ISACA Journal
Volume 3, 2,018 

Translated Articles 

Duelo de titãs: Como vencer a “batalha” entre a segurança da informação e a TI sem perder ninguém 

Ofir Eitan, CISM, CCSK, CTI 

Um dos principais desafios que diretores de segurança da informação (CISOs) enfrentam em praticamente qualquer organização é priorizar interesses de segurança com relação a interesses da TI.1, 2 Entre os exemplos, estão a implementação de um sistema de segurança cibernética3 antes de implementar um sistema designado para melhor desempenho de rede ou alterar a arquitetura de rede baseado em diretivas de segurança em vez de projetá-la de maneira que seja mais fácil a manutenção pelas equipes de operações de TI. Qualquer leitor que já tenha trabalhado em uma divisão de TI provavelmente já se deparou com um dilema comum: O CISO apresenta uma necessidade urgente de comprar um sistema de segurança e o departamento de TI se opõe à solicitação devido à falta de recursos ou às questões técnicas envolvidas com o projeto.

Este artigo compartilha os insights do autor sob sua experiência pessoal quanto ao conflito iminente e quase que inevitável entre interesses da TI e da segurança da informação. Essas ideias nasceram enquanto o autor participou de diversas mesas redondas relacionadas, reuniões corporativas sobre o tema e, em parte, por conversas informais com especialistas e altos executivos da indústria. Esta análise pode ajudar diretores de segurança da informação e gerentes a superar o desafio e ajudar as organizações a aproveitar sua postura de segurança.

A dinâmica no local de trabalho geralmente é baseada em trabalhadores e sua interação uns com os outros. Dessa forma, uma boa relação de trabalho entre CISOs e seus colegas, como o chefe do departamento de operações de sistema, provavelmente teria um impacto positivo de aproximar seus interesses profissionais individuais. Por outro lado, a localização das de segurança da informação na estrutura organizacional pode ter um enorme impacto na dinâmica de trabalho, conforme indicado (com base no entendimento do autor sobre a evolução da estrutura de segurança da informação):

  • O CISO responde ao chefe do departamento de TI ou cargo equivalente—Em várias organizações, especialmente em pequenas e médias empresas (SMBs), foram criadas funções de segurança dentro das unidades de TI, principalmente para atender à demanda de proteção de TI, com base em um entendimento real sobre o aumento das ameaças cibernéticas ou para garantir a conformidade com exigências normativas. Embora uma postura adequada de segurança sempre possa ser alcançada, nesta situação podem surgir atritos devido a possíveis conflitos de interesse intrínsecos entre necessidades de desempenho e aquelas de segurança. Por essa razão em especial, boas práticas e padrões exigem a separação de deveres entre SI e TI.
  • O CISO responde ao diretor de informações (CIO), mas conta com unidades de TI para operações de sistema e gestão—Essa estrutura tende a ser comum entre entidades corporativas.4 Normalmente, esse modelo separa a gestão de políticas de segurança, auditoria e monitoramento de incidentes realizada pela unidade de segurança da informação da estrutura e/ ou unidades de sistemas, que estão cuidando das operações de sistemas. Por isso, o CISO geralmente conta com o departamento de infraestrutura quando se fala em orçamento e é obrigado a andar em linha com os interesses inerentes do CIO, que normalmente estão inclinados para a produtividade de TI.5 Mais uma vez, a pressão de unidades de negócios, questões de desempenho e a falta de recursos humanos ou financeiros pode ser colocada acima da agenda do CISO.
  • O CISO responde a um executivo sênior, mas não ao CIO—A maioria das organizações hoje em dia é obrigada a respeitar normas industriais que parecem se mover rumo a exigir que empresas coloquem o CISO em uma posição de responder a um alto executivo.6 Neste caso, o CISO pode responder ao diretor de riscos (CRO), diretor operacional (COO) ou outras altas posições.7, 8 Qualquer uma dessas estruturas pode ou não ter efeitos negativos sobre a capacidade do CISO em promover interesses de segurança da informação na divisão de TI. No entanto, a distância relativa do CISO para as unidades de TI pode impor o maior desafio para o seu trabalho, seja em questões orçamentárias, ao ficar por dentro de tendências e projetos de TI ou aplicar políticas e promover a agenda de SI.
  • O CISO gerencia operadores de sistema independentes e responde ao CIO ou presidente executivo (CEO)9—Há quem diga que essa estrutura é a meta para o CISO, uma vez que propicia os recursos necessários e a autoridade para executar a agenda de segurança da informação e a agenda associada. Como diz o ditado, com grandes poderes há grandes responsabilidades e, por isso, nessa estrutura o CISO provavelmente terá que investir mais tempo para coordenar operações de sistema com as unidades de TI. O principal fator nessa estrutura é assimilar os operadores de sistema de segurança da informação com seus colegas nas unidades de TI para unir forças diariamente.

No ponto de vista do autor, não há um modelo ideal para colocação do CISO em uma organização. Pelo contrário, há sempre um modelo ideal para qualquer organização específica. De toda forma, é recomendado que CISOs absorvam a ideia que seu lugar no layout da organização tem uma influência vital sobre a capacidade de liderar grandes mudanças como a aquisição de novas soluções, implementação de uma arquitetura de rede nova e segura e execução de amplas políticas e processos.

A análise de estrutura organizacional deve ser útil para qualquer CISO como uma maneira para entender os prós e os contras do cargo. No entanto, os insights a seguir e as orientações podem ser aplicáveis para o CISO independentemente de suaestrutura de report no layout de estrutura organizacional:

  • Entender e levar em conta os dois lados da equação. Naturalmente, os profissionais de segurança da informação buscam soluções com os melhores recursos e capacidades de segurança de acordo com seu conhecimento bem informado. Por outro lado, todo gerente de segurança da informação deve levar em conta se a solução atende às demandas da infraestrutura, sistema e unidades de operações de TI. É recomendado que o CISO formalize um documento de termos iniciais com todas as exigências básicas previstas pelos departamentos de TI. Essa solução é comparável às políticas de segurança, mas sob um ponto de vista de TI (por exemplo, um sistema com ou sem agente, o suporte de plataformas de infraestrutura de desktop virtual [VDI], os limites de recursos de sistema, suporte técnico suficiente). Tanto as unidades de TI e segurança da informação buscam um processo harmonioso no qual cada lado representa as necessidades e interesses um do outro.
  • Lembre-se que necessidades de negócios sempre ficarão acima das necessidades de SI. No fim das contas, gerenciar a segurança da informação significa encontrar a melhor combinação entre segurança e negócios para a organização enquanto se garante conformidade com leis e normas. Por essa razão, esse entendimento também se aplica às considerações por trás da compra e implementação de novos sistemas de segurança. Dessa forma, antes de apresentar um plano de negócios, o CISO precisa garantir que a compra de novas soluções ou a mudança da arquitetura de rede seja o último recurso e que todas as outras soluções baseadas nos recursos atuais foram devidamente analisadas.
  • Elabore um plano de negócios. Encontrar os recursos humano e financeiro para a melhor solução de segurança no mercado muitas vezes não é suficiente se não há risco tangível, concreto ou iminente. Dessa forma, priorizar as necessidades de segurança em vez daquelas de negócios pode exigir que o CISO encontre outras fontes para financiar uma solução. Na maioria dos casos, o CISO deve demonstrar uma eficiência operacional inegável se ele deseja implementar novas soluções. Além disso, de acordo com vários altos executivos, o número de sistemas de segurança pode ser restrito. Por essa razão, alguns planos vão exigir que o CISO demonstre como uma nova solução vai de fato reduzir o número de sistemas existentes e proporcionar a melhor solução holística, algo que vai minimizar o máximo de riscos possível. Por exemplo, a aquisição de uma solução de inspeção profunda de pacotes (DPI) e resposta e detecção de pontos de extremidade (EDR), combinada com um módulo de antivírus em um agente, pode substituir um conjunto de sistemas, como software de antivírus (AV) atual, agente forense e de remediação, ferramenta de detecção de anomalias, sistema de gestão de resposta a incidentes, sistema de gestão de controle, ferramentas de análise de rede e acesso e feeds de inteligência. Em algumas situações, isso também pode ser usado para solução de problemas de infraestrutura.
  • Atender à demanda para um processo formal de gestão de riscos. Depois que todos os esforços tiverem sido empregados e uma decisão insatisfatória for inevitável, o CISO deve documentar a decisão formal e incluir uma avaliação de risco profissional e detalhada. O CISO não deve esquecer que o cargo atende à organização para o bem ou para o mel, embora às vezes esse serviço inclua enfrentar gerentes seniores com o cenário de ameaça e o risco de segurança da informação que representa. Neste aspecto, é dever do CISO buscar garantir os devidos cuidados e diligências para a situação, algo que deve incluir um processo adequado de gestão de riscos antes de qualquer decisão ser tomada sobre a compra de sistemas de segurança, gestão de alterações, implementação de novas políticas e afins.

Conclusão

Embora a afirmação de que profissionais de segurança da informação devam agir como facilitadores de negócios possa ser um clichê, ela lembra aos CISOs que sua maior e mais importante responsabilidade é atender às necessidades de negócios. Por isso, eles devem aproveitar ao máximo os recursos disponíveis e sua posição no layout organizacional. Pode-se pensar que isso soe como os CISOs agindo como fantoches, mas isso não é verdade. Sempre que CISOs ou quaisquer outros profissionais de segurança da informação se deparem em uma disputa por recursos ou políticas com profissionais de TI, eles devem se lembrar de um dos princípios fundamentais mais importantes na segurança da informação - o processo de avaliação de riscos. Os CISOs devem ter amplo conhecimento para analisar e apresentar o cenário de segurança cibernética da organização para seus executivos e o processo ou a solução tecnológica adequada para minimizar o risco ao qual a organização pode estar exposta.

Notas Finais

1 Pompon, R.; “CIO or C-Suite: To Whom Should the CISO Report?” InformationWeek Dark Reading, 07 de setembro de 2017, https://www.darkreading.com/partner-perspectives/f5/cio-or-c-suite-to-whom-should-the-ciso-report/a/d-id/1329807?piddl_msgorder=asc
2 Musthaler, B.; “Reduce the Conflicts Between IT Administrators and Information Security Personnel,” NetworkWorld, 20 de janeiro de 2012, https://www.networkworld.com/article/2184992/infrastructure-management/reduce-the-conflicts-between-it-administrators-and-information-security-pe.html
3 Um sistema de segurança cibernética, neste caso, pode ser um verificador de vulnerabilidades automatizado, proteção de ponto de extremidade atualizada, inspeção profunda de pacotes, etc.
4 Brocaglia, J.; “Hiring Your First CISO: A How-to,” ISACA Now Blog, www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=632
5 CIO Staff and CSO Staff, “Eight Reasons the CISO Should Report to the CEO and Not the CIO,” CIO UK, 06 de janeiro de 2017, https://www.cio.co.uk/it-security/eight-reasons-ciso-should-report-ceo-not-cio-3634350/
6 New York State Department of Financial Services, 23 NYCRR 500 Cybersecurity Requirements for Financial Services Companies, USA, março de 2017, www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf
7 Adams, E.; “Comment: Where the CISO Should Sit,” Infosecurity Magazine, 22 de novembro de 2011, https://www.infosecurity-magazine.com/opinions/comment-where-the-ciso-should-sit/
8 Boulton, C.; “Debate Continues Over Where CISOs Sit in the C-Suite,” CIO, 02 de junho de 2016, https://www.cio.com/article/3078567/security/debate-continues-over-where-cisos-sit-in-the-c-suite.html.
9 Lambert, M.; “As CISOs’ Roles Evolve, So Do the Reporting Lines,” ISACA Now Blog, www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=791

Ofir Eitan, CISM, CCSK, CTI
É gerente de segurança cibernética e consultor com mais de 10 anos de experiência gerencial em diversos campos, incluindo estratégia e mapeamento de estradas, programas de segurança, gestão de fornecedores, avaliação de produtos, resposta a incidentes, inteligência sobre ameaças e segurança ofensiva. Ele montou a primeira equipe de segurança cibernética na Leumi Card, a segunda maior empresa de pagamentos de Israel. Antes disso, trabalhou na Secretaria Cibernética Nacional de Israel e no Exército de Inteligência de Israel, ocupando vários cargos como líder de equipe de inteligência de ameaças cibernéticas (CTI) e diretor de segurança da informação. É possível contatá-lo através do endereço www.linkedin.com/in/ofir-eitan.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.