A proteção dos ativos digitais e físicos
Com o barateamento dos recursos computacionais e o implemento da tecnologia nos mais variados ambientes organizacionais, passamos a ser totalmente dependentes de um novo modelo de economia, a digital, donde dados e informações passam a ser o ativo mais valoroso, norteando a tomada de decisões.
Em contra partida, é notório que grande parte das corporações não toma as devidas cautelas para proteger os seus interesses, seja de “insiders” com propósito do furto de propriedade intelectual, como do próprio colaborador, que sem conhecimento, coloca em xeque as atividades negociais, e, ainda, de atacantes externos que se valem de inúmeras vulnerabilidades para ter acesso a informações valiosas, como dados de cartão de crédito, o ataque a contas bancárias, o golpe do boleto e, os constantes casos de ransomware.
Informatizar um negócio não está ligado unicamente a ter uma rede de dados, um sistema que centraliza e possibilita acompanhar a prospecção comercial e dispor de um equipamento em cada mesa de trabalho, pelo contrário, a governança e gestão de TI estão alicerçadas em dar o bom encaminhamento ao uso dos recursos (pessoais, processos e tecnologia). Cabe, por exemplo a governança, avaliar, dirigir e monitorar, e, a gestão, planejar, construir, entregar e, também, monitorar os resultados.
Monitorar, portanto, acompanhar e supervisionar são palavras de ordem!
Neste cenário, treinamento e educação corporativa, que tem sinônimos distintos, devem ser considerados pela Alta Direção, visando, dar instrumentos teóricos e práticos aos funcionários e colaboradores quanto as medidas defensivas de primeiro plano, que são aquelas adotas na mesa de trabalho pelo próprio operador.
Ainda, com o fito de dar proteção aos ativos, sejam eles físicos ou digitais, é imperativo que a equipe de TI esteja focada e, da mesma forma, tenha conhecimento técnico coerente com a missão que desempenha, pois você somente pode proteger aquilo que você conhece, e, para isto, métricas são exigíveis, uma vez que gestão é algo quantificável.
Riscos inerentes ao negócio precisam ser avaliados, e, na mesma proporção, suas oportunidades, isto é algo que precisa ser inserido no contexto da mitigação dos problemas, para maximizar resultados que atendam a todos os stakeholders.
Associado ao treinamento, se faz necessário o uso de políticas de segurança, de proteção de dados, de uso aceitável, de valoração dos ativos, da classificação dos ativos e que devem ser divulgadas dentro do ambiente de trabalho, de forma a dar notoriedade a todos os colaboradores.
De outro giro, faz-se necessário que a corporação considere, em seu mapa de orçamento e investimento anual, uma fração de verba destinada ao investimento em sistemas de segurança cibernética, como equipamentos, softwares e hardwares que possam monitorar o trafego de rede, notificando a TI quando de um movimento suspeito (IDS/IPS), a aquisição de software legalizado, a instituição de padrões de aplicativos permitidos para o uso dos setores, monitoramento das máquinas e, especialmente, dispositivos móveis, criptografia que visa manter a confidencialidade, além da preocupação com a integridade dos dados e sua disponibilidade e a capacidade de fornecimento destas informações.
Por fim, o GRC – Governança, Risco e Compliance, são demasiados importantes na atualidade, pois, estar em conformidades com normas, sejam elas internas e, especialmente, as externas, possibilita manter ilibada a reputação da empresa, que, ao olhos dos clientes e demais parceiros, exibe uma gestão ética, sendo amplamente valorizado nos dias de hoje, a considerar que a própria bolsa de valores criou o IGC – Índice de Governança Corporativa – dando notoriedade as empresas que atuam dentro deste escopo, assim, tendo maior valorização de seus papéis.
Dentro desta ótica, o exercício de atividades como blue e red team, ethical hacker e a forense computacional atuam a dar subsídios ao cumprimento de metas, da missão e valores da empresa, não aquele fixado na parede do hall de entrada da empresa, mas na condução ética dos negócios, orientada pelo exemplo, que deve vir de cima para baixo.