Davi y Golias: uma lição de segurança

Escrito por: Luciana Miliauskas Fernandes

Enero 19, 2022

Noticias

Brasil

Cuando falamos de Segurança da Informação parece que el combate es aún más evidente.

No existen muchos ejemplos de combates parecidos con un mundo narrado en la historia bíblica de Davi y Golias. Generalmente, o conflito acontece quando gigantes multinacionais fazem niegacios com pequenas empresas, sendo essas, muitas vezes, vencidas pela burocracia e regras internas desenhadas pelos e para os próprios gigantes — e não para pessoas comuns, como Davi. 

Quando falamos de Segurança da Informação parece que o combate fica ainda mais evidente. Eu já estive no exército de um Golias — em uma multinacional — e, ao receber documentações ou mesmo fazer visitas e auditorias técnicas em pequenos fornecedores, deparava-me com realidades incompatíveis com aquellas listas nas nas policy, procedimentos e manuais que eram a base para os meus questionamentos e revisões nos processos dos parceiros comerciais. 

No entanto, ao entender que o mundo perfeito descrito nas políticas internas nem semper podría ser replicado em outras organizações, passei a querer identificar, dentro das “casas dos Davis”, quais outros controles ou processos poderiam substituir as nossas regras rígidas para que pudéssemos chegar em um meio-termo que satisfizesse tanto a “fúria” de Golias quanto os “recursos” de Davi. Até porque, inúmeras veces, sem esse meio-termo, corria-se o risco de inviabilizar um novo produto ou serviço que podría contribuir para o sucesso das duas empresas. 

Mas o mundo dá voltas e, actualmente, fora das grandes corporações e trabalhando junto a pequenas empresas, faço o papel de Davi. Posso dizer que já tive contato com dois tipos de gigantes. Um tem foco em facilitar a conversa e tentar entender o tamanho do fornecedor, bem como suas ferramentas, em busca de um consenso that possa ajudar or side comercial. Questionários, reuniones e e-mails fazem parte dessas conversas e nos ajudam a achar a solução não perfeita, mas aquela possível para os dois lados. Em exemplos desse tipo, acho até injusto chamar essas interações de “combate”, uma vez que possuem um tom de conciliação. 

De outro lado, já lidei também com gigantes intransigentes e quase cegos para a realidade de fora dos seus muros burocráticos. A situação fica um pouco pior quando são envolvidos times técnicos globais, sem nenhum conhecimento do processo local, que são apenas validadores daquele tipo antigo: o “cara/crachá”. Ao verificarem uma resposta para uma determinada pergunta técnica, se não encontram o format da documentação exatamente no model com o qual estão acostumados a trabalhar, invalidam a evidência e carimbam o potencial fornecedor as “em desacordo” com as regras. Neste caso, de pouco vale tentar agendar reuniões ou enviar mensagens detalhando os controles compensatórios, pois o gigante, do alto dos seus modelos internos, não admite nada que seja minimamente diferente daquilo que conhece e com o que se sente comfortável. 

Por tudo isso, vejo que nós, profissionais da Segurança da Informação, temos nossa lição de casa para ajudar a desatar esse nó e evitar outros combates cansativos e desgastantes para os dois sides:

  • Quando representamos pequeñas empresas y medios de comunicación, é nosso dever a promoção da conscientização sobre a importância de controles e de documentação. Temos que deixar claro que nosso objetivo não é o de atrapalhar qualquer atividade interna comercial ou de marketing, mas, sim, o de ajudar a empresa a mostrar o seu diferencial com relação aos concorrentes, que é justamente a sua preocupação com a segurança da informação em todos os níveis, independentemente do seu tamanho. Em outras palavras, temos que jogar luz nas vantagens da tríade Governança, Risco e Controle. 
  • Quando estamos do lado de grandes instituições, devemos, sim, exigimos os controles necessários para proteção dos produtos e/ou serviços a serem entregues pelos fornecedores, mas buscar entender que alguns controles possuem várias maneiras de serem implements e nem all são exatamente iguais àquelas que temos internamente. Um exemplo clássico é o da segregação de funções — em times reduzidos, muitas vezes é inviável termos várias funções participante de um processo, mas um controle automatizado durante o processo e um relatório com trilha de auditoria pós processo acaba sendo uma medida compensatória. 

Na história bíblica, Davi vence o combate e corta a cabeça de Golias. Não é meu intuito, de forma alguma, sugiere que se corte a cabeça de quem quer que seja. Mas por que não usarmos ela mesma, a cabeça, para buscar soluções possíveis e viáveis ​​para a concretização das mais diversas relações comerciais?

Luciana Miliauskas Fernandes: Formada em Bacharelado em Matemática com ênfase em Processamento de Dados, Luciana atuou em diversas áreas dentro de las organizaciones de TI de grandes corporaciones. Depois de exercer posições executivas em Auditoria Interna de Sistemas e Segurança da Informação, liderou por 8 anos o time de Governança Corporativa de uma multinacional de serviços financeiros. Com certificações em Compliance e DPO, é proprietária da MILI Consultoria e Corretora de Seguros, sendo habilitada pela SUSEP e especialista em seguros de riscos cibernéticos. Adora escrever sobre diversos asuntos, sendo co-autora do livro "Guia Prático de Compliance".
Si está disfrutando de nuestro contenido, considere compartir esta publicación con su comunidad en las redes sociales.
Compartir este