguranca fundamentais, mas não à
custa da implementação de recursos mais avancados e estratégicos", diz o
relatório.
Além
disso, CISOs e CIOs precisam abordar a segurança móvel de forma mais
abrangente - enfatizando a política e permitindo o uso de dispositivos de
propriedade pessoal. Devem também criar ciclos corretos de feedbacks. Tanto a
tecnologia de segurança quanto as métricas de negócios devem ser incorporadas
no processo de gerenciamento de risco, não apenas como itens de linha, mas por
meio de uma integração profunda. Essas métricas devem ser traduzidas na
linguagem da organizacão. Sem isso, na opinião da IBM, a segurança não pode
permitir as iniciativas de negócios, e torna-se mais difícil de racionalizar
a necessidade de gastos com projetos de segurança em toda a organização.
Fonte: Site Computerworld
Nenhum comentário:
Postar um comentário