Últimas notícias

Fique informado
Segurança da Informação vista dos bastidores – Entrevista

Segurança da Informação vista dos bastidores – Entrevista

29 de junho de 2015

Segurança da Informação – As organizações dependem das informações armazenadas e processadas no ambiente computacional, mas não desenvolvem controles de proteção da informação considerando pessoas, processos e tecnologia.

Fernando Nicolau Freitas Ferreira - Colunista CryptoID

Fernando Nicolau Freitas Ferreira – Colunista CryptoID

E muitos profissionais que ocupam cargos importantes e com o poder de decisão em grandes organizações, ainda pensam a segurança da informação com conceitos ultrapassados. Por isso, convidamos Fernando Ferreira da AuditSafe e colunista do nosso portal para nos ajudar a responder questões importantes sobre o processo de proteção da informação em ambientes eletrônicos e físicos.

CryptoID: Numa avaliação ampla quais são os principais problemas que você encontrou nas empresas em relação à Segurança da Informação?

Fernando Ferreira: Os mais diversos tipos. Desde a falta de controles, por exemplo, o tradicional antivírus, até uma política de segurança básica, falta de controles de acessos adequados.

CryptoID: Diante desses problemas, o que se pode fazer?

Fernando Ferreira: A questão é que neste ambiente não podemos usar o “achômetro”. Precisamos tratar o assunto profissionalmente. Fazer uma adequada gestão de riscos e planejar e priorizar as ações de proteção da informação. A organização precisa ter um processo de proteção da informação funcionando.

CryptoID: Como está o mercado de certificação nas normas internacionais de Segurança da Informação e Riscos, mais especificamente a ISO 27001?

Fernando Ferreira: A AuditSafe tem recebido muitas solicitações sobre o assunto, mas na minha opinião, ainda tem muita empresa que pode adotar estratégias de Segurança da Informação totalmente personalizadas para seu tamanho e orçamento.

CryptoID: As empresas estão buscando orientação de “como” implementar Segurança da Informação?

Fernando Ferreira: Sim. Há muitas dúvidas do que fazer, e na maioria das empresas, a Segurança da Informação ainda é uma das responsabilidades de TI, especificamente, do responsável pela Infraestrutura.

A AuditSafe por ser certificada na norma e, também, pelo fato de ser referenciada pelo BSI para implementar a ISO 27001, é muito procurada para realizar gaps e análises de políticas de segurança, de suas estruturas de TI e SI, realizar programas de conscientização, e também análises de vulnerabilidades / testes de invasão em infra e aplicações. Desenvolvemos um método próprio para isso.

CryptoID: O que se aprende nas universidades não é suficiente pra implementar nas empresas?

Fernando Ferreira: Nas faculdades, a Segurança da Informação é uma das disciplinas do curso de graduação e os alunos tem uma visão muito genérica e rápida do assunto. Entretanto, se o aluno gostou do que foi estudado, minha recomendação é que busque cursos de pós-­graduação  focados  em  Segurança,  desde  os  relacionados  com  a  Gestão  da  SI  até  os cursos mais técnico. A AuditSafe possui um centro de treinamentos com cursos relacionados com SI, riscos, auditoria, Compliance,  e também um portal de ensino à distância http://ead.auditsafe.com.br. 

 Onde se aplica

CryptoID: Aplica-­se em qual tamanho de empresa? Indústria, Varejo e Serviços?

Fernando Ferreira: Todas as organizações podem ter uma proteção compatível com o seu porte e com o seu tipo de negócio. É tão mais barato aprender com o erro dos outros, mas mesmo assim, alguns gestores somente aprendem quando acontece com a sua organização. Sai caro e em algumas vezes, é um impacto terrível.

 Contratação

CryptoID: Quem normalmente patrocina um projeto como esse?

Fernando Ferreira: Geralmente as áreas de TI, apoiadas por alguma diretoria Administrativa, CFO, etc.

CryptoID: Estas soluções são complicadas? Grande Projetos e Grandes Sistemas?

Fernando Ferreira: Muitos gestores desejam implementar Segurança na empresa toda. Em alguns raros casos isso é possível, mas dependendo do porte da organização essa decisão é inviável e quase sempre ineficaz. A ideia é compreender os riscos e definir um escopo inicial para os trabalhos. Tendo a SI implementada, aumentar o escopo gradativamente.

CryptoID: Como se inicia um contrato de implementação de um projeto dessa natureza?

Fernando Ferreira: Basta uma reunião inicial para levantamento de escopo e mapeamento das necessidades do negócio para que possamos medir os esforços necessários para elaboração de uma proposta.

 CryptoID: Quais são as situações de atenção que o empresário deveria ter?

Fernando Ferreira: O empresário, na minha visão, deve considerar os reais benefícios de proteger suas informações internas e as de seus clientes. Deve considerar que ter uma Segurança da Informação madura, e consequentemente certificada, pode trazer novas oportunidades de negócios.

CryptoID: O quanto o empresário economiza em retrabalho? Consegue-­se reverter benefícios aos clientes?

Fernando Ferreira: Sim. Na AuditSafe, certificada na versão mais atual da ISO 27001, conseguimos melhorar diversos processos, convertendo essas ações em melhores honorários para nossos clientes e diminuir custos operacionais.

CryptoID: Tem alguma área da empresa que é contra um projeto dessa natureza?

 Fernando Ferreira: Talvez aqueles profissionais que ainda não enxergam SI como um fator competitivo e diferencial no mercado. Além de não compreenderem os benefícios internos reais que SI possui.

 Realização do Projeto

Fernando Ferreira: De uma forma geral como se faz esse trabalho? Existe um método padrão?

Na verdade, a AuditSafe possui um método próprio para implementação de projetos desse porte, denominado MESI.

CryptoID: Esse projeto onera muito as pessoas da empresa? Qual o perfil necessário dos colaboradores para prover as informações e depois manter a Segurança?

Fernando Ferreira: Inicialmente requer um esforço, mas depois que os processos estão bem definidos e estabelecidos, todas as atividades passam a fazer parte do cotidiano.

CryptoID: Se aplica em empresas com SAP, Oracle, Totvs?

Fernando Ferreira: Sim, e os próprios ERPs podem fazer parte de um projeto grande de certificação. Inclusive, a realização de trabalhos mais direcionados de GRC, ou seja, mapeamento dos processos financeiros, seus riscos, e perfis de acessos conflitantes.

CryptoID: Quanto tempo demora um projeto como esse?

Fernando Ferreira: Depende do escopo e abrangência.

 Sucesso ou Fracasso

CryptoID: Já viu iniciar um projeto desses e a empresa desistir? Quais os motivos e quais foram as consequências?

Fernando Ferreira: Na minha experiência, as empresas que decidem pela Segurança não voltam atrás ou desistem. Sabem da real importância que SI tem e querem maximizar todos os retornos possíveis com o investimento realizado.

Entretanto, um fator que pode contribuir como fracasso é a falta de engajamento dos membros do time responsável. Fator que se aplica em qualquer tipo de projeto.

Os riscos para o sucesso da implementação de um projeto como esse são:

  • Falta de um responsável.
  • Deficiências na comunicação.
  • Falta de um facilitador.
  • Falta de clareza dos objetivos e metas do projeto.
  • Falta de clareza das responsabilidades dos

CryptoID: Quais são os benefícios de um projeto de sucesso?

Fernando Ferreira: Redução gradativa dos riscos, dos incidentes de Segurança e do vazamento de informações. Conhecimento dos tipos de ameaças mais comuns para foco na prevenção para obter o melhor uso dos recursos corporativos em todos os níveis. Maior divulgação e aderência das políticas internas e das boas práticas, incentivando o uso seguro dos ativos de informação. Popularização dos temas de Segurança como parte essencial do negócio. Aderência às melhores práticas internacionais de Segurança, como a família das normas ISO27000, CobiT e ITIL.

CryptoID: As empresas brasileiras têm investido em segurança da informação como deveriam?

Fernando Ferreira: O ambiente computacional está sendo cada vez mais usado, mas as organizações não têm investido em segurança da informação de uma maneira compatível e adequada com seu porte e com seu tipo de negócio. Mas ainda aquém do que vejo como desejado.

* Fernando Nicolau Freitas Ferreira


  • Sócio-fundador e CEO da empresa AuditSafe Auditoria e Consultoria em Riscos Corporativos.

  • Mestre em Engenharia da Computação (foco em Redes e Segurança da Informação) pelo Instituto de Pesquisas Tecnológicas da Universidade de São Paulo Tecnólogo em Processamento de Dados pela Universidade Mackenzie
  • Bacharel em Administração de Empresas pela UniSant’Anna.
  • Membro e Conselheiro Técnico da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia – OAB/SP
  • Membro da Comissão de Gerenciamento de Riscos Corporativos – IBGC
  • Conselheiro Fiscal – Câmara de Comércio Indonésia-Brasil.Fernando foi vencedor do Prêmio de Excelência do Profissional de Segurança da Informação, denominado SECMASTER, na categoria de Melhor Contribuição para o Setor Privado. O concurso foi uma iniciativa do Capítulo Brasileiro da ISSA (Associação dos Profissionais de Segurança da Informação); e foi eleito como um dos 50 profissionais mais influentes na tecnologia de segurança da informação do país, para a 5ª edição do prêmio “A Nata dos Profissionais de Segurança da Informação 2008”.
  • Colunista do CryptoID

CATEGORIAS

Destaques Notícias