O sonho, e por que não dizer, a utopia de todos os líderes de segurança da informação é viver um cenário em que a totalidade de vulnerabilidades encontradas em um ambiente seja corrigida. Neste cenário, teríamos uma empresa ou entidade que não corre nenhum risco de segurança da informação e que garante que a informação será preservada em confidencialidade, disponibilidade e integridade durante todo o seu ciclo de vida. Em um lugar como esse, o gestor de segurança da informação poderia dormir tranquilo, a não ser pelo fato de que lá, ele não seria mais necessário.
Felizmente ou infelizmente, esse cenário não existe e as empresas precisam lidar o tempo todo com um trade-off entre o impacto de corrigir uma vulnerabilidade e o impacto de não corrigi-la. Isso nos coloca no ponto de praticamente definir uma das missões do gestor de segurança da informação, talvez a mais importante: Encontrar todos os riscos de segurança da informação e apoiar as áreas de negócio e o corpo executivo a tomarem decisões conscientes sobre a correção, mitigação ou a decisão de conviver com cada risco.
Mas como viabilizar uma decisão consciente sobre segurança da informação em gestores ou executivos que possuem pouco ou nenhum treinamento sobre esse assunto? A primeira resposta, é tão intuitiva quanto equivocada: educar o gestor para que ele entenda o risco de segurança da informação. Esqueça! O risco de segurança da informação demanda um discurso que normalmente não está contido no repertório do executivo e portanto não tem apelo para provocar reflexão.
Mas existe uma saída, que reside no fato de que a maioria dos riscos de segurança da informação possui uma relação causal direta com os riscos de negócio, isto é, com os riscos de que a operação da empresa não gere os lucros esperados por conta de perdas financeiras, perda de vantagem competitiva ou perda de capacidade de vender em função de um prejuízo de imagem. O fundamento para essa relação entre riscos vem da constatação que, na sociedade moderna, os processos de negócio estão amplamente apoiados na circulação de informação e que portanto problemas para informação serão problemas para os negócios.
Riscos de negócio, estes sim, participam do repertório de qualquer executivo e estão presentes no rol de preocupações de qualquer pessoa encarregada da sustentabilidade e do crescimento de um negócio.
Com isso, viabilizar a decisão consciente a respeito dos riscos de segurança da informação acaba se resumindo a conecta-los com os riscos de negócio, explicitando a relação causal entre eles, ou seja, mostrando como a realização de um risco de segurança causa a realização de um risco de negócio.
Tomemos como exemplo o vazamento de informação em uma empresa que cria capital intelectual, como na indústria química, farmacêutica ou de cosméticos; e que gera através de pesquisa e desenvolvimento, fórmulas e listas técnicas de materiais para novos produtos.
A abordagem tradicional, é levar ao corpo diretivo um pedido de decisão para investir ou não em uma solução de prevenção ao vazamento de informações, que é bastante cara de maneira geral, baseado no argumento de que a empresa lida com informações confidenciais o tempo todo e que o vazamento destas informações causaria uma perda de capital intelectual.
A abordagem que proponho aqui é outra: explorar com os executivos que a estrutura do plano de negócios de qualquer novo produto tem duas premissas importantes:
- A exclusividade desse novo produto em um primeiro momento de mercado, que dura do lançamento até o momento em que os competidores conseguirão copiar o produto;
- A imagem de tradição com esse produto atribuída à empresa diante dos competidores, decorrente do fato de ter sido a primeira a lançá-lo.
A ligação causal se estabelece porque a maneira mais provável de não ter a exclusividade esperada em um período inicial, sobre um produto de desenvolvimento próprio, residiria no vazamento da informação chave para a produção deste novo produto.
Com esse contexto fica fácil conectar o risco de vazamento de informação de uma fórmula de um novo produto, com o risco de um competidor lançar um produto similar ou até idêntico ao que se está desenvolvendo, antes ou ao mesmo tempo.
A realização destes riscos, um em decorrência do outro, comprometeria as premissas acima descritas, prejudicando a liderança de mercado inicial e impactando os indicadores VPL (valor presente líquido) e TIR (taxa interna de retorno), que medem o desempenho do projeto de investimento quanto à capacidade de gerar de caixa para a empresa que investe.
Sabidamente, a melhor maneira de resolver um problema é atacar sua causa raiz. Do mesmo modo, a melhor maneira de mitigar um risco, é criar controles para suas causas, ou seja para os seus fatores de risco.
Considerando então o risco de vazamento de informação como um fator para o risco do competidor lançar produto similar ao que se desenvolve, em tempo muito curto, podemos concluir que:
- Uma solução de prevenção ao vazamento de informações é um controle eficaz contra o risco de não obter o retorno financeiro esperado em um projeto de novos produtos em função da perda da exclusividade inicial.
- O risco bem conectado ao outro fica mais fácil de conscientizar e também mais fácil de quantificar, uma vez que o impacto financeiro da realização do risco é facilmente calculável a partir das premissas contidas no plano de negócio do projeto de desenvolvimento de novo produto. Uma vez quantificado, fica simples a comparação entre o custo de mitigar e o custo de conviver com o risco. Se a conta fechar, é projeto aprovado!
Este foi um exemplo simples, escolhido para ilustrar um racional que conecte os riscos e viabilize as decisões conscientes. A verdade é que conectar ideias é um trabalho complexo e relevante. É portanto um trabalho nobre, gratificante e que deve ocupar uma boa parcela do tempo dos gestores de segurança da informação.
Alguns riscos de segurança serão facilmente conectáveis a riscos de negócio. Outros terão uma conexão sutil e exigirão grande esforço do gestor na montagem do racional. Outros ainda serão praticamente impossíveis de se conectar com riscos de negócio relevantes. O que fazer com estes últimos? Nada, ou praticamente nada. Se não for possível mitigá-los através de processos e procedimentos operacionais que cuidem da saúde básica da circulação da informação na empresa, esqueça-os.
A Segurança da Informação é muito importante mas não tem importância em si só. Tem importância enquanto, através da proteção da informação, proteger o negócio. Qualquer coisa fora isso, não se financia.
Um abraço e até o próximo post!
P.S. Eu estava com muita saudade de escrever aqui. Estou muito feliz de ter conseguido mais uma vez! Um beijo para o meu filho Gabriel, que estava ao meu lado quando escrevi esse artigo.
Publicado originalmente em ticianobenetti.wordpress.com
1 Comentários
Excelente artigo Ticiano. Parabéns!
Ao ler o seu texto, me conectei com ele na hora. Desde que comecei a estudar SI, eu sempre tive esse ponto em mente, mesmo sem ter lido nenhum material antes. A maioria dos executivos não conhece a profundidade dos riscos que lidamos e tratam como um problema de menor escala. Acredito que esse comportamento esteja mudando, mas ainda é bem raro.
Foi justamente por isso que eu decidi me aprofundar mais na área de governança. Estou me preparando para o COBIT 5 e acredito que esse framework é extremamente útil para essa situação também, já que ele conecta a governança corporativa e a governança de TI e abrange todas as partes.