Essa pergunta pode parecer estranha à primeira vista, mas basta você se lembrar de que vai precisar defender a aquisição e a implementação de soluções de segurança digital em TI na frente dos sócios ou da diretoria para que ela faça muito sentido. Você já tem todas as respostas? Mesmo? E lembre-se, será necessário justificar o investimento em termos de custo-benefício quando você se dirigir à alta gerência, sem jargão técnico — e defender convincentemente as novas práticas junto a seus usuários, que normalmente tendem a criar resistência às mudanças.
Mesmo do ponto de vista técnico, as respostas podem apresentar algumas surpresas e levantar alguns questionamentos novos. É uma tarefa enorme, sem dúvida, e você deve considerar com carinho se vai usar recursos internos ou contar com a ajuda de terceiros nessa jornada em busca de respostas, porque o esforço vai consumir consideravelmente sua equipe. De fato, recomendamos fortemente que você peça ajuda de um parceiro para não desviar seus esforços dos objetivos mais importantes.
Tire proveito das informações apresentadas neste post para melhorar a sua defesa em favor da implementação de soluções de segurança na área de TI da sua empresa:
Antes de como e por que, revise o “o que”
Você acha que tem um escopo claramente definido até que começa a escrevê-lo. É como arrumar suas malas para viajar: você pensa que já sabe tudo o que vai levar até o momento em que começa a organizar tudo.
Reserve uma parte tranquila do seu dia para registrar seus ativos a serem protegidos ou revisar uma lista fornecida pela consultoria externa. E por ativos queremos dizer não só informações estratégicas — sua base de dados de clientes, sua lista de fornecedores, seus dados financeiros —, mas também as atividades e ferramentas vitais para o funcionamento da empresa: site de vendas online, servidor de e-mails, canais de comunicação, etc. Cada um dos ativos precisa de uma definição clara de alcance (quem pode e quem não pode ter acesso) e nível de acesso (pode ler, pode alterar, pode apagar).
O resultado final deve ser uma lista de pessoas, processos e tecnologias presentes na empresa com a definição do que deve estar disponível para quem.
Como abordar a implementação das soluções de segurança digital em TI
Já existem normas que podem ser usadas como base para a implementação da segurança de informação, como a Norma ISO/IEC 27000, que fornecem parâmetros para mensuração do esforço de implantação para cada um dos itens do seu escopo que necessitem de adequação a boas práticas de segurança.
Usando uma norma como objetivo a ser alcançado, é possível avaliar as práticas existentes e planejar as alterações necessárias para alcançar conformidade. A norma é o destino, sua situação atual é a partida, e as ações necessárias para alcançar o destino são o seu mapa. Vale frisar que viajar acompanhado é mais seguro, portanto, não hesite em avaliar a participação de uma empresa especializada no seu esforço.
Os porquês corretos para conseguir aprovação
Você sabe que precisa implementar uma política de senhas fortes para dificultar tanto quanto possível que uma conta de e-mail corporativo possa ser invadida. E daí? Se for um colaborador comum, o invasor pode fazer uso malicioso do e-mail levando à perda de clientes (prejuízo). Se for um colaborador graduado, o mau uso do e-mail pode causar mais do que prejuízo, mas também comprometer a reputação da empresa (mais prejuízo ainda).
Outro exemplo: o departamento de recursos humanos deve ter uma política clara de desligamento em parceria com o departamento de tecnologia, porque, na falta disso, ex-funcionários terão acesso indevido após deixar a empresa. E daí? Bom, se ele era do setor de TI, sem a devida interrupção do acesso ele pode entrar remotamente nos servidores e apagar o seu banco de dados, enterrando a empresa.
Essas recomendações são só um ponto de partida para um diálogo que esperamos se torne comum dentro da sua empresa. Quando as ações da área de TI se alinham aos objetivos de negócio através de uma conversa franca e profissional, as chances de sucesso aumentam drasticamente.
Soluções de segurança digital em TI não são acessórios, são uma necessidade. É vital comunicar isso aos diretores e sócios da empresa, preferencialmente na linguagem que eles entendem bem, a do dinheiro. Interrupção de atividades da empresa é prejuízo, bem como o roubo de dados, que ainda represente o risco de perda de negócios. Queimar o nome da empresa por causa de uma invasão ao site ou uma quebra de segurança que chegam ao conhecimento do público é uma sentença de morte. Todos esses riscos podem ser eliminados com boas práticas e soluções de segurança, e os sócios da empresa precisam saber disso.
Você não está sozinho nessa missão de defender o que é certo na área de TI! Deixe sua pergunta ou sua opinião nos comentários e participe conosco desse debate!
