Há seis anos participo de diversos comitês de segurança da informação. O meu objetivo é ajudar a estrutura organizacional de segurança da informação, envolvendo áreas de apoio, a funcionar em toda a organização. Sendo assim, posso dizer que já vivenciei e ouvi um pouco de tudo.

Vamos conhecer um dos assuntos mais discutidos por esses comitês de segurança da informação.

Pornografia e o processo disciplinar

Antes de falarmos sobre pornografia, vamos entender melhor o que é o processo disciplinar. Essa é fácil de explicar! A área de Recursos Humanos, em conjunto com a Jurídica, cria uma norma interna sobre como relacionar as infrações cometidas pelos colaboradores (funcionário, terceiros, estagiários etc), estabelecendo os critérios para aplicação de medida disciplinar. Entendeu? Ainda não? Vamos traduzir para o “português�.

Caso o colaborador, usando um computador ou qualquer recurso da empresa, acesse uma página contendo pornografia, a organização irá aplicar uma punição administrativa. Neste exato momento, tenho certeza de que você está com um sorrisinho no rosto pensando o seguinte “A empresa terá que punir todo mundo então�. Em alguns casos isso realmente é verdade, inclusive o presidente da empresa.

Leia mais »

Os conhecimentos em segurança da informação estão contidos em diferentes modelos atualmente existentes: dentre eles temos os modelos da NBR ISO/IEC série 27000 (segurança da informação).

Os conhecimentos relacionados ao Sistema de Gestão de Segurança da Informação (ISO 27001) e ao Código de prática para a Gestão da Segurança da Informação (ISO 27002) devem estar difundidos em toda organização. Porém, no momento de estruturar um departamento de segurança da informação, as empresas encontram um cenário preocupante.

Primeiro ponto: o analista de segurança da informação deve ter um elevado conhecimento técnico. Não estou me referindo às certificações, estou falando de conhecimento prático e experiência no assunto.

Segundo: algumas empresas insistem em promover alguém interno ao cargo de Gerente de Segurança da Informação. O profissional promovido, na realidade, possui um perfil muito diferente do necessário para assumir a responsabilidade.

Como exemplo, vou descrever o perfil relacionado a um caso real envolvendo um colega meu que foi promovido ao cargo de Gerente de Segurança da Informação:

Leia mais »

Mais de 50% das empresas de Serviços Financeiros não usam dispositivos de detecção de intrusos em seus sistemas. Dados como este foram apontados no estudo Privacy & Data Protection Practices: a Benchmark Study of the Financial Services Industry, realizado pela Compuware, empresa líder em monitoramento de aplicações com foco em usuários finais, em parceria com o Ponemon Institute – órgão de pesquisa especializado em políticas de segurança e proteção de dados e informações.

O estudo detectou seis áreas principais de vulnerabilidade na privacidade e segurança de dados para a indústria de Serviços Financeiros: risco de violação de dados, diminuição da fidelidade e confiança do cliente, pessoas internas mal-intencionadas ou negligentes, risco de terceirização de dados confidenciais, não-cumprimento das normas e controle ineficiente de privacidade e informação. 

Para chegar a estes dados, foram entrevistados diretores de Segurança da Informação (CISO – Chief Information Security Officer), de Segurança (CSO – Chief Security Officer) e de Privacidade (CPO – Chief Privacy Officer), entre outros pares, de 80 organizações multinacionais do setor de Serviços Financeiros. As respostas revelaram áreas de vulnerabilidade ou não-cumprimento das normas, como a que aponta que 83% das empresas entrevistadas usam dados reais no desenvolvimento e teste de aplicações.

Estudos da Forrester Research ajudam a entender os impactos destes riscos à reputação das empresas. Segundo o relatório Your Enterprise Database Security Strategy 2010, divulgado em setembro de 2009, apenas uma invasão em dados, como número de cartão de crédito dos clientes, pode causar um dano imenso à reputação de uma empresa. E, ainda, trazer consequências mais graves, como ações judiciais e multas.

“Investir em soluções que proporcionem armazenamento seguro dos dados dos clientes é o melhor caminho para fidelizá-los, proteger a reputação da empresa e ainda evitar impactos negativos�, afirma Arnaldo Murasaki, country manager da Compuware no Brasil. “Buscamos oferecer soluções de privacidade de dados que sejam eficientes para nossos clientes, que incluem as principais instituições financeiras do mundo. Assim, ajudamos seus times de TI a testar efetivamente importantes aplicações de negócios, enquanto ainda sustentam a confiança que os consumidores depositam em seus negócios�, explica o executivo.

Leia mais »

Se observarmos as principais empresas de segurança da informação, todas elas estão passando por uma reavaliação do modelo de negócios. Pode ser que já não faça tanto sentido oferecer apenas produtos “tudo em um�. Muitas empresas estão migrando determinados processos informatizados para ambientes de cloud computing, tendo como objetivo a redução de custos com energia, hardware, software, recursos humanos, móveis etc. Sendo assim, essas empresas não precisam mais comprar ou renovar tecnologias para proteção de um determinado processo da organização. O ambiente de cloud computing já oferece suporte a segurança da informação.

Independente do modelo de negócio (produto ou serviço), as empresas que desenvolvem soluções de segurança da informação têm um fluxo de dinheiro bastante previsível, de modo que se tornam alvos ideais para investidores que buscam diversificar seus investimentos. Alguns dos fatores que mantêm o mercado de segurança da informação aquecido são as novas regulamentações e a necessidade de assumir projetos de alto risco para viabilizar novos negócios. Essa combinação – bom fluxo de dinheiro e a necessidade dos clientes – tem atraído a atenção dos investidores.

Por outro lado, já se fala que o aquecimento do mercado poderia adiar a venda de uma consultoria ou fabricante de soluções de segurança da informação porque os novos contratos, assinados agora em janeiro, valorizam ainda mais o valor de venda da empresa. O crescimento da carteira de clientes e aumento da receita estava previsto para março. Porém, a retomada dos projetos pré-crise e o aumento do orçamento para segurança da informação contribuíram para que as previsões fossem antecipadas para fevereiro.

Um segundo fator está atrasando a concretização de venda das empresas de segurança da informação. A empresa ou investidor que faz a oferta de compra de uma empresa de segurança da informação tem dificuldades em calcular quanto vale o poder de inovação da organização. Por exemplo, avaliando a contabilidade e mais alguns dados de mercado, o possível comprador oferece R$ 10 milhões pela empresa. Porém, essa empresa está desenvolvendo uma idéia ou produto que, futuramente, ajudará no crescimento acelerado da receita e na expansão do negócio. O valor “real� da empresa pode chegar a R$ 17,5 milhões graças ao poder de inovação. Mas na prática, calcular tudo isso e justificar o valor relacionado ao poder de inovação têm sido um dos principais desafios durante a negociação da venda.

A compra de uma consultoria ou fabricante de soluções de segurança pode trazer ganhos financeiros mais rápidos, em comparação aos investimentos realizados em ações na bolsa de valores. Porém, o risco para o investidor ou comprador é muito maior. O aquecimento da economia, o surgimento de novas regulamentações, leis, normas internacionais, o aumento das ameaças na internet, a informatização dos processos de negócio etc, criaram o cenário ideal para quem busca uma boa oportunidade de negócio. Esta é uma potente combinação que tem atraído a atenção de investidores, mas como saber quais empresas de segurança da informação estão à venda?

Leia mais »