Gestão da Segurança da Informação de forma simplificada e eficiente

Gestão da Segurança da Informação de forma simplificada e eficiente

Confira a entrevista com o especialista Antonio Santana, pós-graduado em Gerência e Análise de Sistemas com mais de 20 anos de experiência com passagens por empresas como Sky e Atrium, sendo o fundador e  CEO empresa Tech Seller InfoSW. 

 

O que tem mudado no mercado de Gestão da Segurança da Informação

O Brasil é o maior alvo das organizações criminosas na América Latina, encabeçando o ranking de ataques DDoS com 285.529 registros (39% dos 727.686 de toda a região), segundo Relatório de Inteligência de Ameaças DDoS da Netscout System com dados do segundo semestre de 2022. O Brasil é também líder em golpes de phishing pelo WhatsApp, segundo pesquisa da Kaspersky de 2022.

Esse cenário tem tirado o sono de executivos de negócios de diferentes setores e portes, cada vez mais atentos à necessidade de uma gestão apropriada da segurança da informação em suas empresas.

A Gestão da Segurança da Informação envolve o entendimento das vulnerabilidades dos sistemas de informação de uma empresa, bem como o planejamento e a implementação de formas de prevenir riscos. 

Com o crescimento do número e da complexidade dos ataques cibernéticos, o mercado tem mudado seu olhar de proteção cada vez mais para um foco em estratégia, e menos em produtos isolados de proteção. Nessa evolução, os produtos de segurança devem se combinar a um plano estratégico de proteção que leve em conta o momento da companhia no mercado e o nível de exposição de cada empresa. 

Apesar dos riscos serem inerentes a todos os perfis de negócios, a atenção e preocupação com o tema é mais comum em empresas maiores, que compreendem seu nível de exposição e têm maiores orçamentos para investirem em proteção, construindo uma área de segurança envolvendo um CISO (Chief Information Security Officer), um gerente de segurança, uma equipe especializada. 

Já em empresas menores, segurança ainda é entendida como uma atividade de infraestrutura simples dentro da área de TI, não dispondo de orçamento e ferramentas, mas, principalmente, de pessoas internas especializadas na área. Por vezes, são empresas já com estrutura relevante no mercado mas que ainda têm no gerente de TI a centralização de responsabilidades de gestão da infraestrutura em cloud e também de segurança da informação, somando-se nesse profissional uma série de atividades mas com menor especialização.

Percebe-se um movimento similar ao que se viu no passado em relação aos Bancos de Dados, que antes estava sob a responsabilidade de uma área chamada Informática. Até que as empresas perceberam a importância dos dados para seus negócios e surgiram os profissionais DBA (Administradores de Banco de Dados).

Antonio recomenda que as empresas, independentemente de seu porte, disponham de recursos humanos especializados e com dedicação idealmente exclusiva sobre o tema de segurança, uma vez que o tema é cada vez mais relevante para a proteção dos negócios.

 

Principais atividades da Gestão da Segurança da Informação

Pensar em segurança como utilizar somente antivírus já não é suficiente. Na visão de Antonio, os principais elementos a considerar para estruturar uma área de Gestão da Segurança da Informação são:

Governança:

Seguindo-se normas de mercado que orientam o caminho para a gestão da área, como a ISO 27.001, a ITIL e outros modelos. A partir do entendimento dos requisitos dessas normas, compreende-se quais são as diversas ações necessárias e pode-se priorizá-las.

Automatizar os processos:

Para otimizar a eficiência das novas práticas.

Incluir atividades de monitoria:

Com conceitos aplicados de um centro de operações de segurança (em inglês Security Operations Center, ou SOC) e não apenas de NOC (network operations center, significando centro de operações de rede) para identificação de ataques, e outras atividades.

Testar o ambiente:

Com planos de Pentest ou testes de penetração com empresas certificadas para isso que identificam vulnerabilidades de forma proativa, incluindo testes de phishing.

Prover educação e treinamento:

Sobre segurança à equipe de colaboradores, pois os riscos atualmente são muitos e estão cada vez mais sofisticados tanto tecnicamente quanto no que se relaciona a práticas de engenharia social envolvendo brechas nos procedimentos dos colaboradores.

 

Superando gargalos e dificuldades das empresas em Segurança da Informação

Percebe-se a barreira orçamentária como algo importante para habilitar investimentos em proteção e segurança, pois muitas vezes os recursos não foram planejados. Para essa situação, a recomendação é que os líderes de tecnologia se antecipem e realizem um assessment de riscos, visando identificar os pontos mais críticos e prever para eles o investimento necessário no menor prazo possível.

O levantamento da situação atual permite que se elabore uma matriz de riscos que facilitará a priorização das ações levando em conta probabilidade e severidade dos riscos.

Para evoluir na implantação, recomenda-se ainda simplificar o parque tecnológico de proteção com soluções unificadas, facilitando sua gestão e monitoramento. Esse conceito é também conhecido como XDR (Extended Detection and Response), que expande informações e permite cruzar dados entre sistemas e pontos de acesso dentro da empresa.

É importante considerar o orçamento em segurança como investimento e prevenção de riscos, pois há cenários de crises com incidentes cada vez mais comuns e que impactam grandemente em aspectos financeiros das empresas, parando a operação e impedindo o faturamento dos negócios com prejuízos muito grandes.

 

Diferenciais da InfoSW como Tech Seller de Segurança da Informação

A InfoSW tem vinte anos de mercado, tendo um histórico de atuação inicialmente em infraestrutura e evoluindo para segurança como foco. Tem experiência em atuação com diversos clientes de segmentos distintos, os quais apoiam há anos. São tanto empresas de grande porte como startups que cresceram e contam com a InfoSW como um advisor na área de segurança da informação. Sempre disponíveis para ajudar, a empresa leva o conhecimento especializado e com visão de negócio, trazendo visão compartilhada de situações de riscos e boas práticas para solução de problemas observadas em diversas indústrias.

Além disso, a empresa tem uma ótima relação com os melhores fabricantes de soluções técnicas de segurança disponíveis hoje no mercado, podendo indicar soluções de investimento mais acessíveis e com níveis altos de proteção. Essas soluções podem também ser implementadas como serviços, provendo maior flexibilidade a seus clientes.

O match ideal para a empresa são Tech Buyers que estejam passando por três perfis de necessidades:

  • Definir segurança: como o caso de startups ou empresas de pequeno e médio porte;
  • Aferir a segurança: precisam medi-lo para testar ou melhorar
  • Gerir a segurança: já têm um sistema definido e medido mas precisam agregar gestão inteligente.

Antonio acredita nas relações de confiança e na construção de relacionamentos de longo prazo, e está à disposição para uma conversa inicial a fim de conversar e apoiar empresas no tema de segurança da informação.

 

Procura parceiros para suas iniciativas de Segurança da Informação?

Mapeie potenciais Tech Sellers que dão match com a sua demanda de forma gratuita em nossa plataforma.