Aqui vai um terceiro texto sobre Segurança da Informação, agora com um olhar mais estratégico e voltado para gestão de riscos, conformidade e o papel da liderança:
Título: Gestão de Riscos e Governança em Segurança da Informação: O Papel da Liderança na Proteção dos Ativos Digitais
A Mudança de Paradigma: De TI para o Negócio
Durante décadas, a segurança da informação foi tratada como um problema técnico, restrito às salas de servidores e aos times de infraestrutura. Firewalls, antivírus e backups eram vistos como "custos necessários", mas raramente discutidos nas reuniões da diretoria.
Esse tempo acabou.
Com a digitalização completa dos negócios, a segurança tornou-se uma questão estratégica de sobrevivência. Um vazamento de dados pode:
Custar milhões em multas (LGPD, GDPR)
Derreter o valor de mercado da empresa
Encerrar operações por dias ou semanas (ransomware)
Destruir a confiança do cliente para sempre
Hoje, gestores e líderes precisam entender segurança não como um detalhe técnico, mas como gestão de riscos de negócio.
O Que é Gestão de Riscos em Segurança da Informação?
Risco é a combinação de três elementos:
Risco = Probabilidade de ocorrência × Impacto estimado
Nem tudo pode (ou deve) ser protegido com o mesmo nível de esforço. Gestão de riscos significa responder a três perguntas fundamentais:
O que temos de valioso? (Ativos de informação)
O que pode dar errado? (Ameaças e vulnerabilidades)
O que estamos dispostos a perder? (Apetite a risco)
Com base nas respostas, a organização pode decidir por uma de quatro estratégias:
| Estratégia | O que significa | Exemplo |
|---|---|---|
| Mitigar | Reduzir o risco com controles | Implementar MFA e criptografia |
| Transferir | Passar o risco para terceiros | Contratar seguro cibernético |
| Aceitar | Conviver com o risco (se custo do controle for maior que o dano potencial) | Aceitar que um sistema interno de baixa criticidade pode ficar sem backup diário |
| Evitar | Eliminar a atividade que gera risco | Decidir não armazenar dados de cartão de crédito, terceirizando o pagamento |
Uma boa governança de segurança não busca "risco zero" (impossível e caro demais). Busca risco controlado e alinhado à estratégia do negócio.
Governança de Segurança: Quem Decide o Quê?
Governança é diferente de gestão. Enquanto a gestão opera o dia a dia, a governança define as regras do jogo.
Uma estrutura típica de governança inclui:
Nível Estratégico (Conselho, Diretoria)
Define apetite a risco e orçamento
Aprova políticas macro (ex: aceitação de riscos residuais)
Nomeia responsáveis (CISO, DPO)
Nível Tático (Gerências, Comitês)
Traduz políticas em processos e padrões
Prioriza investimentos em segurança
Aprova exceções e monitora indicadores
Nível Operacional (Times técnicos, usuários)
Executa controles (firewall, backup, patches)
Reporta incidentes e não conformidades
Segue procedimentos no dia a dia
Sem essa separação clara, a segurança vira um "ninguém decidiu" ou "todo mundo achava que era responsabilidade do outro".
Compliance: A Lei Não é Opcional
Nos últimos anos, legislações transformaram boas práticas em obrigações legais:
LGPD (Lei Geral de Proteção de Dados - Brasil)
Qualquer empresa que trate dados de brasileiros (pessoas físicas) precisa cumprir.
Obriga: transparência, consentimento, segurança técnica, notificação de vazamentos em até 48h.
Multas: até 2% do faturamento (limitado a R$ 50 milhões por infração).
GDPR (Europa)
Similar à LGPD, mas com multas ainda mais altas (até € 20 milhões ou 4% do faturamento global).
ISO 27001 (Certificação internacional)
Não é lei, mas muitas licitações e contratos exigem.
Define requisitos para um Sistema de Gestão de Segurança da Informação (SGSI).
Exige auditoria externa periódica.
Lei de Cibersegurança (em discussão no Brasil)
Deve criar regras específicas para setores críticos (energia, saúde, financeiro) e obrigar notificação de incidentes a órgãos reguladores.
Para o gestor, ignorar compliance não é uma opção. É questão de sobrevivência jurídica e financeira.
O Papel do CISO (Chief Information Security Officer)
O CISO é o executivo responsável pela estratégia de segurança da informação. Mas atenção: o CISO não é o dono da segurança. A segurança é responsabilidade de toda a liderança. O CISO é o especialista que assessora, implementa e monitora.
Principais funções do CISO:
Traduzir riscos técnicos em linguagem de negócio (não adianta falar em "buffer overflow" para o CFO; fale em "risco de paralisação operacional")
Reportar ao board indicadores claros (ex: número de incidentes, tempo de resposta, gap de conformidade)
Construir um programa de segurança baseado em riscos, não em medo ou modismos
Gerenciar crises quando o inevitável acontecer
Indicadores Estratégicos para a Liderança
O que o conselho e a diretoria precisam acompanhar?
Indicadores de Eficácia (quão protegidos estamos?)
% de sistemas críticos com MFA ativada
% de colaboradores treinados nos últimos 12 meses
Tempo médio de aplicação de patch crítico
Indicadores de Maturidade
Nível da empresa na escala NIST (1 a 5)
Resultado de testes de penetração (pentests) recentes
Quantas recomendações de auditoria estão abertas há mais de 90 dias?
Indicadores de Incidentes
Número de incidentes por mês (classificados por severidade)
MTTD e MTTR (já mencionados)
Custo médio por incidente (incluindo horas de equipe, multas, perda de produtividade)
Indicadores de Investimento
Orçamento de segurança como % do orçamento total de TI (referência de mercado: 5% a 10%)
Retorno sobre investimento em segurança (ex: quanto uma simulação de phishing economizou ao evitar um ransomware real)
O Plano de Continuidade de Negócios (BCP) e Recuperação de Desastres (DRP)
Segurança não é só impedir ataques. É também garantir que o negócio funcione quando algo der errado.
BCP (Business Continuity Plan): Como manter as operações essenciais durante uma crise (ex: um ransomware criptografou tudo; como continuar atendendo clientes?)
DRP (Disaster Recovery Plan): Como recuperar sistemas e dados após um desastre (ex: restaurar servidores a partir de backups imunes)
A liderança deve responder:
Qual o RTO (Recovery Time Objective) – quanto tempo podemos ficar sem cada sistema?
Qual o RPO (Recovery Point Objective) – quantos dados podemos perder (ex: 1 hora, 1 dia)?
Esses objetivos são testados pelo menos uma vez por ano?
Cultura de Segurança: O Exemplo Vem de Cima
A maior vulnerabilidade de qualquer organização não está nos firewalls – está entre o teclado e a cadeira. Mas mudar comportamento exige exemplo da liderança.
O CEO usa MFA no seu e-mail? Se não, ninguém vai levar a sério.
A diretoria faz treinamento de segurança todo ano? Se pula, os funcionários também pularão.
Quando alguém reporta um quase-erro (ex: quase clicou em phishing), é celebrado ou punido?
Segurança não é sobre criar medo. É sobre criar responsabilidade compartilhada.
Conclusão: O Preço da Negligência é Maior que o Custo da Prevenção
Empresas que tratam segurança da informação como despesa estão fadadas a pagar muito mais caro depois. Os números não mentem:
Custo médio global de um vazamento de dados em 2024: US$ 4,88 milhões (IBM)
Tempo médio para identificar e conter um vazamento: 204 dias
60% das pequenas empresas que sofrem um ataque cibernético grave fecham as portas em até 6 meses
Por outro lado, empresas maduras em segurança:
Têm prêmios de seguro cibernético mais baixos
Perdem menos clientes após incidentes (porque respondem melhor)
Se recuperam mais rápido (dias, não semanas)
Segurança da informação não é um projeto com data de fim. É um processo contínuo de melhoria, liderado de cima para baixo, integrado à estratégia do negócio.
O conselho pergunta ao CISO: "Quanto estamos gastando em segurança?"
O conselho deveria perguntar: "Quanto estamos dispostos a perder se não investirmos adequadamente?"
Resumo para Líderes (Checklist de 5 pontos)
☐ Definimos nosso apetite a risco formalmente?
☐ Alguém no nível de diretoria é responsável por segurança (CISO ou equivalente)?
☐ Cumprimos LGPD e outras leis aplicáveis?
☐ Testamos nosso plano de recuperação de desastres nos últimos 12 meses?
☐ A liderança dá o exemplo em comportamentos seguros?
Se a resposta para qualquer dessas perguntas for "não" ou "não tenho certeza", há trabalho a fazer.
Nenhum comentário:
Postar um comentário