  
GFI Solutions
Av. 5 de Outubro, Nº 35, 6º andar 1050-047 Lisboa,
Portugal
Telefone: +351 213 126 200
Fax: +351 213 126 395
GFI Services
Taguspark - Edif. Qualidade, B2-3A 2740-120 Oeiras, Portugal
Telefone: +351 214 220 460
Fax: +351 214 220 469
A sua opinião é importante para a melhoria contínua da GFI Portugal
Sugestões de Melhoria
|
| |
|
|
  
|
|
9 a 15.11.2007
Chief Security Officer tem pouca expressão
Nem todas as empresas implementam políticas de Risk Management. A figura de CSO também não está presente na maioria das companhias portuguesa
|
|
|
 Cada vez mais preocupadas com os riscos de segurança na área das tecnologias da informação e comunicação, as empresas portuguesas não adoptam ainda de forma global políticas integradas, preocupando-se mais com medidas pontuais e limitadas pela utilização de produtos específicos. Salvo raras e honrosas excepções, onde as grandes empresas do sector financeiro e telecomunicações têm lugar de destaque, existe uma maior preocupação com a utilização de soluções pontuais do que com procedimentos implementados de forma transversal. As diferenças são evidentes entre sectores de actividade, mas também estão relacionadas com a dimensão das empresas e o acesso a recursos humanos especializados.
Marcos Santos, responsável pela área de Segurança da Microsoft Portugal, admite que a sensibilidade das empresas para as questões de IT Risk Management depende do estado de maturidade de uma organização, mas realça que existem «áreas onde o core business depende de sistemas que não podem parar, e, por isso, têm uma boa política de Risk Management implementada».
Apesar da maturidade reconhecida em relação à percepção dos riscos, as empresas procuram ainda projectos pontuais. «Ainda falta uma cultura de segurança e uma visão transversal na maioria das empresas portuguesas», acrescenta Francisco Fonseca, CEO da AnubisNetworks, o que se reflecte num budget curto para investir nesta área.
Ainda assim, muitas vezes a aposta é nos produtos em vez de nos procedimentos ou comportamentos. «Existe uma grande preocupação pela implementação de produtos de segurança de redes (firewalls, dispositivos de filtragem, etc.), antivírus e outros relacionados com autenticação e encriptação. No entanto, a segurança representa muito mais que isto. Passa por procedimentos e comportamentos humanos que, segundo estudos, representam as maiores ameaças neste capítulo», sublinha Gonçalo Botelho de Sousa, business consultant da GFI Portugal.
Outro dos problemas reconhecidos é que muitas vezes as organizações olham para o Risk Mangement como um factor relacionado somente com as tecnologias da informação, como uma forma de gerir riscos. Marcos Santos defende que é preciso mudar esta filosofia já que «o Risk Management deve ser uma forma, não apenas de "gerir riscos", mas sim uma forma de a organização cumprir a sua missão e objectivos».
João Caires, business director da Panda Security Portugal, lembra que o Risk Management como disciplina global está agora a dar os primeiros passos em Portugal e ainda limitado a sectores mais conscientes da importância das TI nas organizações. «A segurança tem sido o aspecto mais visível, e normalmente o primeiro a ser adoptado, porque é o que fornece um retorno de investimento mais visível», admite.
Porém, uma vez que estas questões exigem uma reestruturação profunda das empresas, as mudanças decorrentes da maior consciência do problema são «normalmente lentas e adaptadas às necessidades que vão surgindo ao longo do tempo, não por uma questão de não existir consciencialização suficiente, mas porque não faz parte das prioridades imediatas das organizações, pelo menos até ao primeiro incidente», justifica João Caires. Como resultado encontram-se constantemente «investimentos e políticas desgarradas, que com o mesmo nível de envolvimento poderiam ter tido outro sucesso».
Diferenças de dimensão
Os investimentos são, como já é habitual nas TIC, mais fortes nas grandes empresas. «De um modo geral, as empresas têm consciência da temática do risco, no entanto, apenas algumas empresas investem em soluções de gestão e mitigação de risco, nomeadamente, as empresas de maior dimensão», refere Vítor Ruivo, director-geral da Marketware, acrescentando que estas teriam mais a perder com a ocorrência de problemas.
Para as PME, o panorama é ainda mais desolador, já que se nas médias e grandes empresas a visão acaba por ser muitas vezes limitada e resumida a pequenos nichos independentes em diversos departamentos, nas pequenas e médias empresas é muito difícil encontrar visões estruturadas. Rui Martins, consultor de Pré-venda para soluções de segurança e networking da Tecnidata, diz que as PME adoptam «soluções muito básicas e de qualidade duvidosa». O factor preço é ainda determinante, e muitas empresas adoptam as soluções «sem que qualquer tipo de estudo prévio tenha sido feito ou desenvolvido para que se escolha, em consciência e com certeza».
Filipe Rolo, director de Vendas da Trend Micro em Portugal, discorda porém desta visão. «A procura de soluções de gestão centralizada de segurança já não existe apenas nas grandes organizações, como redes informáticas de grande dimensão e complexidade, mas também nas pequenas e médias empresas, caracterizadoras do tecido empresarial português», destaca, afirmando que tem vindo a acompanhar um aumento da procura por soluções fáceis de utilizar e implementar e que permitam uma gestão da segurança «sem complicações».
Como o problema dos recursos humanos é central, e a falta de pessoal especializado em tecnologias da informação e comunicação nas PME uma realidade, José Rocha, director-geral da Microplus e representante da AVG em Portugal, admite que uma das soluções possíveis para estas empresas, que não têm estrutura para integrar profissionais especializados na área do Risk Management, será recorrer ao outsourcing de serviços de segurança informática, «um tema vasto e que requer cada vez mais técnicos especializados».
A figura do CSO (Chief Security Officer) ainda não existe na grande maioria das organizações, independentemente do seu tamanho. As multinacionais são geralmente uma excepção, mas o cargo é desempenhado centralmente, enquanto que nas empresas de média e grande dimensão nacionais a função de segurança é, por vezes, acumulada com outros cargos. «Mais grave ainda, é o facto de esta função estar dividida por departamentos ou pelouros», acrescenta Marcos Santos, que defende que falta «olhar para a segurança, não como um factor apenas do TI, ou físico, mas como uma preocupação estratégica da organização» e que o responsável de segurança «deve estar representado ao mais alto nível nas organizações (preferencialmente a reportar ou mesmo no conselho de administração)».
Fernando Cardoso, solutions manager da CSO, alinha neste diapasão, defendendo que, «à semelhança do que acontece em países que têm normativos nesse sentido, o CSO deverá sempre estar dependente da administração das organizações, dado que, só desta forma, poderá ter a necessária independência e autoridade para a tomada de decisões no âmbito das suas atribuições».
Explicando que hoje em dia existe um fosso entre o que muitas vezes é definido pelo CSO e o que é operacionalizado pelas restantes áreas da empresa, Fernando Cardoso sublinha que, «nestes casos, deverá ser constituído um comité de segurança, representativo das mais variadas áreas da empresa, que permitirá uma maior proximidade entre o CSO e os responsáveis das áreas operacionais».
O problema de linguagem é também pertinente. «Para ter credibilidade ao nível da administração, o CSO precisa de falar a linguagem dos números em vez da linguagem dos bytes. Da mesma forma que o CFO apresenta os cálculos P/L para o negócio, o CSO deve fornecer métricas que evidenciem os riscos de segurança e as áreas em que a conformidade é essencial», lembra ainda Renato Lopes, account manager Mid-Market da McAfee.
A divisão de pelouros e a sua dispersão com outras responsabilidades faz também com que, muitas vezes, os aspectos de segurança sejam relegados para segundo plano. Tradicionalmente, a área de segurança ficava ligada ao CFO, uma ideia que tem de ser combatida, defende Rui Martins, da Tecnidata.
«O CSO é uma figura cada vez mais relevante na organização das empresas, devido à capacidade única de responder a desafios relacionados com a segurança da empresa. Neste sentido, o CSO tem como desafio garantir a conformidade com as políticas internas e externas da empresa e identificar proactivamente as ameaças», explica Filipe Rolo, da Trend Micro, que admite, porém, que esta figura fará mais sentido nas grandes empresas, dada a complexidade das suas redes informáticas, do que nas PME.
Por outro lado, Vítor Ruivo admite que falta também «dar autonomia às equipas de segurança e orçamentar as suas actividades de forma separada», podendo a solução passar pelo outsourcing.
Bons planos
Além da dimensão da empresa, um bom plano de segurança que reflicta a política de segurança interna é uma boa forma de ter um maior controlo tecnológico. «A questão é que a segurança não depende só da tecnologia. Depende de outras variáveis (físicas, humanas, processuais, entre outras), e por isso deve gerida de uma forma integrada. A tecnologia ajuda mas é apenas uma ferramenta para atingirmos um fim», realça Marcos Santos.
Reconhecendo que para a maioria das empresas a segurança não é o seu core business, Francisco Fonseca admite que isso não deve fazer com que se descure este aspecto, da mesma forma que não nos esquecemos de trancar a porta de casa quando vamos trabalhar. «Sabemos (principalmente em Portugal) que na maioria dos casos só colocamos as trancas na porta depois da casa arrombada», mas «um incidente de segurança informática numa empresa pode, no limite, levar ao encerramento da mesma».
De acordo com o CEO da AnubisNetworks, o segredo está em «encontrar o equilíbrio entre as necessidades do negócio e as regras básicas de segurança da segurança informática como medidas preventivas (por oposição às reactivas, feitas, na maioria dos casos, independentemente do custo associado)». Este equilíbrio está presente nos processos de Governance da empresa, especialmente no que toca ao controlo de alterações e testes de segurança, que devem ser realizados antes do lançamento de novos serviços.
André Ribeiro, director-geral RealSoft, distribuidora da BitDefender, aconselha ainda as empresas a optarem por um sistema multi-layer «em que a segurança está presente desde a primeira layer a ser implementada após o sistema físico estar no seu lugar, ainda antes de toda a parte de sofware laborial e outras questões relacionadas com a produtividade».
De forma mais categórica, João Caires defende que a governação tecnológica e o plano de segurança das empresas são duas questões indissociáveis. «É neste momento impossível fazer qualquer investimento em tecnologia que não seja acompanhado de uma problematização dos paradigmas da segurança. Aliás, pensamos que, em quase todas as situações, já existem subliminarmente alguns conceitos que deveriam compor um plano sistematizado», embora admita que se tratam muitas vezes de ideias desgarradas e descoordenadas entre si, que permitem tirar conclusões erradas e direccionam incorrectamente os esforços das organizações.
«Cabe aos fabricantes desta área auxiliar as empresas a estabelecer metodologias e planos sistematizados que permitam uma optimização dos meios empregues. Vender segurança é diferente de vender apenas produtos de segurança, razão pela qual as organizações optam, muitas vezes sem se aperceberem, por soluções de consultadoria que procuram dar uma resposta a esta necessidade», acrescenta João Caíres. É nesta área, prossegue, que deve existir uma grande aposta dos fabricantes. No caso da Panda Security, existe um plano de parcerias com uma larga experiência, o Panda Business Partner. Este programa promove a formação de todos os parceiros, para que possam trabalhar com os clientes nos planos de segurança a todos os níveis, o que facilita sobretudo a adopção em pequenas e médias empresas.
mais notícias 
|
|
|
|
| | |
|
|
