Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


Acompanhe nosso Twitter

27/08/2009 - TI Inside Escrever Comentário Enviar Notícia por e-mail Feed RSS

Como garantir proteção aos dados corporativos

Por: Claudio Ferreira


Quando o assunto é proteção, os executivos das corporações vivem um dilema para garantir a segurança da informação. Muitos empecilhos precisam ser driblados ou mesmo tirados do caminho, pelo menos parcialmente. Um dos temas mais importantes quando falamos da securitização dos dados é o gerenciamento dos riscos que os envolvem. Algo que ainda não está totalmente digerido ou bem utilizado pelo conjunto das corporações brasileiras.
Para os especialistas existem hoje dois mundos – paradoxalmente quase que totalmente conflitantes ao mesmo tempo em que quase em alinhamento – quando falamos em investimentos e cultura ligados ao gerenciamento de risco: o das multinacionais e o das empresas de capital local. As primeiras sofrem a pressão de regulamentações como SOX (Sarbanes-Oxley) e Basiléia (bancos e instituições financeiras), para que adotem políticas de ponta, ligadas a ISO, Cobit ou PMI, visando uma extrema proteção e controle de acesso dos dados e chegando a projetos como disaster and recovery.
Já as empresas brasileiras, quando não estão sujeitas as regulamentações, notadamente quem não está no Novo Mercado da Bolsa ou não possui ações em mercados externos, em geral, não possuem investimentos nesse sentido ou então estão nos momentos iniciais de seus projetos. “Entre as corporações locais existem tanto as conscientes como as que ainda estão longe disso. O conceito de trabalhar com o risco começou a se fundir, no bom sentido, com sustentabilidade, mas ainda existe uma confusão conceitual em alguns casos”, admite Pedro Bicudo, sócio-diretor da TGT Consult.
Relativamente nova dentro do mundo de tecnologia da informação, ainda mais dentro do escopo atual, um dos conceitos possíveis de gestão de risco em TI é o de violações, roubo e falhas de dados e sistemas que está muitas vezes associado ao vazamento de senhas e de identidade, tanto no ambiente físico das empresas como na web. Ou ainda a problemas vinculados à performance, disponibilidade, conformidade com as regulamentações, recuperação de dados e continuidade dos negócios.

Histórias edificantes
Esse mar de atribuições, no entanto, deve buscar uma situação equilibrada entre tudo aquilo que é possível fazer com o que é realmente importante fazer. Uma boa analogia é o exemplo do dono de uma empresa de seguro, que vende risco e tem isso muito claro. Na prática, ele não pode ser cauteloso em demasia e também não pode aceitar todo o tipo de risco. O ponto ideal é equilibrar a cautela e o risco de forma calculada. O mesmo acontece em TI, uma política cautelosa em demasia pode inibir o uso de tecnologia e refletir negativamente nos negócios. O uso de uma ferramenta como o MSN pelos colaboradores, por exemplo, não pode ser negado assim como não pode ser liberalizado sem qualquer parâmetro, mesmo que este se materialize na forma de cartilha ou mera informação para as pessoas.
“Existem grandes diferenças relacionadas à maturidade. Além disso, há um enfoque muito reativo, de geração de relatórios para atender às auditorias, enfoque que se observa nas empresas de maior maturidade”, argumenta Leonardo Carissimi, líder do programa de segurança empresarial da Unisys. No entanto, mesmo com esse olhar multifacetado, as regulamentações seguem com um papel importante nos últimos anos.
Apenas a SOX, em si, já trata do tema com grande profundidade. Para alguns especialistas, a regulamentação garantiria algo como 75% ou 80% daquilo que um planejamento ou política de gerenciamento de risco deve ter. “Essa é uma grande vantagem para quem precisa se adequar à ela. Fora do Brasil as regulamentações são uma grande alavanca. Por aqui, as empresas locais ainda estão aprendendo a fazer parte deste mundo, trabalhando por uma gestão mais transparente”, compara Paulo Vendramini, diretor de engenharia de sistemas da Symantec para a América Latina. A empresa, aliás, vê o tema por meio de soluções que acompanham o planejamento da gestão de risco.
O executivo aponta ainda que pela amplitude do tema, o mais importante é focar no alinhamento da política com o business. Alinhar é a palavra de ordem e se a corporação não o faz perde tempo, dinheiro e recursos. No entanto, no setor financeiro, as regulamentações específicas, como a Basiléia, e mesmo outras que devem surgir a partir da crise sistêmica no setor com a crise – a mais recente é a resolução 3380, específica sobre risco operacional – é que determinam como deve ser feito o gerenciamento de todos os riscos inerentes ao business.

Eles investem
Para Roberto Regente, vice-presidente para América Latina e Caribe da RSA, a questão teve uma evolução acelerada nos últimos 12 ou 24 meses, levada por uma preocupação com a segurança em geral. “A visão está mudando, segurança em TI deixou de ser uma apólice de seguro ligada a um problema e agora se tornou uma forma de auxiliar no melhor gerenciamento do negócio e em mais confiabilidade para o usuário”, conclui. Entre os fatores para essa mudança está não apenas a crise, como também a maior velocidade no processo de aquisições e fusões do mundo globalizado.
Finanças, como acontece em todas as práticas de TI, lidera o ranking dos setores que mais se preocupam e investem no tema, porém outros segmentos também avançam. “Vimos uma demanda interessante na área de manufatura. O setor de serviços está mais voltado para controle, ainda no patamar do ERP, mais do que em risco, enquanto os grandes varejistas já estão no estágio de se voltar para o risco”, aponta Bicudo, da TGT. Regente, da RSA, concorda com a visão do varejo e acrescenta o setor de utilities, como energia, que ao buscar formas de evitar as fraudes, principalmente as externas, investe na prática.
Outra área destacada é a de telecomunicações. “Diria até que eles são mais inovadores que o setor bancário, mesmo que com menor volume de aquisições na comparação. A concorrência extrema força a investir e melhorar a sua gestão”, explica Celso Souza, presidente da True Access Consulting. Por outro lado, a indústria, para ele, mesmo com um bom número de clientes, tem sido mais lenta no processo de adoção (veja mais no quadro: Batendo no muro).
Outro destaque, agora positivo, é o das iniciativas de projetos de grande porte do Governo. Telcos também está entre as áreas que mais investem para Vendramini, da Symantec, principalmente em processos. Ele tem a mesma visão de Souza quanto à indústria, mas visualiza algumas exceções, como as empresas com tecnologia de ponta ou mesmo as grandes montadoras.

Posição na escada
Com os dois mundos descritos lá em cima e essa diversidade entre verticais, será que o mercado está longe da maturidade quando falamos em gerenciamento de risco de uma forma mais abrangente? “Estamos em um grau médio. Quem fez IPO (oferta ou abertura de ações em bolsa) está mais evoluído. E já vemos a continuidade de negócios inserida no gerenciamento de risco”, relata Luiz Hirayama, diretor de arquitetura de soluções da T-Systems do Brasil.
As instituições financeiras definitivamente são um mundo à parte e estão colocadas no degrau mais alto de maturidade do tema. “Logo abaixo coloco o conjunto de empresas que sofrem regulamentações, independentemente do segmento da indústria. O varejo vem depois, embora recentemente o padrão PCI tenha fomentado maior preocupação com o tema, enquanto a indústria em geral é o setor mais atrasado”, enumera Carissimi, da Unisys, que também levanta algumas exceções como as indústrias que operam em mercados globalizados e competitivos, como a Embraer.
A conscientização e uma maior informação sobre o tema são preocupações pertinentes nas corporações. Neste ponto, o mercado atingiu um bom nível para os especialistas. “Os gestores conhecem o tema, o que precisamos evoluir agora é no processo de implementação”, admite Vendramini, da Symantec.
Neste sentido, da implementação de um projeto, como uma empresa deve proceder? Um possível passo de número zero é estabelecer um colaborador ou uma equipe responsável pelo projeto, ele ou eles vão classificar os riscos da corporação, algo que vai desde a perda do conhecimento até possíveis vulnerabilidades dos sistemas, passando pela segurança de TI como um todo e até mesmo nos problemas ligados ao campo patrimonial. “Depois é preciso adaptar o que foi levantado, ponderando os riscos, os custos e prejuízos que podem acontecer. A pessoa ou setor deve analisar todas as abordagens possíveis para que seja feito o melhor investimento”, garante Bicudo, da TGT.

Saiba ou devoro-te
Uma possível abordagem inicial é olhar para o negócio e não apenas para o gerenciamento de risco em si. “Não é possível pegar uma cartilha pronta e importar para uma empresa, é preciso que ela saiba priorizar. É comum falar em preocupações quanto ao vazamento de informações e isso leva a entender qual informação trará um diferencial para a empresa. As corporações precisam fazer essa identificação, fazer o que chamamos de ‘taguear’”, explica Vendramini, da Symantec. Uma pergunta que deve ser feita com freqüência é: qual dado pode ou não sair ou circular pela empresa?
Outro adepto da idéia de que a empresa precisa conhecer seus processos de negócios, Souza, da True Access, alerta que se a corporação está em um estágio anterior a essa premissa, ela terá problemas. “A partir dos processos se chega aos ativos. Com eles é que se sabe os riscos que podem ocorrer. No mínimo, uma corporação precisa saber pelo menos o que está ligado aos seus processos de negócios”, completa.
Visão distinta à oferecida por Hirayama, da T-Systems, que prega como passo inicial saber o que a corporação possui em termos de política de segurança, algo que vai desde saber se existe um CSO (Chief Security Officer) até mapear os dados e estabelecer o grau de conscientização interna daquilo que ela possui. “Sem saber isto não se faz nada. Conheci empresas que não tinham um plano de contingência e ficaram três semanas sem o ERP funcionar”, revela.

Não descuidarás
Para Carissimi, da Unisys, os mandamentos para uma melhor política de gerenciamento de risco devem chegar a uma mesma palavra: continuidade. Palavra que deve servir como um mantra. “Mas é algo que não aparece rapidamente, no primeiro mês de um projeto, por exemplo. Precisa ser realizado de forma consistente, contínua e persistente durante bastante tempo para começar a colher os frutos. Este é o desafio que todo profissional da área enfrenta no dia-a-dia”, completa, advogando que a Unisys possui um portifólio extenso de serviços que abrange gerenciamento de risco e tudo que o envolve, seja em infraestrutura, processos, consultores ou mesmo aplicações. Veja mais no quadro: Serviços para vender e vender.
Falando em risco, a crise parece trazer sensações dúbias. A ideia de uma ameaça que traz oportunidade faz parte do discurso do mercado. “Sem dúvida, o Brasil não está imune. A crise provocou a discussão sobre o risco. Tenho clientes que aumentaram os serviços de outsourcing. Podemos falar em dois momentos do mercado, antes e depois da crise”, aponta Bicudo, da TGT. A diferença é que a aderência legal, de acordo com as regulamentações, cedeu lugar a uma preocupação com o risco de forma mais concreta.
Na mesma linha, Vendramini aponta que independente do lado positivo que pode emergir da crise, a prática de gestão de risco tem ações mais ou menos necessárias. “Não tenho visto cancelamento, os projetos possuem uma priorização e estão atrelados a análises de risco. Podendo evoluir até práticas como contingência”, garante.
Uma empresa de cartão de crédito ou telefonia, por exemplo, que lida com informações dos clientes, faz um plano de conformidade e de gestão, com verbas para o projeto saídas diretamente das áreas de negócios. Nesse caso, extrapolando a linha de segurança no orçamento e com a área de comppliance liderando o emprego da verba.

TIC, TIC
O maior desafio ligado ao gerenciamento dos riscos é a convergência de telefonia e TI, que cada vez mais ganha elementos e cresce de importância. “A situação é de um verdadeiro caos. A primeira reação das duas áreas é: isso não é comigo. Com o avanço dos smartphones, a TI diz que não é com ela. É uma resistência burra”, admite Bicudo, da TGT. Caos que promete ficar ainda maior com o crescente uso de aparelhos 3G para envio de arquivos. Atire a primeira pedra quem possui pacotes de dados e nunca enviou arquivos para trabalhar em casa.
A idéia de anarquia não é unânime. Para Souza, da True Access, os investimentos em convergência têm sido seguidos por serviços compatíveis de gerenciamento de risco. É certo, no entanto, que a tendência é que a segurança se torne ainda mais complexa com novos e mais dispositivos móveis disponíveis. “O problema é que as empresas brasileiras ainda não têm a consciência ou investimento compatível. Acho que a questão do investimento passa pelas operadoras que disponibilizam o acesso”, diz Hirayama, da T-Systems.
Se fala até mesmo em uma nova vertente, o gerenciamento de risco TIC, e não mais apenas de TI. A norma ISO 31000, por exemplo, como lembra Carissimi, da Unisys, é muito feliz nesse ponto, ao elaborar a idéia de convergência com os riscos de diversas disciplinas antes compartimentadas em silos: riscos de engenharia, de gerenciamento de projeto, etc. “Acredito que o caminho único a seguir é o do amadurecimento geral. E vivemos uma grande expectativa dos eventuais efeitos que a nova regulamentação financeira do mercado norte-americano pode causar no gerenciamento de risco”, completa o executivo.

Batendo no muro
Investir em gerenciamento de risco não é só uma questão de ter ou não verbas. Uma das maiores barreiras é a dos gestores que tem medo do que não conhecem de forma plena, as pessoas não conhecem a vulnerabilidade de suas informações, depois vem o custo. “Fiz o diagnóstico em uma companhia e descobri que o tempo de recuperação das informações poderia chegar a 70 dias”, revela o desconsolado executivo da TGT.
É lógico que muito se evoluiu depois do fatídico 11 de setembro em muitas práticas, principalmente disaster and recovery, mas passados 8 anos as lições do susto diluíram e já vemos o início da montagem de novas barreiras. Regente, da RSA, aponta que em muitos casos a camada executiva não endossa ou limita projetos, quando o ideal é o alinhamento de toda a empresa.
“O grande problema é o aspecto cultural no sentido de que não se pode cobrar resultados imediatos, é preciso um planejamento com foco de longo prazo. Em geral, não vemos a necessidade de investimentos muito pesados para a implementação de um modelo de gestão de riscos”, garante Carissimi, da Unisys. Mas, como o modelo de gestão de riscos faz interface com várias áreas e sistemas, isso causa complexidade na sua implementação e operacionalização.

Serviços para vender e vender
Se as corporações ainda estão lidando com seus diferentes graus de maturidade e mesmo com os desafios de montagem de uma política sólida de gerenciamento de risco, o que dizer do outro lado do balcão? Sejam eles consultorias, prestadores de serviços, fornecedores de soluções ou datacenters, eles possuem um bom nível de serviços?
“Alguns setores de consultoria de negócios já se queimaram, por não entenderem TI como deveriam. E aconteceu um aumento da demanda, com oportunidades para as empresas de outsourcing. Afinal, o momento econômico global ruim ajudou na idéia de terceirização”, argumenta Bicudo, da TGT, companhia composta por executivos oriundos do Gartner e que atua como consultoria de TI em diversos serviços. Na sua carteira de clientes estão empresas como a Nestlé, Globo e TAM, entre outras.
Já a True Access, empresa do Grupo TBA focada na oferta de soluções globais de segurança da informação, aposta na especialização. Não por acaso, trabalha em quatro pilares distintos: segurança, gerenciamento & monitoramento, disponibilidade e serviços, exibindo no seu “curriculum” a participação em projetos como o SPB (Sistema de Pagamentos Brasileiro). “Somos especializados e isto faz diferença. As corporações não querem mais fazer aquele “contrato de tudo” com apenas um fornecedor”, alerta Souza.

Estratégias e ofertas
Como premissa, a Symantec não oferece serviços de forma intensiva, preferindo entrar nos projetos com soluções pontuais, aderentes ao gerenciamento de risco. “Em alguns casos ajudamos pontualmente, mas não de forma abrangente. Não temos uma requisição global, isto fica com as grandes empresas de consultoria”, explica Vendramini.
A fronteira de atuação, no entanto, pode não ser tão delimitada. “Sou avesso as consultorias que não implementam. Elas importam um modelo e passam para outra empresa “colocar a mão na massa”, com recursos muitas vezes caros. As empresas de outsourcing e datacenter conseguem ser mais práticas, elas tem mais capacidade de entregar o que o cliente necessita”, assegura Hirayama, da T-Systems.
A empresa, de origem alemã, trabalha a partir de sua infra-estrutura, que garante, por exemplo, a montagem de ambientes virtuais. Outra vertente importante é a plataforma Dynamic Services, desenvolvida pela T-Systems e que tem clientes em setores como manufatura e finanças, a primeira por conta de espionagem industrial e a segunda por garantir a segurança dos dados dos clientes. “Fazemos os alertas dos riscos, mostramos as vulnerabilidades existentes e temos uma equipe global que verifica problemas e traz soluções no regime de 24x7, inclusive no Brasil”, aponta.
Atuando como consultoria em serviços, a RSA tem como posicionamento a busca por dosar a classificação das informações com seus riscos e os custos que serão levantados. Para Regente, os data centers ainda vendem muito commoditie, e precisam conhecer mais os processos das corporações. “O conceito de SSP (Security Service Provider) ainda é muito incipiente no Brasil, os provedores focam em firewall. Acho que é preciso quebrar o paradigma do medo de compartilhamento das informações”, garante. O executivo explica que a RSA atua na montagem de planos estratégicos de segurança, ajudando a corporação a entender o que é realmente crítico e os riscos associados.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 239 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal