BOLHAS DE INVESTIMENTO NÃO INTERESSAM AOS GESTORES NEM À INDÚSTRIA DE CIBERSEGURANÇA

Crime e doença significam inexoravelmente prejuízo. A sustentabilidade da indústria farmacêutica certamente depende mais de vacinas e programas preventivos em massa, e ninguém lamenta que boas políticas de saúde mitiguem epidemias. Em indústrias de setores como Saúde, Defesa, Segurança Pública e Cibersegurança não existe a ideia de “oportunidade”; são mercados para quem pensa em estratégia.

É claro que eventos como grandes incidentes e agora as pressões regulatórias (GDPR, LGPD etc.) disseminam uma visão mais tangível dos riscos operacionais, financeiros, institucionais e pessoais que afetam as organizações e indivíduos. No caso da LGPD, a definição de riscos, sanções e prazo orientam planos de ação semelhantes em várias empresas neste ano. Contudo, os gestores mais maduros de cibersegurança, assim como as indústrias mais reconhecidas do setor, têm que alinhar as tarefas urgentes a uma estratégia cumulativa, para dar conta da evolução dos riscos e manter condições de priorizar e escalonar investimentos mesmo em um cenário marcado pela imprevisibilidade. Independente das prioridades em cada atividade, algumas premissas comuns ocupam as agendas desses especialistas.

A nuvem como plataforma predominante das atuais aplicações já deixou de ser uma “tendência” há alguns anos. Como essa mudança se deu sobre a infraestrutura já existentente, com tráfego concentrado na rede corporativa e segurança orientada a esse perímetro, a adequação dos recursos de conectividade e segurança à nova realidade ainda é uma tarefa em andamento. Na prática, ter visibilidade da circulação de dados e usuários; classificar os provedores; estabelecer (e de preferência automatizar) políticas diferenciadas (por exemplo, criptografia com chave própria para sites públicos de compartilhamento de arquivo); e controlar o ciclo de vida dos dados são alguns dos pontos de adaptação ao ambiente multicloud, que já é a base da infraestrutura de negócios.

A proteção granular do dado é tecnicamente simples com a atual geração de ferramentas, que permitem critérios muito específicos de acesso a cada campo ou pedaço de informação. O mais difícil é definir o escopo do uso de dados – o que cada um precisa acessar; até quando pode acessar; o que pode fazer com o dado; e outras regras que façam sentido em cada processo de negócio.

Dados críticos, procedimentos perigosos e dimensionamento de risco, tudo depende do contexto. Em um quadro do Fantástico de 3 de fevereiro, 63% dos espectadores avaliaram como “mentira” um vídeo legítimo de uma bebê chinesa desenhando. Também já vemos “impostores digitais” driblando algoritmos de reconhecimento facial. Em tempos de “fake news”, um evento por si só não implica acreditar na verdade ou identificar a mentira se não forem investigados outros indícios que antecedem e contextualizam o acontecimento. A compreensão do conjunto de variáveis e dos fatores subjetivos – o Fator Humano – da interação das pessoas com os dados é um processo que exige massa crítica de informações, que tende a ganhar eficácia ao longo do tempo, com a “experiência” dos sistemas de análise.

Antes de proteger, vê se é importante. É fato que as legislações de proteção de dados, diferente das mudanças do Fisco por exemplo, não são progressivas e afetam empresas de todos os portes ao mesmo tempo. Também é verdade que as médias empresas são o segmento de correm maior risco, muitas vezes de encerramento do negócio, com incidentes de violação de dados. Nem por isso precisam ter estrutura e orçamento de segurança corporativa para deixar de ser o elo fraco das cadeias de valor.

A pergunta primária, que de tão óbvia entrou em desuso, é se a pizzaria precisa saber sequer o sobrenome do cliente para mandar SMS de promoção. Ou para quê o hotel quer número de CPF. O questionamento lembra o dilema da jovem senhora que ao cavucar seus guardados e achar uma foto de um ex-namorado pondera se vale a pena esconder e lacrar, se lhe tiver algum valor, ou simplesmente jogar fora, para mitigar atritos com o atual. Só a partir disso decide se vale a pena gastar com cadeado.

Adequar a assunção de riscos e a proteção ao nível de confiança de cada agente envolvido na troca de dados é outra abordagem para manter a segurança sem restringir participantes nas cadeias de valor. De certa forma, essa foi a saída da indústria de meios de pagamento em que alternativas como tokens e cartões virtuais permitem a inclusão de estabelecimentos sem condições seguras de armazenar informações financeiras.

É melhor vender certo do que vender tudo do ponto de vista dos consultores, integradores e fornecedores de soluções de cibersegurança. Por mais que a reputação relacionada a segurança de dados possa pesar na decisão do cliente final, o objetivo não é exatamente chegar na frente e ter um diferencial competitivo. Segurança da Informação é focada em Sustentabilidade; em garantir um jogo limpo para que as organizações e as pessoas possam continuar a realizar e desenvolver o que fazem melhor.

Seja ágil, mas não se afobe. Não perca tempo, mas também não perca o rumo. É claro que a indústria de cibersegurança precisa vender equipamentos, licenciar software e prover serviços para faturar e crescer. Todavia, o que dá sentido à tecnologia são amplas questões sobre estabilidade econômica, ética, sustentabilidade, liberdades individuais, propriedade intelectual e proteção de outros valores que não se resolvem a curto prazo. É preciso simplificar a parte técnica, acelerar a solução das urgências e sempre contextualizar cada iniciativa à estratégia. Esse fim deve ser o começo da conversa.