12 perguntas sobre Security & Risk Management

Pedro Miguel Cruz, Associate Manager da SAFIRA, partilha ideias-chave relativas a esta temática (alguns excertos foram publicados num Dossier do Semana Informática).

Pedro Miguel Cruz1. Pela experiência da SAFIRA, as empresas portuguesas têm uma estratégia de segurança e gestão de risco delineada?

RE: As grandes empresas têm uma estratégia de segurança e gestão de risco bem delineada, algumas até certificadas nas normas ISO (por exemplo, nas ISO 27000), mas do ponto de vista prático, muitas vezes isso resume-se um conjunto de documentos e políticas definidas no momento de obtenção dessas certificações, mas que rapidamente ficam desatualizados. Além disso, quando existem iniciativas para obtenção de certificações (seja por razões legais, seja em termos de branding) algumas organizações tendem a fazer os mínimos para obtenção da ISO, não havendo a preocupação de montar os processos para que o resultado obtido seja mantido e os seus frutos reutilizados no futuro. Isto faz com que os processos e políticas definidas neste âmbito muitas vezes sejam apenas para o “processo de certificação”, mas na prática desadequados à forma de trabalhar da organização e/ou com um processo de assimilação ineficazmente conduzidos, acabando por serem ignorados pelos respetivos colaboradores no dia-a-dia. Relativamente à maioria das empresas portuguesas (as pequenas e médias empresas) o tema da segurança e gestão de risco não é ignorado, mas normalmente é tratado de forma secundária, sendo muitas vezes uma responsabilidade secundária que é atribuída a alguém dentro de uma organização.

2. Qual é a maturidade das empresas portuguesas em relação a questões de Security & Risk Management? Pode comparar com a realidade internacional?

RE: As grandes empresas portuguesas (como os principais bancos ou as principais operadoras de telecomunicações) têm uma forte maturidade nessas questões, seguindo o que de melhor se faz a nível mundial. Mas há muito trabalho a fazer, tanto a nível nacional como internacional. Vivemos num período de transição em termos tecnológicos, motivado pela migração para soluções de trabalho móvel como o uso de portáteis, PDA e tablets, que trazem novos desafios em termos de segurança. A maturidade entretanto atingida, seja das empresas portuguesas, seja das empresas internacionais, acaba por não ser tão importante como a capacidade de se adequar rapidamente a novas realidades e adquirir, também nestes contextos, uma forma de funcionar sólida e efetiva, considerando também as vertentes de segurança e gestão de risco.

3. Em época de crise económica existe o risco mais agudo das empresas/entidades públicas reduzirem o investimento em segurança e na gestão de risco? Já sentem esse desinvestimento?

RE: Nesta época de crise económica, o foco da gestão de topo da maioria das organizações está orientado aos euros que poderão poupar. E os investimentos estão direcionados para as áreas que maximizam o revenue para a organização. Contudo, a tendência não será desinvestir ou descurar nestas vertentes, uma vez que são vistas como o “seguro de vida” das organizações. A grande diferença que se vai verificar no atual cenário de crise económica é que todos os investimentos serão mais dirigidos e escrutinados. Cada vez mais as organizações querem ver o seu dinheiro bem empregue. Adicionalmente, o mercado de SI/TI está a convergir para arquiteturas que levam a uma clara redução dos custos em termos de Segurança de SI/TI. Referimo-nos ao caso das soluções cloud que disponibilizam serviços de segurança fazendo com que os clientes não tenham que investir em pesadas infraestruturas físicas e sobre ela montar apertados controlos de segurança.

No entanto, o cidadão comum nem sempre se apercebe de que a informação “virtual” é mesmo real, expondo-se, por vezes, a situações de violação de privacidade com impactos negativos na sua vida. Assim que este paradigma seja assimilado na totalidade pela sociedade, o cidadão comum ficará menos vulnerável a consultas de informação indevida, pois no próprio processo de criação dessa informação terá hábitos de segurança enraizados e bem conhecidos da comunidade e terá uma expectativa muito precisa da segurança que exige das empresas / entidades a quem confia esses dados. 

4. Perante as crescentes ameaças acredita que o cidadão comum tem razões para estar preocupado com a segurança da sua informação?

RE: Efetivamente, as ameaças são crescentes, mas a qualidade da segurança tem crescido significativamente nos últimos tempos. A vulnerabilidade em termos de segurança de informação deve ser encarada como a que existe em termos de segurança física (nas ruas das cidades em que vivemos). As ameaças existem, da mesma forma que existem cada vez mais meios para nos proteger delas. No mundo, por cada hacker que se dedica à investigação de como violar uma determinada norma de segurança existem 10 especialistas dedicados a investigar a melhor forma de melhorar a segurança. Por vezes os próprios hackers acabam por ser contratados como consultores pelas empresas de segurança, tornando assim indivíduos talentosos, mas potenciais perigos, em armas contra os próprios perigos (caso da recente contração do jovem George Hotz pelo Facebook).

5. Quais são os principais desafios que as empresas enfrentam nesta área? A mobilidade e a cloud estão entre elas?

RE: Numa altura de crise económica, em que se segue a máxima da redução de custos, as empresas têm cada vez menos tempo e recursos para investigar a melhor forma de se protegerem das ameaças. É por esse motivo que os serviços na cloud disponibilizados por diversos fornecedores de software se mostram cada vez mais como um aliado das empresas, uma vez que disponibilizam as mais recentes ofertas em termos de segurança de SI/TI e acaba por ser um outsourcing dessa responsabilidade, permitindo às empresas focarem-se no core do seu negócio. A mobilidade é uma necessidade natural da forma de vida da nossa sociedade atual. Aliado a isto, a cloud mostra-se como fundamental uma vez que permite, por exemplo, a um gestor de topo ter informação core para uma tomada de decisão a partir do lobby de um hotel com a máxima garantia de segurança. 

6. Consegue apontar as principais mudanças de tecnologia e mesmo de "cultura" no último ano para esta área?

RE: A mobilidade e a cloud são o caminho a seguir. Estas não devem ser vistas como um aumento do risco em termos de segurança, antes pelo contrário, a cloud deve ser vista como um aumento significativo em termos de segurança. A informação está fisicamente segura, com redundância, e protegida pelas infraestruturas de organizações especializadas em segurança. Fazendo uma analogia entre a Informação e o Dinheiro, a maioria de nós tem o dinheiro em instituições financeiras e não em casa. É comummente aceite que é mais seguro ter o dinheiro num banco do que em casa devido aos riscos que a casa está sujeita (furto/incêndio, etc.). Adicionalmente existe uma entidade que é regulada e que assegura a segurança do nosso capital. Em termos da utilização da cloud é exatamente a mesma coisa. Existe uma entidade que se responsabiliza pelos serviços que presta, e a sua atividade é exclusivamente dedicada à qualidade deste serviço.

7. Quais são as tendências a observar a curto prazo?

RE: A necessidade que se vai sentindo cada vez mais em termos de mobilidade, aliada à mensagem do que realmente pode significar a cloud em termos de benefícios para uma organização, vai levar a que a tendência verificada seja a transição das empresas para os serviços da cloud, tanto em termos de capacidade de storage como na capacidade de processamento. E a altura em que vivemos é perfeita, porque todo o euro que é gasto é pensado, e estas soluções resultam num aumento de benefício e significativa redução de custos.

Com esta tendência, o paradigma da segurança nos SI/TI muda, pois muitas das soluções da cloud oferecem também serviços em termos de segurança. Nesse cenário a tendência será aliar as políticas de segurança e gestão de risco aos serviços oferecidos pela cloud. 

8. Quais são os pontos fundamentais de um Risk Management Project?

RE: Tratando-se de um projeto estratégico, é fundamental assegurar o apoio da gestão de topo, para que toda a organização esteja committed com os objetivos. É necessário identificar os stakeholders core na organização para que seja obtida uma visão global da forma da sua forma de operar e da sua envolvente. É fundamental o seguimento de uma metodologia com provas dadas no mercado, por exemplo o COBIT, de forma a montar um modelo de monitorização e controlo dos SI/TI e dos riscos identificados. É também crucial que os riscos identificados tenham planos de contingência associados, de forma a assegurar a todo o momento a continuidade do negócio core da organização.

9. Em termos de organização deveria existir um director de segurança e gestão de risco em vez deste papel ser deixado ao director de informática? 

RE: A existência deste papel é crucial na estratégia de uma organização, pelo que a existência de um diretor dedicado à segurança e gestão de risco é muito importante. Estas áreas não são exclusivas das SI/TI, mas sim transversais à organização. Os riscos podem advir de sistemas de informação, mas também de infraestruturas físicas e das pessoas. Por exemplo, O processo de entrada de um novo colaborador numa organização tem sempre uma componente de Segurança, por exemplo no que toca aos acessos tanto aos sistemas de informação como às infraestruturas físicas.

10. E em que posição na hierarquia da empresa deveria ser colocado?

RE: Trata-se de uma iniciativa estratégia para qualquer organização. Deve ser apoiado pela gestão de topo, de forma a fazer sentir transversalmente na organização a verdadeira importância. Por isso, tal como existe um pelouro responsável pelo SI/TI deve também existir um exclusivamente dedicado à Segurança e Gestão de Risco, devendo estar articulado com as várias áreas da organização, e naturalmente articulado com as áreas de SI/TI.

11. A auditoria externa é um elemento importante para a gestão de risco?

RE: Sim. O objetivo de uma auditoria externa efetiva é assegurar o cumprimento da estratégia seguida para a gestão de risco. É necessário garantir que a identificação de riscos é contínua e adequada, e que todos os riscos estão devidamente controlados. É aí que entram os sistemas de informação para modelação de controlos e riscos e que podem ser utilizados de forma efetiva. Com estes sistemas, as auditorias serão rápidas e extremamente eficazes, conseguindo-se no global uma efectiva gestão de risco.

12. Quais são as vossas soluções nesta área? Trabalham em parceria com outras empresas para uma solução completa?

RE: A SAFIRA tem ajudado algumas empresas portuguesas na reestruturação dos seus processos e políticas internas na área da Organização da Informação e Segurança da Informação, com vista a transformá-los no ativo transversal a toda a organização. Adicionalmente, a SAFIRA tem trabalhado com diversos parceiros para obtenção de soluções ótimas para os clientes. A SAFIRA é o representante em Portugal do Mega International, cujos produtos exclusivamente dedicados à modelação de processos, controlo dos riscos e políticas de segurança são considerados pela Gartner e pela Forrester como soluções de topo. 

Relativamente à transição dos SI/TI dos clientes para a cloud, a SAFIRA tem trabalhado em conjunto com a Microsoft em soluções como o Windows Azure ou o Office 365 e também com a Google, com as Google Apps for Business. De salientar que a aposta na SAFIRA nestas tecnologias não se resume apenas a vendê-las: a SAFIRA é ela própria uma utilizadora das mesmas, na condução do seu próprio negócio.

© 2017 SAFIRA - Consultadoria em Informática, S.A., uma entidade portuguesa e uma firma membro da rede KPMG, composta por firmas independentes
afiliadas da KPMG International Cooperative ("KPMG International"), uma entidade suíça. Todos os direitos reservados.