Segurança da Informação

O Mito da Segurança nos negócios

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOAQuer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ? 

Organizações que não investem mesmo na segurança de base são realisticamente pouco competitivas

Todos os anos há relatórios e pesquisas que demonstram que a segurança inibe a inovação, a produtividade e geralmente retém as empresas no estágio que estão. A segurança exige que as coisas sejam feitas de uma certa maneira, o que pode funcionar como uma restrição ao querer fazer as coisas de uma maneira diferente. O que eu quero abordar é a noção de que esse é o caso, porque as pessoas de segurança simplesmente não fazem negócios. Na verdade, é o inverso, as empresas não recebem segurança. E esse equívoco é baseado em várias falácias, falsas crenças e mitos.

Segurança como um custo adicional

O primeiro mito é que a segurança é um custo adicional. Não é. A segurança é, em vez disso, um custo inerente ao uso de tecnologias digitais. Qualquer cálculo realista só pode ser feito pesando os dois uns contra os outros, os ganhos de usar tecnologias digitais menos o custo de protegê-los. Somente quando essa soma fica negativa, pode ser considerada uma sobrecarga. A tecnologia digital concedeu enormes ganhos e permitiu ao mundo gerenciar complexidades que seriam impossíveis de lidar de outra maneira.

Este argumento é como afirmar que minimizar as chances de um avião falhar é um custo desnecessário. Os aviões são tubos de metal movidos por motores mecânicos que voam centenas de quilômetros no ar. Cair do céu, é um risco inerente de voar. Mas o benefício de um avião é que ele pode nos levar com segurança para um destino em um tempo muito mais curto do que pegar um navio, dirigir ou caminhar.

Se todo avião caísse, as pessoas encontrariam um método alternativo. Não seria um modo de transporte cotidiano atraente. Há sempre uma pequena probabilidade de que um determinado avião possa falhar, mas essa probabilidade é insignificante (de acordo com as estatísticas, voar é, na verdade, muito mais seguro do que dirigir). Os ganhos de produtividade e economia de tempo, por outro lado, são imediatamente discerníveis, como qualquer um que já navegou da Europa para os EUA pode atestar.

A segurança pode ser realizada após o produto entregue

O segundo mito é que a segurança pode ser atrelada depois de fato entregue. Complicado isso. A segurança deve ser incluída desde o início ou raramente pode ser eficaz. Decisões de design feitas sem levar em consideração a segurança podem tornar a segurança desafiadora ou impossível.

Como exemplo, apesar de décadas de experiências ruins e lições aprendidas de gerações anteriores de tecnologia, como Mainframes e Internet, as práticas recomendadas são regularmente ignoradas quando novas tecnologias são introduzidas. De uma evolução da tecnologia para a seguinte, a expectativa de que a segurança continuará sendo implementada persistirá. A IoT é o exemplo mais recente desse axioma, no qual os fabricantes que estão correndo para o mercado ignoram as boas práticas de segurança, com conseqüências previsíveis.

Em comparação com a percepção de que a segurança inibe a produtividade e a inovação, a realidade é que a segurança ruim tem um impacto negativo muito maior. Não há maior inibidor da inovação do que a falta de confiança em uma tecnologia porque ela foi mal protegida.

Tornando a segurança fácil

O maior mito de todos é que as pessoas de segurança devem facilitar a segurança. Boa segurança não é fácil, e muitos dos desafios e problemas que elas precisam resolver não derivam da área de segurança.

Há discussões em torno de habilitar os negócios com segurança, que são obviamente ridículos. A segurança permite que uma empresa seja segura e nada mais. Isso pode fornecer uma vantagem competitiva em alguns casos, mas em geral tem uma base muito diferente. As pessoas não tentam evitar doenças, lesões e permanecer vivas por uma vantagem competitiva, elas permanecem vivas porque a alternativa é estar morta.

A alternativa à boa segurança está sendo violada com todas as conseqüências associadas: perda de credibilidade, confiança, propriedade intelectual, dinheiro e não cumprimento da regulamentação. Não ser vítima dessas coisas já possibilita o seu negócio crescer.

Organizações que não podem pagar pela segurança de base, incluindo patches, não são realmente competitivas. Até recentemente isso tem sido ignorado, as empresas fugiram deste fator, mas já vemos essa mudança. Pergunte a alguns dos ex-executivos de empresas violadas, se eles pressionariam a equipe de segurança a priorizar novamente a Inovação e a Produtividade sobre a Segurança

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOAQuer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?