Um dos problemas mais comuns da TI é ter de convencer o time de executivos sobre a importância da segurança da informação. Com os clientes ficando cada vez mais cautelosos e bem informados, felizmente, os negócios estão sendo forçados a tomar ações mais proativas para proteger dados sensíveis.
Problemas com a lei e a exposição
No Brasil há poucas leis definindo as obrigações das empresas na proteção dos dados de seus clientes. A exceção são alguns padrões de qualidade, que exigem, por exemplo, a presença de firewalls e a implementação de processos de risk assessment.
No entanto, no país não há, por exemplo, leis que cubram as ações de indústrias específicas, como o Health Insurance Portability and Accountability Act (HIPAA), que regula o setor de saúde nos Estados Unidos.
Porém, existem leis para regularizar o direito à privacidade, como a recente Lei Carolina Dieckmann, que pune o roubo de dados por terceiros. Vale lembrar a polêmica com o site NomesBrasil, que chegou a ser retirado do ar após oferecer dados de milhões de habitantes por valores que variavam entre R$ 9,90 e R$ 79,90.
Ou seja, uma violação que exponha dados pessoais de usuários pode render, se não uma grande perda financeira, pelo menos, uma polêmica capaz de causar um grande dano à imagem.
Segurança deve ser um processo contínuo
Mesmo quando as empresas passam a investir em segurança de dados, pode ser difícil ver esse investimento como um processo contínuo.
Por exemplo, o Payment Card Industry Security Standards Council (PCI-DSS) faz uma série de exigências de segurança para as empresas de cartão de débito e crédito, porém, para algumas empresas, o importante é apenas passar na avaliação, mesmo que o conselho do PCI esclareça que o ideal é manter um programa contínuo de risk assessments, remediações e monitoramento.
Qual é a solução
No último Chief Data Officer Summit, muitos executivos falaram sobre as vantagens de trabalhar as pequenas vitórias para demonstrar o ROI. O mesmo vale para as equipes de segurança.
É preciso ter em mente que mesmo a melhor estratégia de segurança não trará resultados da noite para o dia, mas é possível priorizar projetos e garantir pequenas vitórias para justificar o budget, os recursos e o apoio necessário.
Com Varonis