Deixe de ser reativo na gestão da segurança de TI | Pág. 2

Para os iniciantes, é importante saber quando comunicar um risco, a fim de entender o público e o enfoque. “Aprendi o modo difícil que resulta no desperdício de esforços direcionados aos aspectos de risco quando percebi que desenvolver projetos de TI em uma companhia que não tem métodos de segurança é uma iniciativa ruim”, declara Mike Murray, da área indústria de serviços financeiros.

 A terminologia é importante e, historicamente, a TI não tem realizado o melhor trabalho possível nesse setor. Por exemplo, para a TI, a palavra “ativo” pode significar qualquer coisa, desde um item físico (como um drive de USB), um sistema (de registro de pedidos) até conjuntos de dados. Preencher essa lacuna é fundamental para que se tenha discussões produtivas sobre riscos. As equipes progressivas de TI e de segurança têm realizado esses mapeamentos e – provavelmente, tão importante – comunicado as suas correlações.

Os termos “vulnerabilidade” e “ameaça” também são muito importantes para o processo e, freqüentemente, são confundidos. Utilizando uma definição imprecisa, a vulnerabilidade é um estado ou defeito de um ativo, que pode ser explorada para criar perdas ou danos; já a ameaça é uma entidade ou ação que pode causar perdas ou danos.

O que pode acontecer

Identificar ativos, vulnerabilidades e ameaças nos leva ao infame estágio da probabilidade. Infelizmente, esta é outra área na qual o gerenciamento de riscos de TI precisa de aperfeiçoamento. Deixando de lado os princípios básicos do gerenciamento de riscos, eis em que aspecto reside o verdadeiro avanço: aprender a deixar mais “a situação caminhar por si só”. Quando se conversa com os tradicionalistas do setor de segurança da informação, o pensamento que vem à mente depois de “risco identificado”, geralmente, é “mitigar”, sendo que o conceito de “transferência de riscos” raramente é considerado e que a “aceitação de riscos” é freqüentemente muito contestada.

A aceitação, por outro lado, é algo que certamente compreendemos e efetuamos freqüentemente, embora, geralmente, apenas nas áreas consideradas como sendo de baixo risco. Mas será que a aceitação deveria ocorrer com maior freqüência? Aceitamos riscos suficientemente e nas áreas certas?

Colocadas no contexto das iniciativas táticas de segurança, será que as falhas na prevenção de worms e vírus são mais importantes do que a necessidade de criptografar informações pessoalmente identificáveis? Se considerarmos a opção entre proteger tudo inadequadamente e proteger efetivamente uma parte dos ativos, o que a TI deveria escolher? A história sugere que preferimos a primeira opção; mas a segunda alternativa pode resultar no melhor caminho a seguir.

* Greg Shipley é diretor de

InformationWeek EUA.

Página | 1 | 2 | 3 | 4 | 5 |