Dez fundamentos para criar um programa de segurança da informação eficaz

Os dias em que a segurança da informação era apenas um problema de TI se foram. Os custos crescentes das violações de dados e a escalada das ameaças têm forçado empresas a reconhecerem que o avanço do cibercrime deve ser tratado como parte de uma questão mais ampla de gestão para mitigar riscos à organização.

A Robert Half realizou uma pesquisa junto a 100 CIOs brasileiros e identificou que os três principais receios apontados por esses executivos tocam os temas fraudes, extorsão e roubos de dados virtuais (73%), espionagem e ransomware (53%) e uso abusivo dos dados (52%).

Dentre as ações citadas para aumentar barreiras de proteção em suas companhias, 74% dos entrevistados pretendem implantar recursos de autenticação e autorização para conceder acesso à rede corporativa, 55% irão recorrer a assinatura de uma política de uso para manter as informações da empresa protegidas, e 53% implantarão tecnologia de gestão de dispositivos móveis para reforçar a proteção.

Além disso, 47% afirmaram que pretendem capacitar funcionários sobre manutenção de segurança ao utilizar dispositivos pessoais e 25% quer proibir de acesso aos dados corporativos nos dispositivos particulares.

Contratação

Em razão da maior preocupação com questões de segurança, incluindo mobile, aplicações e análise de big data, algumas áreas têm demandado mais profissionais qualificados, com conhecimento em prevenção, controle, identificação e proteção de ameaças.

Nesse sentido, o estudo identificou que 93% dos líderes de tecnologia acreditam que enfrentarão mais ameaças nos próximos cinco anos por falta de profissionais qualificados em segurança da informação.

Para tentar conter esse cenário adverso, nos próximos doze meses, 42% dos CIOs pretendem expandir as contratações de profissionais focados em rotinas de proteção. Além disso, outros 41% também contratarão, porém apenas preenchendo vagas já existentes. O desafio de encontrar um candidato adequado persiste: 47% dos entrevistados relatam ser difícil encontrar o perfil desejado.

Uma solução adotada pelas empresas para reforçar a equipe de segurança de TI foi a contratação de temporários. A pesquisa revela que 78% dos entrevistados pretendem recrutar esse tipo de mão de obra nos próximos doze meses.

O benefício de ter especialistas rapidamente integrados à equipe gera perspectivas positivas para os profissionais: 34% dos CIOs pretendem aumentar a contratação de temporários nesse período.

“A fim de enfrentar com sucesso uma proliferação de ciberataques, as empresas precisam de talentos de TI qualificados que compreendam o ambiente de ameaça atual e em evolução. Com uma estratégia sólida, as companhias estarão preparadas para o futuro da segurança da informação”, comenta Fernando Mantovani, diretor de operações da Robert Half Brasil.

Insights

A pesquisa citou quatro características essenciais para construir um programa de segurança eficiente.

1. Possuir uma governança com visão ampla. Uma estratégia de segurança de TI tem impacto sobre toda a organização, precisa estar alinhada com os objetivos de negócio e estar em conformidade com a regulamentação.

2. Cobrir toda a cadeia de operações e fornecedores da empresa, incluindo terceiros. O aumento das ameaças obriga as companhias a desenvolverem políticas que também englobem os terceiros.

3. Ter apoio da alta administração. As empresas com engajamento da diretoria executiva são as mais as propensas a ter as melhores práticas.

4. Envolver os funcionários. Os colaboradores precisam estar conscientes das ameaças potenciais de segurança. Oferecer treinamento regular a todo o pessoal sobre as políticas de segurança da informação e práticas empresariais é essencial.

Além disso, de acordo com a Robert Half, os CIOs e os líderes de tecnologia precisam ter em mente seis etapas fundamentais ao desenvolver e implementar um programa de segurança eficaz.

1. Proatividade: desenvolva uma política que irá ajudar sua empresa a prevenir e defender ataques virtuais. Em vez de esperar por uma violação, assuma que isso vai acontecer e aja de acordo. Certifique-se de que a organização tenha as medidas necessárias para responder eficazmente às violações de segurança. Procrastinação não é uma opção.

2. Big Data: utilize os dados disponíveis para identificar quais os riscos iminentes e quais áreas precisam de implementar defesas adicionais. Tenha um plano tático e coloque-o em prática. Existem muitas ferramentas de segurança de TI disponíveis. Por isso, é preciso ter um bom controle para se certificar de que você cobriu todos os possíveis riscos.

3. A segurança da informação como um processo contínuo de toda a empresa: avalie constante e minuciosamente os riscos e ameaças internas e externas, de modo que os processos e sistemas estejam projetados para minimizar e evitar falhas e ataques. Inclua a gestão, a avaliação e o monitoramento dos riscos potenciais de terceiros e fornecedores em sua análise. Suas estratégias de segurança de TI precisam evoluir continuamente.

4. Habilidades necessárias: a fim de garantir a habilidade necessária, crie um banco de talentos, invista nos seus profissionais de TI interno por meio de treinamentos ou contratando integrantes para a equipe. Considere também a opção de usar profissionais temporários de TI ou uma consultoria externa.

5. Envolvimento de todos: faça com que todos na empresa estejam conscientes dos riscos associados ao e-mail, às mídias sociais e às informações confidenciais. Não é somente a gerência executiva que precisa saber dos riscos de segurança; um conhecimento básico em toda a organização é fundamental.

6. Ofereça treinamentos: vá além do e-mail obrigatório, informando sobre os riscos. Incentive a realização regular de treinamentos para o pessoal sobre as políticas de segurança da informação e as práticas corporativas.