Departamento de segurança da informação deve ser independente

ameaças, analytics, Segurança da Informação, TI

O estudo 2015 Global Study on IT Security Spending & Investments, do Instituto Ponemon, mostrou que apenas 19% dos entrevistados disseram que os líderes de segurança têm controle de como os recursos serão alocados pelo departamento de segurança da informação. Isso acontece porque, na maioria das vezes, o budget fica nas mãos do CIO ou dos líderes de negócio, com o departamento de segurança da informação geralmente submetido à TI.

Essa associação pode parecer natural ao considerarmos que softwares como antivírus, firewalls e proxies são ferramentas de proteção da rede, algo pelo qual a TI é responsável por adotar e implementar. Como a TI também tem um papel importante na segurança da rede, o relacionamento entre o departamento de segurança da informação e de TI certamente deve ser forte.

Porém, o departamento de segurança da informação contribui com a proteção da rede com conhecimentos únicos de ameaças, analytics, gestão de riscos e proteção da privacidade, algo que é feito de maneira separada da TI, tanto em termos de adequação quanto em termos de objetividade.

Continue acompanhando o post e descubra mais razões para defender a independência do departamento de segurança da informação:

Novas defesas para novas ameaças

Os riscos que as empresas enfrentam se multiplicaram nos últimos anos e os cibercriminosos estão avançando rapidamente no estabelecimento de novos alvos por meio de exploit kits e dados que podem ser comprados facilmente no mercado negro.

Os hackers também estão aumentando seu nível de sucesso por meio de técnicas como engenharia social, por meio de e-mails de phishing cada vez mais convincentes e ações maliciosas para fisgar usuários em redes sociais como Facebook e LinkedIn.

Diante desse cenário, a segurança do perímetro não é mais suficiente para evitar prejuízos relacionados aos ataques cibernéticos, especialmente quando funcionários pouco treinados permitem que malwares invadam a rede clicando em links maliciosos ou baixando anexos infectados.

Hoje as defesas da rede precisam cobrir, além do perímetro, os endpoints, o controle de acesso físico e os dados que trafegam na rede. Ao mesmo tempo, é preciso monitorar a rede em busca de atividades suspeitas de invasores ou dos próprios funcionários.

Para construir uma estratégia de segurança efetiva atualmente é preciso considerar as diferenças entre o departamento de segurança da informação e o de TI em seus objetivos e abordagens.

Entenda os objetivos da TI e do departamento de segurança da informação

As missões da TI e do departamento de segurança da informação são bem diferentes. O foco da TI é a funcionalidade. Ou seja, o principal objetivo dos profissionais de TI é encontrar e implantar plataformas de tecnologia e outras ferramentas para melhorar a comunicação e a execução de processos de negócio.

O departamento de segurança da informação, por outro lado, é gerir essas tecnologias dando prioridade à proteção da privacidade dos dados, algo que pode acabar dificultando diversas ações da TI.

Estimule o trabalho em parceria

As missões do departamento de segurança da informação e da TI não são as mesmas e, consequentemente, as métricas para medir a eficiência do trabalho de cada área também não são.

A TI geralmente é premiada por sua rapidez no suporte ao cliente e no avanço na implantação de tecnologias que vão dar mais eficiência ao negócio. Se esses mesmos profissionais se preocuparem em aumentar a segurança da informação, o desempenho da TI sofrerá o impacto.

Por isso, o ideal é que ambos os times sejam capazes de atuar de maneira independente, porém, em parceria. É importante que o relacionamento entre a TI e o departamento de segurança da informação seja bom, pois os dois times deverão trabalhar juntos em vários projetos.

Os profissionais de TI precisam estar atentos aos avanços da tecnologia para identificar possíveis fraquezas e estabelecer políticas e protocolos. Da mesma maneira, é essencial que a TI se preocupe em identificar ferramentas compatíveis que se adequem às regras de segurança.

O iBLISS SDLC (Metodologia de Desenvolvimento Seguro) permite que as empresas mantenham sua busca por inovação e, ao mesmo tempo, garantam que tudo está sob controle e respeitando as regras de segurança, defendendo a adoção da segurança desde o início.