As pressões sofridas pelas organizações em relação às questões de “compliance” (cumprimento de normas legais e regras estabelecidas para cada segmento de mercado) têm historicamente servido como pano de fundo para elevar os orçamentos dedicados à segurança da informação. Contudo, elas também representam a fonte de muitos dos riscos a que as empresas se expõem.
No ímpeto de cumprir todos os requisitos no prazo estabelecido, muitas organizações tomam decisões precipitadas e, por isso, cometem falhas que podem comprometer seriamente as políticas corporativas de protecção dos dados.
É aconselhável que os CIOs estejam atentos aos erros mais comuns quando investem na “compliance” e criem mecanismos para os evitar.
Erro 1 – Arruinar a autenticação por meio de múltiplos factores
Para estar de acordo com as normas do segmento no qual actuam, muitas organizações trocam as suas políticas de acesso e gestão de identidades do modelo de senha e “login” para um padrão de múltiplos dispositivos – os quais incluem “tokens”, biometria ou tabela de números, entre outros.
Essas iniciativas têm muito sucesso quando implementadas de forma segmentada e com prazos para testes. Porém, na corrida para alcançar as datas determinadas e estar em conformidade com as normas, muitos gestores pulam etapas de desenvolvimento e, em vez de corrigirem as falhas, acabam por abrir excepções a colaboradores quando se esquecem de levar o “token” para a empresa, por exemplo.
O problema é que quando existe uma excepção a uma regra, ela deixa de ser respeitada como antes e os funcionários, nesse caso, deixam de levar os seus dispositivos para o trabalho e passam a aceder ao sistema por um “modo excepcional”. Assim, mesmo depois de se terem investido milhões num projecto, a organização passa a desrespeitar as regras após a avaliação pelos órgãos reguladores. E, consequentemente, os ambientes corporativos ficam mais vulneráveis a ataques, desvios de dados e outros incidentes.
Erro 2 – Falhas na identificação das próprias necessidades
Organizações pressionadas por prazos de “compliance” tornam-se tão ávidas pelo cumprimento dos requisitos que procuram fornecedores de tecnologia sem entenderem realmente quais são as suas necessidades. O gestor de riscos e director da consultora norte-americana de segurança Brookhaver Advisory Services, Jonathan Tranfield, afirma que se cansou de ver empresas nessas situações.
“Já vi os CSO de grandes empresas a adquirir ferramentas e a passarem ao fornecedor a responsabilidade de se adequar às regras”, diz, que conclui: “no entanto, essa é uma tarefa do gestor interno de tecnologia e segurança, o qual deve chegar ao parceiro já sabendo do que precisa”.
Erro 3 – Extremismo irresponsável
A apreensão de não atingir o nível de segurança e estar em conformidade com os regimes e leis do sector levam muitos gestores de tecnologia e segurança a tomarem decisões radicais, sem avaliar o impacto dessas iniciativas no dia a dia dos utilizadores.
Um bom exemplo é quando, na tentativa de evitar o desvio de dados por meio de dispositivos USB, as empresas bloqueiam todas as portas nas máquinas dos funcionários. “Além de não funcionar, porque o colaborador de má intenção pode simplesmente imprimir os dados que quiser roubar, essas práticas atrapalham a rotina das pessoas que realmente precisam dessa tecnologia para alcançar uma melhor performance”, afirma o director de segurança de informação da HedgeServ, Jeffrey Barto.
Erro 4 – Avaliação ineficaz dos dados
De nada adianta capturar todos os e-mails e dados comunicados pelos funcionários para descobrir onde podem estar os riscos. Segundo Barto, sem um sistema de “intelligence” é impossível alcançar o cumprimento das regras.
Segundo ele, nessas situações, os CSOs devem ter muito bem articulados e mapeados os dados da organização. Assim, quando chegar o momento de pensar em “compliance”, o único desafio será o de reforçar as políticas de segurança, de acordo com os requisitos legais e regulatórios.
