Posicionando
a Segurança como uma Questão Comercial
|
 |
 |
|
À medida que o cenário de segurança evoluiu nos últimos anos, a segurança cibernética passou de uma questão de tecnologia a um problema comercial. Sendo assim, todo executivo, desde o gerente ao presidente, deve estar diretamente envolvido com as questões relacionadas a pessoal, processos e tecnologias de segurança. John Schwarz, presidente e diretor de operações da Symantec, divide suas idéias sobre porque a segurança merece a atenção da diretoria.
P: O que torna a segurança um problema da diretoria?
R: Com o aumento da freqüência e complexidade das ameaças cibernéticas, as violações de segurança podem ser devastadoras para uma empresa, causando impacto nas operações comerciais, na reputação da empresa e na confiança de clientes e acionistas. Ao mesmo tempo, os governos passaram a introduzir regulamentações criadas para garantir que as empresas tenham suficientes controles de segurança estabelecidos. Concluindo, toda empresa tem responsabilidades, para com seus acionistas, clientes, funcionários e cada vez mais também com o governo, de garantir que os sistemas que armazenam dados operacionais não estejam comprometidos.
Quais as mudanças que você
vê com relação às ameaças cibernéticas?
A nova geração de ameaças da Internet ataca sem aviso
prévio; a velocidade da distribuição passou de semanas
para dias, de dias para horas. No futuro próximo, veremos
ameaças se propagarem em minutos ou até mesmo em segundos.
Temos observado também que o tempo entre a descoberta
de uma vulnerabilidade e sua exploração vem sendo reduzido.
Como um exemplo: o worm Slammer em janeiro do ano passado
atacou uma vulnerabilidade que foi descoberta em julho
de 2002. Porém, o worm Blaster, que atacou uma vulnerabilidade
dos sistemas operacionais da Microsoft, circulou em
apenas 26 dias após a identificação do problema.
Mas nem todas as ameaças são
provenientes de fora. E as ameaças internas?
Considere este ponto: funcionários internos, que acessam
os sistemas legitimamente, causam 80 porcento de todas
as violações de segurança. A grande maioria dos problemas
internos não são maliciosos, e sim causados por um relaxamento
da política ou erros genuínos. É importante que as empresas
estabeleçam políticas de segurança e programas de conscientização
para educar funcionários sobre o gerenciamento de senhas,
padrões para uso de PDAs e acesso remoto, entre outros
tópicos.
Como as regulamentações estão
elevando o nível de conscientização da segurança?
Governos em todo o mundo estão começando a se interessar
ativamente sobre como as empresas protegem seus dados
e infra-estruturas. Nos Estados Unidos, esse interesse
resultou nas recentes regulamentações de Sarbanes-Oxley,
HIPAA e GLBA. No caso da Sarbanes-Oxley, solicita-se
que os presidentes e diretores assinem um documento
anual, atestando que os registros e dados usados para
relatar o desempenho da empresa são acurados. Antes
dos diretores ou presidentes oferecerem qualquer garantia
sobre a integridade dos dados corporativos para suas
próprias empresas, eles devem entender os controles
e procedimentos de segurança estabelecidos, do contrário
poderão sofrer penalidades severas por falso testemunho,
podendo resultar até mesmo em prisão ou multas altíssimas.
No nível internacional, o Basel II Accord requer que os bancos e provedores de serviços de investimentos em todo o mundo implementem procedimentos para a avaliação e redução de riscos operacionais e de crédito. Isso significa uma avaliação de riscos que solicita às empresas afetadas que avaliem suas tecnologias, continuidade de negócios, segurança cibernética e riscos em suas transações, processamentos e operações.
Como uma empresa começa a criar
um plano de segurança?
Ninguém pode prever como e quando um ataque cibernético
irá ocorrer, porém considerar a possibilidade de um
incidente de segurança em cada aplicativo comercial
dentro de uma infra-estrutura de TI pode ajudar consideravelmente.
Para começar, é necessário avaliar os aplicativos comerciais que você executa, um por um. Primeiramente, considere o impacto (o custo da não disponibilidade de um aplicativo comercial chave, por um dia) e, em seguida, a probabilidade do aplicativo ser afetado por um ataque cibernético.
Como uma empresa avalia o quanto
deve gastar em segurança?
A quantia gasta em segurança depende da sua empresa.
Marcas específicas da indústria costumavam definir o
limite de quanto um banco, empresa de transporte ou
varejista deveria gastar com segurança. Os números diferem
em variadas indústrias e a informação sobre quanto a
concorrência gasta em segurança pode fornecer um ponto
de referência para determinar se a sua empresa está
mais ou menos exposta do que as outras empresas do setor.
Sobre o autor
John Schwarz é presidente e diretor de operações da Symantec, responsável pelo desenvolvimento de produtos, respostas a incidentes, vendas, suporte, serviços profissionais e relações entre parceiros da Symantec.
Anteriormente, Schwarz foi presidente e diretor executivo da Reciprocal Inc., fornecendo abrangentes serviços de e-commerce seguros de empresas para empresas, para a distribuição de conteúdo digital através da Internet. Ele liderou a empresa desde o seu início, até se tornar uma empresa operacional com faturamento crescente em mais de 100 porcento por ano durante a sua gestão. Além disso, Schwarz estabeleceu os serviços da empresa, com mais de 100 clientes, incluindo virtualmente todas as principais empresas de mídia.
Antes de liderar a Reciprocal, Schwarz trabalhou na IBM Corporation por 25 anos. Mais recentemente, ele foi o Gerente Geral da Unidade de Soluções Industriais da IBM, uma empresa mundial que se concentra em criar aplicativos comerciais e serviços relacionados para o grande número de clientes da IBM, gerando mais de 6 bilhões de dólares de faturamento proveniente de produtos e serviços associados.
|
|
|
