Gestor da Segurança da Informação

O site NextGenerationCenter (www.nextg.com.br) criado pela Intel oferece vários cursos online. Na última semana foi disponibilizado um curso de Segurança II que aborda o Gestor de Segurança da Informação. Achei interessante o conteúdo e resolvi postar aqui para leitura para aqueles que almejam se tornar um CSO (Chief Security Officer).


A figura do Chief Security Officer (CSO)

Todas as mudanças importantes ocorridas em Segurança da Informação precisavam de um novo profissional. O gestor de tecnologia não tinha condições, muito menos tempo para assumir toda essa área que se constituía com velocidade impressionante. A resposta foi a criação de uma nova função dentro da companhia que, de maneira semelhante ao que aconteceu com as finanças sob o comando do Chief Financial Officer, organizasse e coordenasse as iniciativas em Segurança da Informação em busca da eficiência e eficácia no tema. Esse foi o berço do CSO.

Com a idéia consolidada de que segurança é muito mais do que tecnologias, o passo seguinte foi definir um profissional que pudesse abranger essa alteração de conceito. A relação com questões psicológicas, legais e físicas exige atenção dedicada e uma formação mais abrangente, ainda mais pelo fato de a Segurança da Informação estar ligada diretamente ao planejamento estratégico da companhia e, como não poderia deixar de ser, aos resultados dos negócios.

Apenas alguém que tenha grande conhecimento tanto em negócios quanto em segurança pode desenhar a estratégia de Segurança da Informação de maneira competente, implementando políticas e escolhendo as medidas apropriadas para as necessidades de negócios, sem impactar na produtividade.

O cargo de CSO existe há menos de cinco anos no organograma das empresas. Talvez por esse motivo, seu escopo de atuação, qualificações e as áreas as quais se reporta variam imensamente de corporação para corporação. Ainda que a contratação de gestores de segurança esteja sendo uma constante no mercado de grandes companhias, há pouco entendimento sobre a natureza do seu cargo.

A mudança na arquitetura corporativa e o aumento na prioridade para Segurança da Informação transformaram e valorizaram a existência desse profissional emergente. Hoje não faz sentido deixar decisões estratégicas de negócios restritas aos administradores de TI, que não têm condições de avaliar riscos de negócios, não há como deixar de fora o CSO na fase de análise dos riscos de negócios feita pelos decisores da companhia com consultoria dos auditores.

A missão

A tarefa do CSO não é nada fácil. O recém-contratado CSO, ou função equivalente, precisa dirigir as tecnologias, processos e pessoas de maneira harmoniosa com as definições da Política de Segurança Corporativa. Mapear as medidas técnicas de segurança para endereçar as necessidades de negócios, ajudando aos gestores de negócios identificar o que é realmente necessário ao tema é apenas a ponta do iceberg. É preciso também levar para toda a companhia a visão da segurança como preocupação e responsabilidade de todos. Esse é o primeiro passo na tortuosa caminhada do gestor de segurança na corporação.

Depois, a melhor estratégia é aproveitar a estrutura instalada. Avaliar as políticas e processos de segurança existentes para determinar o que está funcionando e o que precisa ser mudado é fundamental. Depois disso, um novo desafio está posto: a comunicação dentro das esferas corporativas. Mais do que as alterações e mudanças, tudo precisa ser explicado claramente para a comunidade, deixando claro o motivo das mudanças estarem ocorrendo e o porquê. Só assim é possível trazer os usuários para o lado da corporação, fazendo parte do exército de defesa e, não mais, de ataque.

Outro passo delicado é avaliar a viabilidade de combinar sobre o mesmo chapéu a Segurança lógica com a física. O isolamento entre essas áreas pode ser fatal para uma companhia no caso de um desastre natural, como o registrado recentemente em Nova Orleans, nos Estados Unidos, ou nos países afetados pelo Tsunami, sem contar com até mesmo uma pane elétrica ou incêndio. Ainda que separadas na atuação, os dois setores precisam se comunicar e trocar idéias constantemente, já que são complementares e têm o mesmo objetivo comum: segurança.

Não desenvolver uma estratégia de proteção de dados coerente e compreensiva é um dos erros mais comuns nas empresas do mundo. Considerando que o conselho vê o gerenciamento de risco como um processo de negócios, fica difícil explicar como essas duas áreas podem existir completamente separadas e, mais ainda, como podem mitigar os riscos combinados.

A urgência para a criação de um escritório de segurança pode ser explicada de diversas maneiras. A mais confiável delas diz respeito à forma como os executivos destinaram, agradecidos, as responsabilidades sobre a segurança exclusivamente para os setores ligados à TI. Foi criada uma divisão que, na parte física, era responsável pela segurança do empregado¸ prevenção aos crimes e danos físicos aos ativos da empresa.

Já na parte lógica, a missão era cuidar do perímetro da rede, gestão de acesso e identidade, controle de invasões por fraudadores virtuais e proteção do site corporativo. Com a visão da segurança como um tema global, que gera valor agregado e é um processo de negócios, essa separação se mostra inútil. Casos de espionagem industrial ou terrorismo cibernético dão mostras claras de como as ilhas isoladas são prejudiciais para a corporação.

Responsabilidades

Resumidamente, é possível definir algumas metas gerais para os gestores de segurança. Desenvolver e implementar políticas, padrões e guias gerais para o pessoal, para a segurança de dados, recuperação de desastre e continuidade de negócios; Supervisionar o contínuo monitoramento e proteção da infra-estrutura, os recursos necessários de processos que envolvam pessoas ou dados; Avaliar possíveis brechas de segurança e recomendar as correções necessárias; Negociar e gerenciar service-level agreements (SLAs) com fornecedores externos de serviços de proteção ou hospedagem de dados.

A quem o CSO está submetido? Em alguns casos, ele pode se reportar ao gestor de tecnologias, fato que é bem comum em médias empresas. Em corporações globais, a figura do gestor de segurança está normalmente sob as ordens do CFO (Chief Financial Officer) ou outros executivos de negócios, como o COO (Chief Operation Officer), já que não existe tolerância sobre os riscos de negócios. Adicionalmente, o gestor de segurança pode participar do conselho executivo da empresa, auxiliando na tomada das decisões, além de ser o responsável pela interface entre a corporação e o pessoal de segurança da empresa.

Mesmo assim, não existe uma tendência clara sobre quando a companhia deve colocar o CSO sob os domínios da TI. Não raro se encontra profissionais com título de gerentes de segurança, mas com poderes e responsabilidades de um gestor de nível médio, chegando a responder a pessoas submetidas ao próprio CIO (Chief Information Officer).

Ao contrário do que aconteceu com o setor de auditoria, que abruptamente mostrou a importância da autonomia dentro do organograma corporativo, a segurança está trilhando um caminho muito mais lento. As razões para evitar conflito de interesses ainda não serviram de convencimento completo, mas, apesar da atuação estar imediatamente presa aos computadores, isso não significa que o gestor de segurança deva estar sob o CIO.

Isso se deve ao fato de a relação entre as duas esferas ser, por si só, conflituosa. As áreas possuem inúmeras intersecções e não é difícil imaginar que isso cause problemas. Questões como orçamentos dedicados para o setor geram grandes discussões, assim como os níveis de intervenção permitidos em cada segmento. Além disso, projetos de tecnologia precisam ter a chancela dos dois departamentos e, nesse momento, um veto pode tornar o convívio insuportável.

Qual é a reação da TI quando o CSO questiona a viabilidade da nova solução de VoIP, por exemplo, tendo em vista questões de segurança? Ou vice-e-versa? A única forma de equilibrar essa disputa é colocar o gestor de segurança em plano igual ao CIO, respondendo diretamente ao gerente de operações. Caso contrário, abre-se a possibilidade para uma guerra interna que tem como front a tecnologia.

Para se preparar para essa difícil posição, certas qualificações são exigidas para os CSOs. Ainda que o mercado esteja longe de um consenso de um perfil para esse profissional, alguns pontos fundamentais precisam ser seguidos. Habilidades em questões de segurança física, para participar mais ativamente da integração entre as áreas é importante.

Assim como a familiaridade com a linguagem e os dilemas próprios da TI é um excelente pano de fundo. Experiência prévia em segurança é um destaque, se acompanhada também por conhecimento de negócios, o que leva à atuação do gestor a um equilíbrio entre os dois temas, muitas vezes contraditórios na ação.

A exigência de lidar com pessoas é outro ponto importante. Não é por acaso que algumas empresas estão transformando executivos do setor de Recursos Humanos em gestores de segurança, de tão fundamental é a relação com os usuários. Por isso, facilidade de comunicação é imprescindível para ter a desenvoltura necessária para fazer a interface tanto na esfera de decisão quanto nos diversos setores e níveis culturais dentro da companhia. Ter paciência para explicar, sem se perder em detalhes técnicos desnecessários, definir o papel de cada usuário no contexto global da segurança corporativa se faz necessário, assim como estabelecer formas de retaliação pelas desobediências aos controles internos.

O CSO pode atingir uma atuação bem-sucedida em qualquer corporação se tem capacidade de liderança e de gerenciamento de equipes. O conhecimento claro do escopo e da importância da função também ajuda o dia-a-dia na companhia e o sucesso das iniciativas de segurança administradas pelo CSO.

Ter conhecimentos maduros sobre questões como autenticação, auditoria, preservação da cena do crime real ou virtual, e gerenciamento de risco possuem grande valia para atuação em grandes empresas. E, como não poderia deixar de ser, ter experiência e conhecimento sobre as ferramentas de proteção na era da internet são fundamentais para o bom desempenho da função. Mais do que um técnico, o CSO é definitivamente um gestor de negócios.