Deming na Segurança da Informação

Na realidade, atualmente as organizações têm muitas outras coisas para fazer do que praticar a segurança. As empresas existem para ganhar dinheiro.

A maioria das organizações sem fins lucrativos existem para oferecer algum tipo de serviço, como em instituições de caridade, centros educacionais e entidades religiosas. Nenhum deles existe especificamente para implantar e manter firewalls, sistemas de detecção de invasão, tecnologias de gerenciamento de identidade e dispositivos de criptografia.

Nenhuma empresa realmente quer desenvolver centenas de políticas de segurança, implantar produtos antimalware, manter sistemas de gerenciamento de vulnerabilidades, atualizar constantemente seus recursos de resposta a incidentes e cumprir as regras de segurança (SOX, GLBA, PCI-DSS, HIPAA) e leis federais e estaduais.

Os proprietários de empresas gostariam de poder fazer seus negócios, vender seus produtos e ir para casa. Mas esses dias mais simples desapareceram. Agora, as organizações enfrentam invasores que desejam roubar dados de clientes das empresas para realizar fraudes de identidade e bancárias.

Os segredos da empresa estão sendo roubados por entidades internas e externas para fins de espionagem econômica. Os sistemas estão sendo sequestrados e usados ​​em botnets para atacar outras organizações ou espalhar spam. Os fundos da empresa estão sendo desviados secretamente por meio de métodos digitais complexos e difíceis de identificar, geralmente por organizações criminosas em diferentes países. E as organizações que se encontram na mira dos invasores podem ser atacadas constantemente, deixando seus sistemas e sites offline por horas ou dias.

As empresas são obrigadas a praticar uma ampla variedade de disciplinas de segurança hoje para manter sua participação de mercado, proteger seus clientes e seus resultados, ficar fora da cadeia e ainda vender seus produtos e serviços. Poucas empresas percebem que hoje em dia a segurança deve ser praticada de maneira holística. Cada organização deve desenvolver um programa de segurança para toda a empresa que consista em tecnologias, procedimentos e processos.

Quase todas as organizações se esforçam para avaliar os riscos que a empresa enfrenta e como alocar recursos e recursos adequadamente para mitigar esses riscos. Mas poucas realmente sabem como proceder, acompanhar, e validar se foi efetivo. Muitos dos programas de segurança atualmente em vigor podem ser considerados desequilibrados ou irregulares.

Os programas de segurança se destacam nas disciplinas com as quais a equipe está mais familiarizada, e as outras disciplinas são encontradas em falta. É responsabilidade de todos atualmente, nos preocuparmos com segurança, ela está presente em nosso dia a dia.

Pensemos no seguinte, antigamente com as linhas de montagem da Ford, apenas os lideres poderiam para a linha de produção. Mais tarde por volta de 1947, Edwards Deming que era estatístico de formação envolveu-se profundamente no Japão no esforço de reconstrução do país e acabou ensinando a centenas de engenheiros, gerentes e acadêmicos sobre como melhorar a produtividade. Mas o que isso tem a ver com segurança ? Tem a ver que de acordo com Deming, o controle de qualidade era responsabilidade de todos. Todos poderiam parar a linha de produção. E porque não aplicar isso a segurança da informação nas empresas ?

A essência é a seguinte:

a responsabilidade para encontrar e corrigir, bem como sugerir problemas deve estar com todos os funcionários. Do mais alto escalão, ao mais simples analista ou estagiário. Qualquer um que suspeite, ou identifique problemas de segurança nos processos da empresa, deve ser encorajado a abrir um incidente de segurança, de melhoria, ou simplesmente registrar por e-mail aos responsáveis.

Essa é a unica e melhor forma de conscientização.