Blog

Insights de gestão para você antecipar, assimilar e solucionar os seus desafios de negócio

Como a governança pode orientar a segurança de dados nas companhias
Cabe à área administrar riscos com mais eficiência para aumentar as receitas das oportunidades. Veja a experiência de três empresas.

Conecte-se

[addthis tool=addthis_horizontal_follow_toolbox]

Confidencialidade, integridade, disponibilidade e confiabilidade da informação. Essas palavras fazem parte da rotina das equipes de segurança de dados nas companhias.

A verdade é que, em grande parte das vezes, as empresas só aprendem o real valor das áreas de segurança quando passam por uma grande perda.

Há vários tipos de riscos que podem ser atrelados aos projetos empresariais, mas, com certeza, aqueles que se tornam mais famosos entre as grandes na internet são os de vazamento de dados.

Três deles ficaram famosos:

  • Netflix, LinkedIn, MySpace, Las.FM, Minecraft e YouPorn: este caso aconteceu em 2017, quando foi localizado um arquivo com mais de 1,4 bilhão de dados (nomes e senhas) de usuários ligados às plataformas. Ele poderia ser facilmente baixado e localizado pelo Torrent ou Dark Web, por exemplo.
  • Facebook: há alguns anos, Mark Zukerberg com certeza ficou de cabelos em pé ao saber que 87 milhões de contas de usuários do Facebook foram violadas. E, ainda por cima, teve a empresa que coleta e trata os dados da sua plataforma, a Cambridge Analytica, acusada de vazar dados a campanha presidencial de Donald Trump (2016).
  • Uber: ao total, foram 57 milhões os dados vazados através de um ciberataque sofrido por uma das maiores empresas de mobilidade do mundo, a Uber. Entre os dados estavam, nomes, e-mails e até informações de carteiras de habilitação dos motoristas da plataforma. No final das contas, a empresa teve que fazer uma negociação com os criminosos e reforçar o vínculo de confiança com os seus usuários.

É imprescindível que se tenha cada vez mais conexão entre as suas áreas de TI e compliance, tornando aliados o lucro e o baixo risco.

Então, como estruturas de governança podem orientar a segurança de dados de grandes companhias para maximizar valor ao negócio?

Confira, a seguir, as dicas de especialistas da Cisa Trading, Avianca e Isaca, que estiveram presentes na 5ª edição do GRC Summit, promovido pela Blueprintt.

Reconhecendo as vias de ligação

“As empresas não pensam em segurança, elas pensam negócio e dinheiro. Nós somos enxergados como os corvos que ficam rondando e barrando oportunidades”, comenta Andre Pitkowski, Vice-Presidente Internacional da Isaca.

Para o especialista, quando os CEOs das empresas perguntam à um colaborador que lida com gestão de dados se ele gera lucro diretamente à companhia e ele responde que evita que se perca dinheiro, o muro está criado.

Esta situação é muito comum, pois, geralmente, as lideranças só entendem a importância da segurança quando o pior acontece. Principalmente, aquelas que não aparentavam muito serem perigosas.

Já pensou se um dia o colaborador do Jurídico não conseguir chegar à empresa por causa de uma tempestade e ele ser a única pessoa que poderia assinar um contrato milionário para a empresa?

E se não tiver como acessar o sistema via VPN de casa? Lá se vai todo o dinheiro…

Para o Renato Borba Santos, Responsável de Governança em TI da Avianca, uma das maneiras de não ter que conhecer as boas práticas através da dor, é investigando o quanto de fato a sua área de TI e a sua empresa se conhecem.

“O stakeholder entende os impactos, por exemplo, sobre o quanto arrumar aquele equipamento de check-in que estava na fila vai impactar a taxa das saídas dos voos no horário. É uma conexão extremamente estratégica também”, exemplifica.

Segundo o representante da André Luis Antunes, Coordenador de Segurança da Informação na CISA Trading, as pessoas confundem muitos riscos com os eventos.

Antunes acredita que os riscos se resumem a quatro variáveis que podem se tornar pilares de planejamento:

  • Indisponibilidade;
  • Destruição;
  • Alteração;
  • Exposição indevida.

E daí em diante é que enxergamos os eventos.

Comunicação e aculturamento na segurança de dados

“Na Avianca tudo que pensamos em segurança de dados está ligado à experiência dos nossos usuários. Se precisamos realizar alguma tarefa, proteção contra ameaças avançadas, mudanças de sistema, regras de Firewell, implementação de IPS, estas palavras não são utilizadas, mas sim outras tantas baseadas em UX”, conta Santos.

Com isso, o representante da Avianca nos lembra que a comunicação com os C-levels tem que ser em uma linguagem que lhes seja interessante, se não o valor jamais será enxergado.

Os especialistas reforçam que os donos das empresas e investidores não querem saber de bytes ou da tecnologia para mitigar o risco, por exemplo.

Mas sim conhecer o quanto um risco atribuído influenciará no orçamento dele ou quanto a empresa perderá com um ataque fraudulento em uma BlackFriday, por exemplo.

Porém, as áreas de segurança também ficam ligeiramente “vendidas” à eficiência da regulamentação por trás dos riscos, não só em relação à sua existência, mas também aplicabilidade.

As multas altas deixam que seus contra-argumentos tenham mais força.

Quem se torna também um indispensável aliado nesta corrida é o aculturamento. Na Avianca, é imprescindível que os líderes sejam o exemplo na segurança de dados.

“Não adianta fazer uma semana de segurança de dados sabendo que as secretárias das gerências sabem suas senhas e as utilizam quando eles estão fora”, reforçam os especialistas.

Ganhar a confiança, engajamento e até o poder de patrocínio dos C-levels nem sempre é fácil, por isso, empenhem-se em fazer um retrospecto de perdas e fraudes, por exemplo.

Mostre que, se este ou aquele método de segurança tivesse sido acatado, aproximadamente X reais poderiam não ter sido perdidos.

A partir deste momento, integra-se a TI não só como custo, mas sim como uma ação para barragem de fraudadores.

Growth Hacking, recompensas e mais

Fazer um bolo, entender que ele ficou ruim e não tentar melhorar a sua receita, além de ser um desperdício de tempo, jamais te levará ao objetivo final.

Por isso, pensar, planejar, testar e aprender com os erros também é uma ferramenta muito especial em meio a Segurança da Informação.

Existem alguns indicadores chave apontados pelos especialistas que precisam de atenção.

  • Análise de risco humano;
  • Pesquisas com perguntas do dia a dia remetendo a “o que você faria”, assim é possível entender a tendência de quebra de segurança;
  • Simulação de phishing, umas das ferramentas mais comum para vazamento de dados;
  • Dar treinamentos após abordar um assunto que necessite de ajustes;
  • Ronda de mesa limpa. Registre, mostre aos executivos como as coisas estão sendo feitas;
  • Análise de redes sociais. Será que alguém suspeito está ostentando objetos e viagens nas redes sociais que seu salário não lhe permitiria?

Reforçar bons hábitos também é uma boa prática. Isso tira o foco do erro, da punição e premia quem está fazendo a coisa certa.

E, lembre-se, não adianta criar senha extensas, de 12 e14 dígitos, quando nos deparamos com uma fake news sobre roubo de contas de Whatsapp e descobrimos que, na verdade, era para induzir você a trocar seu chip na loja e o vendedor repassar o seu número para ladrões.

O ser humano deve ser um dos maiores focos do bom funcionamento da segurança dos dados nas empresas.

Aliás, se você trabalha na área de governança da sua empresa, tenho um convite a fazer: nos dias 13 e 14 de março, a Blueprintt vai promover a 6ª edição do GRC Summit.

O objetivo do evento é apresentar práticas comprovadas para integrar o departamento de governança ao nível estratégico, promovendo sustentabilidade e valor nas corporações.

Conheça a programação do GRC Summit e participe!

Autor

Barbara Marques

Barbara é graduada em Jornalismo pela FIAM-FAAM, atua profissionalmente há cinco anos, tanto em conteúdo factual, quanto para empresas. É especialista em produções relacionadas à tecnologia, fraude, business e marketing, entre outros. Além de vasto conhecimento em cobertura de eventos, palestras e coletivas.