“Security Intelligence”: O que não sabemos que não sabemos sobre Segurança da Informação?
Para enviar as suas questões, dúvidas ou comentários para o "Consultório PortalGSTI" deverá utilizar o email: consultorio@portalgsti.com.br
O Elefante na sala
Consultório Portal GSTI #32 – “Security Intelligence”: O que não sabemos que não sabemos sobre Segurança da Informação?
Caros leitores,
Esta semana volto ao tema da Segurança da Informação , desta vez para partilhar algumas ideias sobre “mais uma” buzzword neste domínio: Security Intelligence.
O tema da Segurança não é nada novo e há medida que as Tecnologias de Informação foram ganhando importância nas Organizações como fator competitivo, o termo Segurança da Informação passou a fazer parte do dia-a-dia de muitas Organizações, mesmo que maior parte das vezes encarado como um desafio sobretudo Tecnológico.
Ao mesmo tempo, os modelos de negócio estão cada vez mais centrados (e dependentes) de Tecnologias de Informação e parecem mudar todos os dias (por vezes até mais do que uma vez por dia!), levando a que o desafio da criação de valor se torne cada vez mais complexo: por um lado o número e variedade de stakeholders a “pressionarem” as Organizações com as suas necessidades é cada vez maior, por outro os recursos disponíveis para satisfazer essas necessidades é menor e como fiel da balança surge a necessidade de uma melhor gestão dos riscos que permitam uma maior proteção das ameaças ao mesmo tempo que criam condições para um melhor aproveitamento das oportunidades.
Este é o cenário perfeito para o casamento da Segurança da Informação com a criaçãode valor e é quando os mundos da gestão e das Tecnologias de Informação se encontram que surgem as mais interessantes buzzwords . Foi neste contexto que fui recentemente convidado para falar sobre Security Intelligence.
Desde logo somos confrontados com a necessidade de encontrar uma tradução que satisfaça a dimensão da sintaxe mas que sobretudo garanta um enquadramento semântico com o espírito do conceito. A palavra “Intelligence” tem surgido desde há algum tempo no dicionário empresarial no contexto da competitividade, existindo uma tentação para fazer uma tradução quase visual/sonora para “Inteligência”, sendo comum encontrar-se a expressão “Inteligência competitiva”.
Na verdade, a tradução mais justa seria “Informação ou Informações”, levando a que Security Intelligence fosse traduzido para “Informação da Segurança da Informação” . É por estas e por outras que por vezes mais vale não traduzir conceitos, mas para o efeito vamos admitir que “Intelligence” está pelo menos perto do conceito de “Conhecimento”, o que leva a que o conceito de Security Intelligence esteja em grande medida relacionado com a capacidade de conhecer e entender os desafios da Segurança da Informação.
Então o que é que conhecemos e não conhecemos sobre Segurança da Informação?
Este tema do conhecimento relacionado com a Segurança foi mediatizado há alguns anos por Donald Rumsfeld quando este foi chamado a depor no senado dos EUA sobre a existência de ameaças no Iraque. Nessa altura, Rumsfeld fez um discurso que viria mais tarde a servir de base para inúmeras discussões em diversas áreas, incluindo no contexto das Tecnologias de Informação:
“Como sabemos, há “knowns knowns”; há coisas que sabemos que sabemos. Sabemos também que há “knowns unknowns”; isto é, sabemos que há incógnitas conhecidas, ou seja, coisas que sabemos que não sabemos. Mas também existem “unknowns unknowns”, aquelas coisas que não sabemos que não sabemos.”
Este é o melhor enquadramento para explicar o conceito de Security Intelligence pois o conhecimento em torno do tema da Segurança da Informação está diretamente relacionado com a capacidade de transformar “unknowns unknowns” em “knowns unknowns” e, na medida do possível em “knowns knowns”. Só desta forma é possível evoluir de um patamar de desconhecimento em relação às ameaças e vulnerabilidades que afetam o Sistema de Informação para um patamar de gestão dos riscos relacionados e, em última medida, para um nível de capacidade de agir perante os eventos.
Com um melhor conhecimento sobre a Segurança da Informação estão então reunidas as condições para evoluir para o patamar de criação de valor, sendo para tal, necessário garantir condições de uma boa governança e gestão da Tecnologia da Informação.
Destaco cinco fatores críticos de sucesso alinhados com os cinco princípios da framework COBIT 5:
- “ Alinhamento da Segurança com as necessidades dos stakeholders… internos e externos.”
- “ Responsabilidades de Segurança transversais na Organização (da sala da Administração à “cave”!)
- “ Integração de boas práticas e alinhamento com requisitos de Segurança”
- “Uma visão holística da Segurança que considere os principais sete facilitadores do Sistema de Informação"
- “ Abordagens estruturadas de Governança (EDM) e Gestão (PBRM) de Segurança”
Como referido pelo World Economic Forum, num mundo cada vez mais hiperconectado, “Soluções que se concentrem em detalhes específicos serão ultrapassadas rapidamente ; É necessária uma abordagem baseada em princípios” .
Esta é uma abordagem fundamental para conhecer e entender os desafios de Segurança da Informação no contexto da sua Organização, pois só assim será possível garantir uma visão da Segurança não apenas orientada para a proteçãode ativos mas cada vez mais como um facilitador de oportunidades e criação de valor.
Espero ter ajudado!
Bruno Horta Soares, CISA®, CGEIT®, CRISC ™ , PMP®
"The more you know, the less you no!"
Continue estudando segurança da informação:
- Ebook de Administração de Redes e Segurança com Linux
- Material Introdução a Segurança da Informação
- 41 vídeo aulas de Segurança da informação grátis
- Segurança da informação para concursos
Outros artigos do autor:
