24 ago Segurança da Informação – nem restritiva e nem permissiva, mas sim consultiva.
Recentemente temos acompanhado reflexões no mercado de Segurança da Informação (SI) sobre a abordagem mais adequada quanto ao modelo restritivo ou permissivo. Historicamente as áreas de SI tem se posicionado de modo restritivo, criando políticas definidas unilateralmente, sem consultar as áreas de negócio quanto ao impacto operacional das regras definidas.
Isso tem contribuído ao longo do tempo para a imagem de SI ter se consolidado como agente de aumento de gastos e prazos em projetos, que burocratiza e não favorece os resultados e a agilidade do negócio.
Essa própria postura de definir políticas primeiro, para depois avaliar as necessidades do negócio, fortalece o distanciamento existente entre as áreas da empresa e SI nos momentos de desenho de novos produtos, negócios e grandes mudanças.
Outro aspecto que soma nesse cenário é o perfil muito técnico dos gestores de segurança da informação. Quanto mais técnico o perfil que faz a gestão da segurança, menos sensível ele costumeiramente está para as questões de negócio. Percebo que a maioria das áreas de SI tem olhado muito para os ativos e extremamente pouco para o negócio!
O foco tem sido muito no notebook, no pendrive, na USB, no firewall, no antivírus e pouquíssimo para quem atende o cliente lá na ponta, o vendedor de campo, o processo de atendimento ou na experiência do cliente com a organização e seus serviços.
A SI precisa voltar-se mais para o negócio e para o cliente, se posicionar mais consultivamente dentro da organização. Com essa estratégia, torna-se ainda mais fundamental no papel do comitê de segurança da informação e uma composição bem representativa das principais áreas da organização.
Ainda encontramos muitas empresas que não perceberam que a SI para ser reconhecida pela organização e tornar-se parte da agenda corporativa, precisa do envolvimento das áreas de negócio nas discussões das ações de SI. Nesse momento o comitê é instrumento fundamental para o sucesso dessa estratégia.
Aproximando a SI do negócio e atuando junto aos gestores dos principais processos, é o caminho para promover e fortalecer o tema para agenda corporativa.
Vejo as queixas do mercado de SI quanto a participação da área apenas quando os projetos já estão prontos ou quando surge um problema de segurança. Essas reclamações soam como autocrítica, pois evidenciam que a SI não está fazendo seu papel consultivo dentro da empresa. Está reativa, provavelmente interagindo pouco nas áreas de negócio e possivelmente sendo gerida com um foco prioritariamente técnico.
Daí a importância do perfil dos gestores de Segurança da Informação cada vez mais direcionarem suas formações para ter visão de negócios e facilidade para interagir com diretores, presidentes e conselheiros. O Conhecimento técnico é fundamental pois um volume importante de ações de SI endereçam frentes tecnológicas, mas a habilidade de falar a língua dos gestores e entender o negócio da empresa, navegar pelas principais áreas da empresa com facilidade e provocar a participação da SI nas ações corporativas é um diferencial importantíssimo para o sucesso da área.
Após praticamente duas décadas atuando em consultoria de Segurança da Informação e Gestão de Continuidade de Negócio, estou convencido que uma boa estratégia e habilidade para apresentar os temas para as áreas de negócio, principalmente diretoria, tem um valor maior que o skill técnico da área. É comum vermos excelentes profissionais com grande skill técnico de SI reclamando que a área dentro da sua empresa não é reconhecida como deveria. Por outro lado, percebemos empresas com menor skill técnico no time e com uma maturidade de segurança dentro da organização bem maior. O diferencial está na estratégia e na abordagem que se dá ao tema dentro da organização.
É necessário o mercado de segurança reconhecer que a questão não está em ser mais restritiva ou permissiva, mas sim em ser mais consultiva e mais estratégica.
E na sua empresa, a sua estratégia e abordagem de SI tem sido realmente consultiva junto as áreas de negócio?
Rogério Coutinho – Engenheiro de Computação e Diretor de Operações da PODIUM TECNOLOGIA ( www.podium.com.br )
Desculpe, o formulário de comentários está fechado neste momento.