Segurança da Informação: 7 Piores Práticas
Postado em 03 de dez. de 2021 por Antonio Plais
Originalmente postado por Remco Blom* no blog da BiZZdesign. Tradução, adaptação e reprodução autorizados.
Um dos valores principais da Centus e da BiZZdesign é compartilhar conhecimento e melhores práticas. É por isso que nós regularmente organizamos e contribuímos para seminários, conferências e mesas redondas presenciais e online. Depois de uma apresentação intitulada “Segurança não é um Problema da TI”, que ilustrou a frequente falta de conexão entre as políticas e as medidas dentro das organizações, nós decidimos promover um encontro com vários especialistas e respeitados profissionais da indústria, muitos deles nossos clientes, para conversar sobre isso. Na postagem anterior nessa série discutimos a questão de como construir a conscientização em torno da segurança da informação. Nesta postagem gostaríamos de compartilhar as sete piores práticas que nós aprendemos com os participantes de nosso seminário.
1. Apoiar a ambiguidade e apenas fazer política
É muito fácil construir extensas listas de políticas, princípios e medidas de controle. No entanto, ter muitas coisas como estas em vigor nunca foi um indicador de sucesso e, de fato, criá-las e gerenciá-las consome muito tempo! É melhor ter poucos princípios úteis e medidas de controle, ao invés de muitas não tão úteis. O que absolutamente não funciona para a construção de uma organização segura é apoiar as formas de passar por cima das políticas e medidas de controle definidas pela organização. Em muitas organizações a urgência por tornar a vida mais fácil é muito grande…
2. Sempre pisar no freio e diminuir a velocidade da organização
Abordar a segurança apenas a partir de uma perspectiva tecnológica não é muito inteligente. Deixar que o negócio vá em frente sem fazer uma análise de riscos apropriada é garantia de fracasso! Outra prática condenável nesta categoria é declarar a segurança como uma meta e não como um importante conjunto de meios para um fim!
3. Gerenciar a segurança com base em modismos e incidentes
Os relatórios anuais do Gartner sobre o ciclo de modismo das tecnologias emergentes (e vários outros do mesmo tipo) dão uma bela visão geral das várias tendências do mercado. Para pessoas orientadas para a tecnologia é tentador (e até mesmo natural) se sentir pressionado para trabalhar com, ou sobre, estas novas tecnologias. Naturalmente, você precisa estar consciente dos aspectos de segurança (tanto as ameaças quanto as oportunidades) que vêm junto com estas novas tecnologias, mas gerenciar os riscos com base nestes modismos é um péssimo plano. O mesmo acontece para ficar pulando de um acidente interno para uma violação externa e de volta. Você precisa de um planejamento consistente e alguma estrutura na sua abordagem para se tornar e permanecer um parceiro confiável, entregando valor para a organização.
4. Apagar incêndios
Se mover de um incidente para o próximo. Pisar no freio do projeto A e rapidamente correr para o projeto B para consertar alguma falha de segurança nele. Quando você vive uma ilusão, e você é o herói da segurança que conserta todos os problemas quando eles aparecem, você provavelmente acabará se queimando. Além disso, o negócio também vai ficar em chamas, uma vez que ninguém, nem mesmo você, pode lidar com todos os incêndios que aparecem por não investir em conscientização e medidas de controle claras.
5. Fazer
Produzir um grande plano, e nunca agir sobre ele nunca ajudou ninguém. Tire-o da prateleira, saia fora das planilhas, e torne as coisas realmente concretas! Quando as exceções ocorrem, você pode aceitá-las ou adotar medidas (temporárias) diretas. Tipicamente isto é apenas uma primeira reação que precisa de uma solução mais sustentável no longo prazo. Em algumas organizações, estes remendos temporários tendem a ficar por mais tempo do que o esperado, uma vez que as forças de segurança já estão apagando mais um novo incêndio. Isso prejudica a segurança de longo prazo e pode, inclusive, trazer novas ameaças para a organização.
6. Ser muito ambicioso
Você está em uma organização que está em um certo nível de maturidade. Não entender isso, e não lidar com a velocidade da mudança e a cultura que é o padrão na sua organização apenas frustrará as outras pessoas e você mesmo. Acelerar quando as outras pessoas querem que você diminua a velocidade, e trazer mais conteúdo, quando as pessoas ainda precisam de mais explicações a respeito de um conteúdo compartilhado anteriormente, são piores práticas que temos visto com frequência na prática.
7. Não se importar com a cultura
Cada organização é diferente! De cima para baixo ou de baixo para cima, pessoal altamente competente ou pessoal mediano, tomadores de decisão orientados para relatórios ou tomadores de decisão visualmente orientados. “A cultura come a estratégia no café da manhã”, é uma frase famosa que se aplica também às estratégias de segurança da informação. Para realmente entender as pessoas, a cultura, e os fatores de sucesso para a implementação, é importante aprender com o passado (recente). Sem observar e jogar de acordo com a cultura você estará alimentando os movimentos de resistência e criando insegurança com o seu próprio comportamento.
A s boas práticas da segurança da informação podem ser encontradas em vários lugares. Organize oficinas para gerar ideias sobre as piores práticas pode ser muito divertido e realmente ajuda as pessoas a reverter o seu pensamento e ser mais criativo. Esperamos que você tire proveito destas percepções que nós trouxemos para você, compiladas da nossa experiência no campo e nas nossas oficinas de segurança da informação.
Tenha a certeza de ler a nossa próxima postagem nesta série, quando falaremos sobre a Segurança da Informação na Diretoria. Até lá!
*Remco Blom é consultor sênior e especialista em melhoria de processos e segurança da informação na Bizzdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.