Wednesday, September 10, 2003

O Poder da Análise de Riscos: A análise que pode alavancar grandes investimentos na área de TI

Victor Hugo Menegotto, consultor da Axur Information Security.
É eminente a necessidade da segurança da informação nas organizações, mas tal necessidade nem sempre é observada da forma adequada pela Alta Administração. A segurança é clara no ponto de vista tecnológico onde a área de TI tem uma visão ampla do que significa segurança - gestores de TI geralmente possuem noção de quais são as necessidades da organização neste contexto.

A questão é como mostrar à alta administração a verdadeira necessidade de investimentos em segurança da informação e quais benefícios este investimento pode trazer. A resposta é simples e objetiva: Análise de Riscos e Vulnerabilidades. Uma análise neste sentido é particularmente útil nos casos onde a área de TI não recebe investimentos de segurança da informação de forma adequada.

Através de relatórios concisos, organizados e objetivos, os gestores de TI têm a possibilidade de apresentar as necessidades de segurança da informação para a alta administração de forma clara. Estas apresentações devem conter não apenas riscos relacionados a aspectos tecnológicos, mas também riscos relacionados a aspectos físicos e administrativos – aspectos estes nem sempre considerados.

Uma Análise de Riscos e Vulnerabilidades possibilita a detecção de falhas e o mais importante, a possibilidade da aplicação de controles objetivos nos pontos mais críticos e com real necessidade de investimento. Assim há possibilidade de verificar perdas e conseqüências da falta de controles adequados.

O processo de implementação de grande parte dos controles de segurança encontrados no mercado é precário, geralmente estes não possuem seu investimento justificado e não transmitem segurança aos gestores das corporações. São em grande parte controles aplicados de maneira desconexa, de forma isolada. Quase sempre em momentos críticos e apenas em ativos tecnológicos.

Mas onde ficam as pessoas, que são notoriamente o elo mais fraco e necessitam claramente de controles específicos? É preciso avaliar o conhecimento dos colaboradores, em relação a segurança da informação, e planejar o nível de cultura “awareness” desejado.

O desejo da alta administração é ter confiança na área de TI, em muitos casos desacreditada e pouco valorizada. Essa confiança deve ser transmitida naturalmente, com controles adequados e bem estruturados. Com isso, a alta administração pode valorizar o trabalho de profissionais que aplicam a segurança da informação nas suas áreas.

O início desta jornada começa com uma Análise de Riscos e Vulnerabilidades, com baixo custo - um “big step” na caminhada em busca da implantação de controles. Uma Análise de Riscos e Vulnerabilidades deve atingir a organização como um todo, além de ser uma etapa fundamental para certificação na BS7799-2. Podem ser consideradas outras ações, como a criação e definição de comitês de segurança por exemplo.

A grande cartada de uma boa gerência de TI é prevenção de falhas, aplicando controles adequados sob necessidades justificadas e garantido a confiança por parte da alta administração. A apresentação de informações concretas, corretas e estruturadas amadurecem na organização os conceitos de segurança da informação e despertam interesses em investimentos na área de TI.

No comments: