Um dos maiores desafios enfrentados pela segurança da informação, principalmente quando ela já está implementada de maneira isolada dentro da empresa, é criar um programa de segurança que se alinhe ao negócio de maneira mais ampla. Para os executivos é difícil entrar em um consenso sobre segurança, principalmente quando o assunto entra em conflito com outros, como rentabilidade e facilidade de uso.

Os programas de segurança dependem da gestão para obter recursos, cooperação e apoio, o que é ainda mais difícil quando as empresas não conseguem concordar nem sobre o que deve ser definido como um risco aceitável.

Não existe uma única tática ou estratégia que garanta o alinhamento do programa de segurança à estratégia da empresa. Em vez disso, existe uma série de ações que precisam ser identificadas e executadas para melhorar esse alinhamento ao longo do tempo.

Dentre as áreas que merecem atenção no alinhamento do programa de segurança com o negócio está a cultura. É preciso desenvolver uma cultura organizacional em que usuários, gestores e profissionais de TI tomem boas decisões em relação aos riscos. Do contrário, sempre haverá um conflito entre o que é seguro e o que não é seguro, porém tem maior usabilidade.

Além da cultura, o Gartner indicou outras áreas relevantes para melhorar o alinhamento da segurança ao negócio e o planejamento é uma delas. Ao planejar as atividades de segurança da informação de maneira tática e estratégia, os gestores podem alinhar seus projetos e ações às reais exigências do negócio.

Segurança não deve ser isolada

São grandes os benefícios de um programa de segurança bem alinhado ao negócio. Para gerar esse planejamento estratégico, as empresas precisam detectar e resolver problemas, eliminar a redundância para dar maior suporte à conquista dos objetivos e ter um departamento de segurança integrado a todas as aplicações, dados, processos e fluxos de trabalho. Quando o departamento de segurança é isolado da empresa, o time não consegue ter a visibilidade necessária do ambiente e do negócio.

A visibilidade é essencial para que as empresas identifiquem dados, processos e sistemas críticos e avaliem riscos para determinar quais são aceitáveis e quais ativos devem receber proteção constante.

O investimento de tempo e de recursos na criação de uma estratégia de segurança é cada vez mais necessário para vencer o desafio do alinhamento da segurança ao negócio.