corporate
DESCRIPTION
revista - editora abrilTRANSCRIPT
R$ 19,90
O ESTUDO DE CASO Carrefour joga com Linux e WindowsCARREIRA Como fazer o sucessor no comando da tecnologia
ENTREVISTA Ricardo Semler volta com tudo e questiona a TI
AG
OS
TO
2
00
4|
IN
FO
C
OR
PO
RA
TE
|A
R
EV
IS
TA
D
O
CI
O
Quem protege sua empresa? Nomear um xerife digital é a forma de manter os riscos sob controleSegurança
A G O S T O 2 0 0 4 | N º 1 1 A R E V I S T A D O C I O | W W W . I N F O C O R P O R A T E . C O M . B R
509784 CORPORATE|Capa11 banca 24/07/2004 2:13 Page 1
|| C A P A / S E G U R A N Ç A ||
I L U S T R A Ç Õ E S N I C K
F O T O S A L E X A N D R E B A T T I B U G L I
P O R EDUARDO VIEIRA
I n f o C O R P O R AT E 2 9
509784 CORPORATE|Mat Capa 24/07/2004 0:51 Page 28
|| C A P A / S E G U R A N Ç A ||
I L U S T R A Ç Õ E S N I C K F O T O S A L E X A N D R E B A T T I B U G L I
P O R EDUARDO VIEIRA
I n fo CORPORATE ⇠
|| C A P A / S E G U R A N Ç A ||
ocê já parou para pensar se a área de se-gurança da informação está no lugar certo
dentro da sua empresa? Se os riscos que atecnologia traz hoje ao ambiente corporativo
estão quantificados e devidamente controladospor um departamento específico, que centrali-
za a inteligência e as operações contra ameaçasinternas e externas? Aparentemente, não! De acor-
do com uma pesquisa recente da consultoriaKPMG, 53% das grandes empresas brasileiras não
possuem uma área de gerenciamento de riscos e con-trole da segurança da informação. Desse montante,
33% nem pretendem criar um departamento específicopara esse fim. Por outro lado, nunca se perdeu tanto com
falhas de segurança nas empresas. Em 2003, somente ascompanhias americanas de grande porte gastaram 141,5
milhões de dólares devido a problemas de se-gurança e ao gerenciamento indevido
dos riscos, segundo pesquisa do Com-puter Security Institute (CSI), em
conjunto com o FBI.Os números são alarmantes – e
pouco está sendo feito para redu-zi-los. Ainda de acordo com apesquisa do CSI/FBI, empresas
com até 10 milhões de dólares defaturamento gastam por ano 500dólares para proteger cada funcio-
nário. Em empresas com faturamen-to superior a 1 bilhão de dólares, o
custo chega a 110 dólares por emprega-do a cada ano. Um investimento que não
tem trazido retorno. “O que trafega pela infra-estrutura de TI é possi-
velmente o ativo de maior valor numa organização, ainformação. Mas parece que o CIO não está apto a pro-
tegê-la. Os CIOs aprenderam a proteger o ambiente de TI,mas não a circulação das informações, os processos de negó-cios. Quem é efetivamente o dono da segurança nas empre-sas?”, afirma Ricardo Balkins, sócio da área de consultoriaem gestão de riscos empresariais da Deloitte Touche Toh-matsu. É certo que a maioria dos CIOs tem se preocupadocom a questão. Estudo recente do Gartner mostra que asbrechas de segurança e o medo da interrupção dos negóciossão a segunda maior preocupação dos CIOs brasileiros atual-mente, atrás apenas da recuperação da economia global. Noano passado, esse item estava na 22ª posição no ranking deprioridades de negócios. Em termos de preocupações de TI,o mesmo estudo revela que a implementação de ferramen-tas de segurança é a primeira colocada – estava na terceiraposição no levantamento anterior. Muitos executivos de TI,
no entanto, não conseguem sequer responder com certezaquem manda na segurança da informação da empresa ondetrabalham. Ou o comando é dividido, ou o Chief SecurityOfficer (CSO) não existe, ou ele não tem autonomia, ou odepartamento de segurança da informação (quando há um)está localizado numa zona cinzenta do organograma da em-presa, com múltiplos reportes. Nem um orçamento de segu-rança é formalmente definido. Normalmente ele acaba sediluindo no budget de TI.
“A segurança nas empresas precisa ser centralizada e issonão está acontecendo”, afirma André Coutinho, diretor deRisk Advisory Services da KPMG. “Muitas empresas pos-suem a figura do CSO, que deveria ser um par do CIO, masna maioria das organizações ele está abaixo. Também se falano Chief Risk Officer (CRO), mas ele é cada vez mais umafigura de auditoria, longe do dia-a-dia da operação. Talvez omaior problema seja que essa regra não é fixa, cada organiza-ção faz do jeito que bem entender”, diz Coutinho. Sua em-presa se encaixa nesse perfil? Então prepare-se.
Segurança é responsabilidade da TI?Se correr riscos é algo inerente aos negócios de uma em-
presa, gerenciá-los é quase uma arte. Peter Drucker, o gurudo marketing e da administração de negócios, já dizia que apropensão a encarar o risco está presente em todo executivobem sucedido e é, possivelmente, o segredo do sucesso demuitas empresas. “O desafio é tentar definir quais riscos pre-cisam ser enfrentados e minimizá-los”, afirma Drucker.
Muitas empresas, no entanto, fazem justamente o contrá-rio: minimizam os riscos antes mesmo de enfrentá-los, subes-timando o efeito catastrófico que eles podem causar. Quan-do é feita uma análise dos riscos da TI, o foco sempre é dire-cionado para ameaças externas e internas. Uma pesquisa daDeloitte com as maiores empresas do segmento financeiroverificou que 83% delas foram alvo de ataques (como víruse hackers) ao longo de 12 meses, com perdas financeiras efe-tivas para 40% delas. No entanto, uma ameaça muito impor-tante, a falta de definição de uma estrutura centralizada desegurança, é freqüentemente esquecida.
“A segurança parece ser algo simbólico nas empresas. To-do mundo sabe que algo precisa ser feito, mas ninguém faz.A grande dificuldade do CIO é deixar na mão do usuário aresponsabilidade de aplicar as políticas de segurança. Issonão funciona”, diz Miguel Macedo, principal executivo daTrend Micro no Brasil. “Portanto, o primeiro passo é montaruma estrutura que funcione.”
Como fazer isso? Parece consenso entre os especialistasque o CSO deve ter o mesmo nível hierárquico que o CIOe tomar o poder dessa área. Ou, em outras palavras, é quaseunanimidade que a área de segurança não deve ser gerencia-
V
509784 CORPORATE|Mat Capa 26/07/2004 10:41 Page 30
|| C A P A / S E G U R A N Ç A ||
ocê já parou para pensar se a área de se-gurança da informação está no lugar certo
dentro da sua empresa? Se os riscos que atecnologia traz hoje ao ambiente corporativo
estão quantificados e devidamente controladospor um departamento específico, que centrali-
za a inteligência e as operações contra ameaçasinternas e externas? Aparentemente, não! De acor-
do com uma pesquisa recente da consultoriaKPMG, 53% das grandes empresas brasileiras não
possuem uma área de gerenciamento de riscos e con-trole da segurança da informação. Desse montante,
33% nem pretendem criar um departamento específicopara esse fim. Por outro lado, nunca se perdeu tanto com
falhas de segurança nas empresas. Em 2003, somente ascompanhias americanas de grande porte gastaram 141,5
milhões de dólares devido a problemas de se-gurança e ao gerenciamento indevido
dos riscos, segundo pesquisa do Com-puter Security Institute (CSI), em
conjunto com o FBI.Os números são alarmantes – e
pouco está sendo feito para redu-zi-los. Ainda de acordo com apesquisa do CSI/FBI, empresas
com até 10 milhões de dólares defaturamento gastam por ano 500dólares para proteger cada funcio-
nário. Em empresas com faturamen-to superior a 1 bilhão de dólares, o
custo chega a 110 dólares por emprega-do a cada ano. Um investimento que não
tem trazido retorno. “O que trafega pela infra-estrutura de TI é possi-
velmente o ativo de maior valor numa organização, ainformação. Mas parece que o CIO não está apto a pro-
tegê-la. Os CIOs aprenderam a proteger o ambiente de TI,mas não a circulação das informações, os processos de negó-cios. Quem é efetivamente o dono da segurança nas empre-sas?”, afirma Ricardo Balkins, sócio da área de consultoriaem gestão de riscos empresariais da Deloitte Touche Toh-matsu. É certo que a maioria dos CIOs tem se preocupadocom a questão. Estudo recente do Gartner mostra que asbrechas de segurança e o medo da interrupção dos negóciossão a segunda maior preocupação dos CIOs brasileiros atual-mente, atrás apenas da recuperação da economia global. Noano passado, esse item estava na 22ª posição no ranking deprioridades de negócios. Em termos de preocupações de TI,o mesmo estudo revela que a implementação de ferramen-tas de segurança é a primeira colocada – estava na terceiraposição no levantamento anterior. Muitos executivos de TI,
no entanto, não conseguem sequer responder com certezaquem manda na segurança da informação da empresa ondetrabalham. Ou o comando é dividido, ou o Chief SecurityOfficer (CSO) não existe, ou ele não tem autonomia, ou odepartamento de segurança da informação (quando há um)está localizado numa zona cinzenta do organograma da em-presa, com múltiplos reportes. Nem um orçamento de segu-rança é formalmente definido. Normalmente ele acaba sediluindo no budget de TI.
“A segurança nas empresas precisa ser centralizada e issonão está acontecendo”, afirma André Coutinho, diretor deRisk Advisory Services da KPMG. “Muitas empresas pos-suem a figura do CSO, que deveria ser um par do CIO, masna maioria das organizações ele está abaixo. Também se falano Chief Risk Officer (CRO), mas ele é cada vez mais umafigura de auditoria, longe do dia-a-dia da operação. Talvez omaior problema seja que essa regra não é fixa, cada organiza-ção faz do jeito que bem entender”, diz Coutinho. Sua em-presa se encaixa nesse perfil? Então prepare-se.
Segurança é responsabilidade da TI?Se correr riscos é algo inerente aos negócios de uma em-
presa, gerenciá-los é quase uma arte. Peter Drucker, o gurudo marketing e da administração de negócios, já dizia que apropensão a encarar o risco está presente em todo executivobem sucedido e é, possivelmente, o segredo do sucesso demuitas empresas. “O desafio é tentar definir quais riscos pre-cisam ser enfrentados e minimizá-los”, afirma Drucker.
Muitas empresas, no entanto, fazem justamente o contrá-rio: minimizam os riscos antes mesmo de enfrentá-los, subes-timando o efeito catastrófico que eles podem causar. Quan-do é feita uma análise dos riscos da TI, o foco sempre é dire-cionado para ameaças externas e internas. Uma pesquisa daDeloitte com as maiores empresas do segmento financeiroverificou que 83% delas foram alvo de ataques (como víruse hackers) ao longo de 12 meses, com perdas financeiras efe-tivas para 40% delas. No entanto, uma ameaça muito impor-tante, a falta de definição de uma estrutura centralizada desegurança, é freqüentemente esquecida.
“A segurança parece ser algo simbólico nas empresas. To-do mundo sabe que algo precisa ser feito, mas ninguém faz.A grande dificuldade do CIO é deixar na mão do usuário aresponsabilidade de aplicar as políticas de segurança. Issonão funciona”, diz Miguel Macedo, principal executivo daTrend Micro no Brasil. “Portanto, o primeiro passo é montaruma estrutura que funcione.”
Como fazer isso? Parece consenso entre os especialistasque o CSO deve ter o mesmo nível hierárquico que o CIOe tomar o poder dessa área. Ou, em outras palavras, é quaseunanimidade que a área de segurança não deve ser gerencia-
V
509784 CORPORATE|Mat Capa 26/07/2004 10:41 Page 30
I n f o C O R P O R AT E 3 3
|| C A P A / S E G U R A N Ç A ||
Fo t o Da r y a n D o r n e l l e sFo t o
O ROI da segurançaOutro ponto que dificulta a percepção da importância
da segurança é que é muito difícil justificar o investimentonessa área, o que torna a venda interna dos projetos com-plicada. “É pior do que um seguro de carro, que você pre-cisa ter para não ficar sujeito ao imponderável. Se a empre-sa é invadida, o que perde? Muita gente ainda prefere cor-rer o risco. Enquanto não acontece nada, as empresas nãose preocupam com segurança. E a indústria não está con-seguindo ajudar o cliente a priorizar. Hoje se investe semcritério porque não há ROI”, afirma Miguel Macedo, daTrend Micro. “Durante muito tempo os bancos suporta-vam perder dinheiro com fraudes porque saía mais barato
É fato: o CIOdeve respondercada vez menospela segurança
André Magalhães(CSO) e MarcosCaldas (CIO), daAlcoa: processo de auditoria internana área de segurançada informação dásuporte aosresultadosfinanceiros da companhia
da pela TI. Foi-se o tempo em que tudo o que passava peloscomputadores era de responsabilidade da área de tecnologia.“Muitas companhias estão transferindo o poder da seguran-ça da informação das mãos do CIO para as de um CSO in-dependente. Quanto mais madura uma organização está emtermos de gerenciamento de riscos, menos a área de TI res-
ponde pela segurança”, escreveu recentemente a revistaamericana CIO Magazine.
De acordo com José Eduardo Campos, ex-CSO daEmbraer e atual gerente de segurança da Microsoftpara a América Latina, entre 75% e 80% dos profissio-
nais de segurança respondem ao CIO. “Não é o ideal,mas é a realidade brasileira, o perfil encontrado na
grande maioria das organizações presentes no país”, afirma.“Há muita confusão em relação a esse assunto”, diz Leo-nardo Scudere, responsável pela área de gestão de riscos esegurança da IBM na América Latina. “Mas é fato que umCSO operário, ou seja, puramente de TI e subordinado aoCIO, não se mostra coerente com a realidade das grandesempresas. Então apareceu o Chief Information SecurityOfficer (CISO) para cumprir essa função e fazer com queo CSO fique realmente na mesma linha do CIO. Só que,no Brasil, o CSO e o CISO são praticamente a mesma fi-gura”, afirma Scudere. “O ideal é ter o CSO e o CIOolhando a estratégia e o CISO implementando.”
Sopa de letras à parte, realmente não há um modelo úni-co a ser seguido por quem quer gerenciar melhor os riscosda tecnologia da informação. Mas há fortes indícios de queessa área precisa mesmo sair dos domínios do CIO. À me-dida que a segurança da informação e a gestão de riscos ga-nham importância nas organizações, o CIO é obrigado adividir sua atenção com todo o seu dia-a-dia, o que incluiprojetos prioritários para o negócio e pelos quais ele é efeti-vamente cobrado. Isso acarreta um conflito de interessespara o comandante da área de tecnologia: uma vez que eleé obrigado a olhar para várias áreas ao mesmo tempo, aca-ba deixando a segurança de lado.
“Vivemos uma situação delicada. Quando o CIO está en-volvido em diversos projetos prioritários, que podem fazer adiferença no resultado da empresa, a tendência é esqueceraquilo que anda bem, ou seja, a segurança. Só se repara nelaquando as coisas vão mal. É uma impressão traiçoeira”, dizCarolina Aranha, gerente de segurança da Microsoft Brasil.
509784 CORPORATE|Mat Capa 24/07/2004 2:45 Page 32
I n f o C O R P O R AT E 3 3
|| C A P A / S E G U R A N Ç A ||
Fo t o Da r y a n D o r n e l l e sFo t o
O ROI da segurançaOutro ponto que dificulta a percepção da importância
da segurança é que é muito difícil justificar o investimentonessa área, o que torna a venda interna dos projetos com-plicada. “É pior do que um seguro de carro, que você pre-cisa ter para não ficar sujeito ao imponderável. Se a empre-sa é invadida, o que perde? Muita gente ainda prefere cor-rer o risco. Enquanto não acontece nada, as empresas nãose preocupam com segurança. E a indústria não está con-seguindo ajudar o cliente a priorizar. Hoje se investe semcritério porque não há ROI”, afirma Miguel Macedo, daTrend Micro. “Durante muito tempo os bancos suporta-vam perder dinheiro com fraudes porque saía mais barato
É fato: o CIOdeve respondercada vez menospela segurança
André Magalhães(CSO) e MarcosCaldas (CIO), daAlcoa: processo de auditoria internana área de segurançada informação dásuporte aosresultadosfinanceiros da companhia
da pela TI. Foi-se o tempo em que tudo o que passava peloscomputadores era de responsabilidade da área de tecnologia.“Muitas companhias estão transferindo o poder da seguran-ça da informação das mãos do CIO para as de um CSO in-dependente. Quanto mais madura uma organização está emtermos de gerenciamento de riscos, menos a área de TI res-
ponde pela segurança”, escreveu recentemente a revistaamericana CIO Magazine.
De acordo com José Eduardo Campos, ex-CSO daEmbraer e atual gerente de segurança da Microsoftpara a América Latina, entre 75% e 80% dos profissio-
nais de segurança respondem ao CIO. “Não é o ideal,mas é a realidade brasileira, o perfil encontrado na
grande maioria das organizações presentes no país”, afirma.“Há muita confusão em relação a esse assunto”, diz Leo-nardo Scudere, responsável pela área de gestão de riscos esegurança da IBM na América Latina. “Mas é fato que umCSO operário, ou seja, puramente de TI e subordinado aoCIO, não se mostra coerente com a realidade das grandesempresas. Então apareceu o Chief Information SecurityOfficer (CISO) para cumprir essa função e fazer com queo CSO fique realmente na mesma linha do CIO. Só que,no Brasil, o CSO e o CISO são praticamente a mesma fi-gura”, afirma Scudere. “O ideal é ter o CSO e o CIOolhando a estratégia e o CISO implementando.”
Sopa de letras à parte, realmente não há um modelo úni-co a ser seguido por quem quer gerenciar melhor os riscosda tecnologia da informação. Mas há fortes indícios de queessa área precisa mesmo sair dos domínios do CIO. À me-dida que a segurança da informação e a gestão de riscos ga-nham importância nas organizações, o CIO é obrigado adividir sua atenção com todo o seu dia-a-dia, o que incluiprojetos prioritários para o negócio e pelos quais ele é efeti-vamente cobrado. Isso acarreta um conflito de interessespara o comandante da área de tecnologia: uma vez que eleé obrigado a olhar para várias áreas ao mesmo tempo, aca-ba deixando a segurança de lado.
“Vivemos uma situação delicada. Quando o CIO está en-volvido em diversos projetos prioritários, que podem fazer adiferença no resultado da empresa, a tendência é esqueceraquilo que anda bem, ou seja, a segurança. Só se repara nelaquando as coisas vão mal. É uma impressão traiçoeira”, dizCarolina Aranha, gerente de segurança da Microsoft Brasil.
509784 CORPORATE|Mat Capa 24/07/2004 2:45 Page 32
I n f o C O R P O R AT E 3 53 4 I n f o C O R P O R AT E
|| C A P A / S E G U R A N Ç A ||
do que investir em segurança. Hoje, a equação virou e to-dos estão correndo atrás”, diz Rogério Morais, presidenteda Internet Security Systems (ISS).
Em organizações mais avançadas, são constituídos comi-tês de segurança com a participação de CIO, CSO, depar-tamento jurídico, RH e representantes das áreas de negócios.“Eles definem as prioridades, a política, os objetivos, quemfaz o que e, sobretudo, priorizam o que precisa ser feito, pa-ra a empresa não rasgar dinheiro”, afirma Ricardo Balkins,da Deloitte. Para Fernando Nery, presidente da Módulo Se-curity Solutions, o desafio é justamente conseguir priorizaro investimento. “O comitê é fundamental para tornar a segu-rança um agente viabilizador do negócio. Não adianta ter re-cursos para gastar se você não sabe exatamente onde. Há di-versos tipos de informação e nem todas necessitam do mes-mo tipo de segurança. É preciso hierarquizar”, diz Nery.
Após definir uma estrutura única de comando, uma estra-tégia de segurança e um plano de ação de acordo com asconclusões do comitê, CIO e CSO devem partir para a im-plementação das definições. “Tão importante quanto ter umcomando centralizado é implementar as políticas”, afirmaMacedo, da Trend Micro. Ele conta que recentemente umagrande empresa brasileira ficou três dias sem operar devidoao vírus Mydoom, pois o antivírus estava desatualizado. Emoutra grande empresa, um desenvolvedor esqueceu-se deinstalar o antivírus numa máquina antiga e permitiu a entra-
da do Slammer, que atacou o SQL Server e infectou 5 milmáquinas. “Investir em treinamento não é suficiente. As em-presas estão começando a forçar o cumprimento de políti-cas, ainda que de forma sutil, porque estão vendo que émuito difícil contar com a ajuda do usuário”, diz.
Macedo não está exagerando. Recentemente surgiramferramentas baseadas no que o mercado batizou de SecurityPolice Enforcement. “Quando um usuário vai se conectar àrede da sua empresa, por exemplo, esse tipo de ferramentaverifica se a máquina está configurada de acordo com as nor-mas da política de segurança”, afirma Leonardo Brotto, dire-tor de novos negócios da Trend na América Latina. “Se nãoestiver, a ferramenta simplesmente impede o acesso à redeaté que o usuário faça as atualizações necessárias. É uma for-ma de criar um bloqueio para o usuário não chegar até umavulnerabilidade e obrigá-lo a cumprir o estabelecido.” Masainda não inventaram uma ferramenta que impeça os usuá-rios de compartilhar informações sigilosas, dar a senha paraa secretária ou colá-la num postit no monitor.
“Nessas horas a onda de governança corporativa e de TIajuda”, afirma José Eduardo Campos, da Microsoft. “As exi-gências de normas como a Sarbanes-Oxley, o acordo da Ba-siléia II e a BS 7799, da ISO (International Organization forStandardization), só para citar as três regulamentações maisimportantes que surgiram nos últimos tempos, estão pressio-nando as empresas a se proteger mais e a centralizar a segu-rança”, diz ele. O risco chega a extrapolar a área de TI epode ter impactos legais, de marca e financeiros.
“A gestão operacional e legal dos riscos digitais acontecemuito mais pelas exigências do mercado e por conjunturasinternacionais do que por consciência de prevenção das em-presas. A segurança e a privacidade do dado são questões degrande implicação legal e não podem continuar a ser trata-das de modo amador ou com negligência”, afirma PatriciaPeck, especialista em direito digital e consultora associada daMenezes e Lopes Advogados. “Se até agora a prática de se-gurança era uma decisão restrita à TI, isso não procede mais.A magnitude dos incidentes trouxe consigo a exigência deconstruir uma base histórica de dados e criar metodologiasde controle que envolvem diversas áreas. Quantas empresaspossuem um plano de armazenamento de dados conciliadocom a necessidade da arquitetura legal de seu negócio?”
1>> Atuação da concorrência 44%2>> Tecnologia da informação 36%3>> Riscos operacionais 34%4>> Riscos legais e jurídicos 32%5>> Riscos financeiros 28%6>> Clientes 26%7>> Fraudes 26%8>> Cadeia de suprimento (SCM) 26%
Fonte: KPMG, 2004
Na Alcoa, o CSO mandaDiante de todas essas questões, como as empresas estão
reagindo e se adequando à necessidade de fechar as portas?Em muitas delas, a segurança tem dono e já trouxe resul-tados significativos. Veja o caso da Alcoa, maior produtorade alumínio do mundo, que faturou mais de 20 bilhões dedólares em 2003. Sua subsidiária brasileira viveu um mo-mento crítico de segurança há quase quatro anos, quando,nas palavras de seu CSO, André Magalhães, chegou-se ao“pico do risco”. Os sistemas da empresa eram frágeis e es-tavam vulneráveis.
Para tornar os sistemas mais confiáveis, Magalhães imple-mentou uma política formal de segurança, com especifica-ções claras para e-mail, internet e senhas. Outra determina-ção foi a de realizar uma política de auto-auditoria. Uma vez
Os riscos que as empresas enxergam como prioritários
509784 CORPORATE|Mat Capa 24/07/2004 1:04 Page 34
I n f o C O R P O R AT E 3 53 4 I n f o C O R P O R AT E
|| C A P A / S E G U R A N Ç A ||
do que investir em segurança. Hoje, a equação virou e to-dos estão correndo atrás”, diz Rogério Morais, presidenteda Internet Security Systems (ISS).
Em organizações mais avançadas, são constituídos comi-tês de segurança com a participação de CIO, CSO, depar-tamento jurídico, RH e representantes das áreas de negócios.“Eles definem as prioridades, a política, os objetivos, quemfaz o que e, sobretudo, priorizam o que precisa ser feito, pa-ra a empresa não rasgar dinheiro”, afirma Ricardo Balkins,da Deloitte. Para Fernando Nery, presidente da Módulo Se-curity Solutions, o desafio é justamente conseguir priorizaro investimento. “O comitê é fundamental para tornar a segu-rança um agente viabilizador do negócio. Não adianta ter re-cursos para gastar se você não sabe exatamente onde. Há di-versos tipos de informação e nem todas necessitam do mes-mo tipo de segurança. É preciso hierarquizar”, diz Nery.
Após definir uma estrutura única de comando, uma estra-tégia de segurança e um plano de ação de acordo com asconclusões do comitê, CIO e CSO devem partir para a im-plementação das definições. “Tão importante quanto ter umcomando centralizado é implementar as políticas”, afirmaMacedo, da Trend Micro. Ele conta que recentemente umagrande empresa brasileira ficou três dias sem operar devidoao vírus Mydoom, pois o antivírus estava desatualizado. Emoutra grande empresa, um desenvolvedor esqueceu-se deinstalar o antivírus numa máquina antiga e permitiu a entra-
da do Slammer, que atacou o SQL Server e infectou 5 milmáquinas. “Investir em treinamento não é suficiente. As em-presas estão começando a forçar o cumprimento de políti-cas, ainda que de forma sutil, porque estão vendo que émuito difícil contar com a ajuda do usuário”, diz.
Macedo não está exagerando. Recentemente surgiramferramentas baseadas no que o mercado batizou de SecurityPolice Enforcement. “Quando um usuário vai se conectar àrede da sua empresa, por exemplo, esse tipo de ferramentaverifica se a máquina está configurada de acordo com as nor-mas da política de segurança”, afirma Leonardo Brotto, dire-tor de novos negócios da Trend na América Latina. “Se nãoestiver, a ferramenta simplesmente impede o acesso à redeaté que o usuário faça as atualizações necessárias. É uma for-ma de criar um bloqueio para o usuário não chegar até umavulnerabilidade e obrigá-lo a cumprir o estabelecido.” Masainda não inventaram uma ferramenta que impeça os usuá-rios de compartilhar informações sigilosas, dar a senha paraa secretária ou colá-la num postit no monitor.
“Nessas horas a onda de governança corporativa e de TIajuda”, afirma José Eduardo Campos, da Microsoft. “As exi-gências de normas como a Sarbanes-Oxley, o acordo da Ba-siléia II e a BS 7799, da ISO (International Organization forStandardization), só para citar as três regulamentações maisimportantes que surgiram nos últimos tempos, estão pressio-nando as empresas a se proteger mais e a centralizar a segu-rança”, diz ele. O risco chega a extrapolar a área de TI epode ter impactos legais, de marca e financeiros.
“A gestão operacional e legal dos riscos digitais acontecemuito mais pelas exigências do mercado e por conjunturasinternacionais do que por consciência de prevenção das em-presas. A segurança e a privacidade do dado são questões degrande implicação legal e não podem continuar a ser trata-das de modo amador ou com negligência”, afirma PatriciaPeck, especialista em direito digital e consultora associada daMenezes e Lopes Advogados. “Se até agora a prática de se-gurança era uma decisão restrita à TI, isso não procede mais.A magnitude dos incidentes trouxe consigo a exigência deconstruir uma base histórica de dados e criar metodologiasde controle que envolvem diversas áreas. Quantas empresaspossuem um plano de armazenamento de dados conciliadocom a necessidade da arquitetura legal de seu negócio?”
1>> Atuação da concorrência 44%2>> Tecnologia da informação 36%3>> Riscos operacionais 34%4>> Riscos legais e jurídicos 32%5>> Riscos financeiros 28%6>> Clientes 26%7>> Fraudes 26%8>> Cadeia de suprimento (SCM) 26%
Fonte: KPMG, 2004
Na Alcoa, o CSO mandaDiante de todas essas questões, como as empresas estão
reagindo e se adequando à necessidade de fechar as portas?Em muitas delas, a segurança tem dono e já trouxe resul-tados significativos. Veja o caso da Alcoa, maior produtorade alumínio do mundo, que faturou mais de 20 bilhões dedólares em 2003. Sua subsidiária brasileira viveu um mo-mento crítico de segurança há quase quatro anos, quando,nas palavras de seu CSO, André Magalhães, chegou-se ao“pico do risco”. Os sistemas da empresa eram frágeis e es-tavam vulneráveis.
Para tornar os sistemas mais confiáveis, Magalhães imple-mentou uma política formal de segurança, com especifica-ções claras para e-mail, internet e senhas. Outra determina-ção foi a de realizar uma política de auto-auditoria. Uma vez
Os riscos que as empresas enxergam como prioritários
509784 CORPORATE|Mat Capa 24/07/2004 1:04 Page 34
|| C A P A / S E G U R A N Ç A ||
Não importaquanto suaempresa gastaem segurança,mas sim seexiste critériona hora deinvestir essedinheiro
por ano, uma localidade da Alcoa na América do Sul reali-za uma avaliação nas áreas de maior risco para a empresa,como finanças e TI. Dessa avaliação sai um relatório comamostras de problemas, critérios para solucioná-lo e provasdo que está sendo feito. No fim das contas, a avaliação aju-da no processo formal de auditoria, antecipando muitas con-clusões. “Essa estratégia também é um bom termômetro pa-ra saber a quantas anda o gerenciamento de riscos na empre-sa e se as pessoas estão implementando a política”, diz ele.
Magalhães acumula a função de chefe da segurança dainformação com a de contingência e continuidade de negó-cios. Ele é subordinado ao CIO da Alcoa, Marcos Caldas,mas possui autonomia para implementar soluções em todaa empresa. “Qualquer descuido em um computador podecausar uma catástrofe. Nunca quantifiquei o risco, mas ima-gine que tenho de fechar o resultado da empresa todo pri-meiro dia útil do mês, às 8 da manhã, e respeitar as normasda Sarbanes-Oxley. Quanto vou perder se o ambiente estiverparado ou se um problema de segurança me impedir de fa-zer isso?”, afirma Caldas. “Duvido que a área do André con-siga ter 100% de disponibilidade, é improvável. Mas eu au-torizo que ele gaste para ter isso. Se cabe no budget, nós fa-zemos”, diz Caldas.
A Alcoa investe anualmente 1,5 milhão de reais em segu-rança, sem contar os investimentos em contingência. “Te-mos de ser criteriosos. Quando você coloca um sistema pa-ra substituir um processo, tira o risco do processo e transferepara o sistema. E o sistema não corrige falhas de processo. Sevocê faz um sistema para corrigir um processo, só acelera epotencializa o erro. Esse cuidado baliza nosso investimen-to”, afirma Magalhães. Seguindo esse modelo, a Alcoa nãoregistra histórico de problemas há quase dois anos. Das 250notificações de problemas que a empresa registrava mensal-mente, restarem três, em média.
Do caos à estabilidade na Telemar A Telemar possui uma estrutura bem particular para
gerenciar a segurança da informação. O diretor de TIda operadora de telecomunicações, Marcos Calixto,tem debaixo de seu guarda-chuva uma área de infra-estru-tura comandada pelo gerente Adriano Reginaldo. Abaixodele fica o CSO da Telemar, Ricardo Dastis, que ora se re-porta a Calixto e ora se reporta a Reginaldo. É um dos ra-ros exemplos em organizações brasileiras em que o CSOconsegue se movimentar na horizontal entre as áreas de
Fo t o A l e x a n d r e B a t t i b u g l i
Marcos Calixto (CIO) e Ricardo Dastis(CSO), da Telemar: criação de um comitêmultidisciplinar para gerenciar a segurançapôs fim às madrugadas eliminando víruse tornou os funcionários mais conscientesda importância de se proteger
1 >> Existe um departamento para gerir riscos e segurança da informação na sua empresa?
A >> Não 53%B >> Sim 46%C >> Não sei 1%
2 >> Existe uma auditoria interna com foco em TI?A >> Sim 52%B >> Não 48%
3 >> O que na TI mais preocupa em termos de segurança?
A >> Vulnerabilidades internas e externas da rede 70%B >> Implantação de novos processos e sistemas 45%C >> Segregação de funções 36%D >> ERP 28%E >> Internet e comércio eletrônico 28%F >> Terceiros (outsourcing) 17%
FONTE: KPMG, 2004
Gerenciamento da segurança
509784 CORPORATE|Mat Capa 26/07/2004 10:48 Page 36
|| C A P A / S E G U R A N Ç A ||
Não importaquanto suaempresa gastaem segurança,mas sim seexiste critériona hora deinvestir essedinheiro
por ano, uma localidade da Alcoa na América do Sul reali-za uma avaliação nas áreas de maior risco para a empresa,como finanças e TI. Dessa avaliação sai um relatório comamostras de problemas, critérios para solucioná-lo e provasdo que está sendo feito. No fim das contas, a avaliação aju-da no processo formal de auditoria, antecipando muitas con-clusões. “Essa estratégia também é um bom termômetro pa-ra saber a quantas anda o gerenciamento de riscos na empre-sa e se as pessoas estão implementando a política”, diz ele.
Magalhães acumula a função de chefe da segurança dainformação com a de contingência e continuidade de negó-cios. Ele é subordinado ao CIO da Alcoa, Marcos Caldas,mas possui autonomia para implementar soluções em todaa empresa. “Qualquer descuido em um computador podecausar uma catástrofe. Nunca quantifiquei o risco, mas ima-gine que tenho de fechar o resultado da empresa todo pri-meiro dia útil do mês, às 8 da manhã, e respeitar as normasda Sarbanes-Oxley. Quanto vou perder se o ambiente estiverparado ou se um problema de segurança me impedir de fa-zer isso?”, afirma Caldas. “Duvido que a área do André con-siga ter 100% de disponibilidade, é improvável. Mas eu au-torizo que ele gaste para ter isso. Se cabe no budget, nós fa-zemos”, diz Caldas.
A Alcoa investe anualmente 1,5 milhão de reais em segu-rança, sem contar os investimentos em contingência. “Te-mos de ser criteriosos. Quando você coloca um sistema pa-ra substituir um processo, tira o risco do processo e transferepara o sistema. E o sistema não corrige falhas de processo. Sevocê faz um sistema para corrigir um processo, só acelera epotencializa o erro. Esse cuidado baliza nosso investimen-to”, afirma Magalhães. Seguindo esse modelo, a Alcoa nãoregistra histórico de problemas há quase dois anos. Das 250notificações de problemas que a empresa registrava mensal-mente, restarem três, em média.
Do caos à estabilidade na Telemar A Telemar possui uma estrutura bem particular para
gerenciar a segurança da informação. O diretor de TIda operadora de telecomunicações, Marcos Calixto,tem debaixo de seu guarda-chuva uma área de infra-estru-tura comandada pelo gerente Adriano Reginaldo. Abaixodele fica o CSO da Telemar, Ricardo Dastis, que ora se re-porta a Calixto e ora se reporta a Reginaldo. É um dos ra-ros exemplos em organizações brasileiras em que o CSOconsegue se movimentar na horizontal entre as áreas de
Fo t o A l e x a n d r e B a t t i b u g l i
Marcos Calixto (CIO) e Ricardo Dastis(CSO), da Telemar: criação de um comitêmultidisciplinar para gerenciar a segurançapôs fim às madrugadas eliminando víruse tornou os funcionários mais conscientesda importância de se proteger
1 >> Existe um departamento para gerir riscos e segurança da informação na sua empresa?
A >> Não 53%B >> Sim 46%C >> Não sei 1%
2 >> Existe uma auditoria interna com foco em TI?A >> Sim 52%B >> Não 48%
3 >> O que na TI mais preocupa em termos de segurança?
A >> Vulnerabilidades internas e externas da rede 70%B >> Implantação de novos processos e sistemas 45%C >> Segregação de funções 36%D >> ERP 28%E >> Internet e comércio eletrônico 28%F >> Terceiros (outsourcing) 17%
FONTE: KPMG, 2004
Gerenciamento da segurança
509784 CORPORATE|Mat Capa 26/07/2004 10:48 Page 36