A SI como ferramenta propulsora do negócio.

A SI como ferramenta propulsora do negócio.

Olá rapaziada do ESSecurity.

Diferente de todos os meus posts, hoje escolhi falar da Segurança da Informação (SI), porém desta vez, como ferramenta propulsora do negócio. Como as boas práticas, políticas e ferramentas podem acelerar e potencializar a sua empresa ou a empresa que você presta serviço, de uma forma totalmente diferente do que você pensava.

Mais como assim eu pensava Douglas? (você deve estar se perguntando). Eu te digo, que é exatamente a partir disso, que se surge a discursão.

O que temos hoje é um cenário corporativo totalmente vulnerável e entregue de corpo e alma a simples notificações automáticas, em que insistentemente ficam te dizendo que está tudo bem, pois suas atualizações foram feitas com sucesso e seu computador está livre de ameaças, ou melhor. Na realidade, o sentimento se resume em um ícone no canto direito da tela do lado do relógio do seu computador (caso Windows), na cor verde (não pode ficar vermelho nem laranja).

Sinto muito em dizer, que se você pensa que só porque sabe implementar um Firewall filtrando e bloqueando todas as portas, conteúdos, relatórios de consumo e uso, DNS, Proxy, HTTPS, IPS, IDS. É certificado e detém todos os conhecimentos necessários afim de se implementar uma rede baseada nos pilares da SI, ou seja: Confiável, disponível, autêntica, integra e auditada. Com especialização nas principais ferramentas de gerenciamento e padrões requeridos do mercado. Queria lhe dizer que mesmo parecendo ser você, o profissional de TI dos sonhos de uma cuja empresa, o último biscoito do pacote. Ainda lhe falta o essencial, o mais aguardado, o que realmente meche com o sentimento do CEO (Chief Executive Officer).

Saber da importância, e de como o alinhamento da TI ao Negócio poderá fazer com que a SI torne-se uma ferramenta propulsora do negócio.

Na década de 90 até neste determinado segundo em que lhes falo, surgiu um termo chamado “Desconexão” entre a área de TI -Tecnologia da Informação e as outras áreas usuárias, principalmente no diálogo com o CEO, onde o problema se agravava na dificuldade de entendimento entre estes, o que fez como que a Segurança da Informação ficasse ainda mais desnecessária.

Mais técnico e sem muitos conhecimentos de administração alguns CIOs – Chief Information Officer, com foco maior na tecnologia, possuíam poucos conhecimentos sobre as informações que circulavam na empresa. Não totalmente por culpa deles, posto que existiam poucos cursos de MBA que pudessem complementar sua formação, advinda de cursos como os de ciência da computação, análise de sistemas e até engenharia. Da mesma forma, o CEO não tinha condições, nem muito interesse, em fazer cursos técnicos para entender melhor o que se passava nos CPD´s e nas cabeças dos CIOs. Como exemplo atual, médicos já fazem cursos de MBA para conseguirem gerenciar hospitais, uma facilidade não encontrada outrora.

Além destas novas oportunidades de aprendizado, a TI ficou mais soft, mais fácil, e esta desconexão vem diminuindo, não a ponto de satisfazer a dificuldade ainda presente. A SI se mantém como um corpo estranho em diversas empresas, talvez por descaso dos próprios CEO´s que entregam o comando da área a gerentes ainda técnicos, atuando de forma muito operacional, sem visão de negócios, onde falta o skill de líder, empresário, administrador. Muitas vezes o próprio gerente tem medo do seu conhecimento avançado em SI, confundindo-se com uma pessoa perigosa para sua rede (cracker, um hacker do mal). Isso abava potenciais técnicos existentes.

O alinhamento entre SI e negócios se faz necessário para que a tecnologia não seja implantada meramente por ser nova, ou mais segura, ou o padrão a ser seguido pelos grandes players, mas pelos resultados que podem ser obtidos com ela, se entregam valor para o negócio e se estão alinhados com o que a empresa precisa para atender seus clientes e/ou competir. Em algumas empresas a SI pode até ser a base para a formação da estratégia, mas na grande maioria das organizações ela apenas suporta as estratégias de negócios.

Uma visão mais ampla da SI vem sendo requisitada por diversas áreas dentro das organizações, que pedem uma “postura proativa”. Existe carência, nos dias atuais, de gestores de TI que realmente apoiem a área de SI, levando inovações que gerem valor em um modelo de PARCERIA entre a TI e as outras áreas. Em uma grande maioria de empresas a TI é a vilã por demorar na entrega, bloquear sites, impedir acessos, limitar e por dizer NÃO a uma necessidade do usuário, enfim, adotam uma postura reativa de tentar fazer o que podem com os recursos disponibilizados e, sem conseguir explicar mais investimentos, recorrem às suas limitações. Ocorre que o mercado é muito dinâmico e competitivo, exige novidades, exige mudanças frequentes, e a SI pode se assemelhar, se mal planejada, a um enorme navio onde não se muda de rota tão facilmente, e pode afundar a qualquer momento. Atenção para esta comparação. Você só embarca em um navio (compra um produto ou serviço), se o navio for seguro, e não apresentar indícios que poderá em determinado momento afundar (Empresa vulnerável, Site invadido e etc). A idéia do navio não afundar gera valor e atrai cada vez mais passageiros, aumentando ainda mais o lucro.

Algumas metodologias como a Política de Segurança da Informação (PSI), busca uma padronização na postura entre SI e negócio, através de uma visão top-down, orientada do negócio para a SI, mas implantá-la não é de uma hora para outra, e demanda maturidade das empresas fornecedoras.

O PSI é uma ferramenta que busca o alinhamento da SI ao negócio da empresa. Como parte de uma estratégia de alinhamento, não resolve por si só, mas sem ela o caminho é mais árduo. Porém, nem toda empresa possui um planejamento estratégico empresarial (PE) formal, existem estratégias emergentes, não documentadas, mudanças de rota, fatores estes que podem ser usados como desculpa para não se trabalhar sobre um documento ou plano formal. Mera desculpa, as estratégias estão lá, basta buscar, documentar e alinhar.

Alguns fatores contribuem para este caminho, dentre eles cito alguns de extrema importância que se somam aos aspectos já abordados neste artigo: Que as áreas entendam a SI, assim como esta deve entender o negócio; que exista uma estratégia formal para identificação do portfólio de projetos de SI; que a análise de negócios seja implantada, eliminado as distâncias; que o discurso do CIO mude, se aproximando ao do negócio e seja menos técnico, voltado a benefícios e não a atributos da tecnologia; que o alinhamento seja dinâmico; que o PE e o PSI se façam presentes; que o CIO esteja presente nas reuniões de estratégia; que as boas práticas e modelos de maturidade sejam perseguidos; que se faça benchmarking com empresas concorrentes de mesmo porte; enfim, não buscamos esgotar todos os caminhos, mas que seja o pontapé inicial para um futuro alinhado e mais satisfatório.