Apetite de Risco: Você não teme o que desconhece – Talvez essa seja a principal razão para a precária situação da grande maioria das empresas em relação a forma como gerenciam seus riscos, desenham seus programas de segurança da informação e realizam investimentos.
É possível que em mercados muito competitivos onde sobreviver ainda é o maior desafio, os gestores acabem inclinados a pensar no imediatismo e assim focar os investimentos no core business. Coerente. É ainda possível que estejam realizando investimentos isolados e estes já lhes deem a garantia mínima que os satisfaça, bem como aos seus acionistas. Entretanto, a experiência me diz que há muito mais profundo e preocupante por trás dessas justificativas. Desconhecimento.
As empresas simplesmente não enxergam toda a amplitude do problema. Conhecem superficialmente as ameaças antigas e nem imaginam o quão criativas e poderosas são as novas.
Não compreendem a inexistência de perímetros para proteger. Que o agente de risco pode ser qualquer um, estar em qualquer lugar e agir a qualquer hora. Que o cibercrime é uma realidade alimentada por estruturas bem profissionais com motivação financeira que transcende os interesses pessoais e acadêmicos do hacker de duas décadas atrás. Esquecem que a empresa está dia-a-dia mais exposta e sujeita a incidentes que podem começar com a indisponibilidade do site e acabar com a interrupção total de suas operações.
SITUAÇÃO DE RISCO INCOMPATÍVEL COM O APETITE =
+ necessidade de canalizar os orçamentos escassos para o core business
+ ausência de impacto percebido e medido + ganho de confiança com o passar do tempo sem incidentes
+ falta de cultura de prevenção
+ efeito “calmante” de ter implementado alguma solução de segurança isolada
+ dificuldade de enxergar cenários de risco integrados + dificuldade em ensaiar o retorno que o investimento em segurança
+ desconhecimento das ameaças e impactos potenciais
Mas nem tudo está perdido.
Se você ainda lê este artigo e tem onde trabalhar amanhã, possivelmente sua empresa ainda não foi vítima de um incidente de segurança devastador, portanto, ainda há tempo para reagir.
Não subestime o risco. Converse com especialistas-estrategistas em gestão de riscos da informação. Descubra o nível de exposição do seu negócio. Discuta seu apetite de risco. Conheça a anatomia das ameaças. Projete cenários de risco integrados e seus impactos potenciais. Elabore um programa de gestão de riscos da informação que seja business-centric (orientado ao negócio). Estabeleça métricas e conecte-as aos indicadores do próprio negócio (COBIT é uma ótima sugestão).
Contrate um CISO (Chief Information Security Officer) e lhe dê atributos de posicionamento estratégico para trabalhar lado a lado ao CEO. E não esqueça de alimentar o processo que estabeleceu. O que não se conhece não se pode controlar. O que não se controla não se pode mensurar. O que não se mensura não se pode gerenciar. O que não se gerencia não se pode aprimorar.
Marcos Semola é executivo de TI, especialista em governança, risco e conformidade, professor da IBE Conveniada FGV, escritor, palestrante, VP do conselho de administração da ISACA e mentor de startups.
