Quais os desafios da segurança da informação para os próximos dez anos? Podemos prever? Tomo a liberdade de fazer minhas previsões. É um risco (pessoal) fazer afirmações sobre o futuro. Mas, se não acertar, estarei em boa companhia.
Vocês conhecem estas previsões?
- O mercado financeiro está muito saudável e nenhum crash acontecerá.
- Não há razão para que alguém queira ter um computador em casa.
- Não há a menor indicação de que a energia nuclear será obtida. Isso significaria que o átomo teria que ser rompido no futuro.
- Em 2001 o homem terá colônias de exploração na Lua. A PanAm será a única companhia aérea a servir o espaço.
Sabem quem foram seus autores?
- Peter Drucker , em relatório escrito quando era funcionário de um banco em Frankfurt, na véspera da quebra da Bolsa de Nova York, em 1929. Informação dada por Doris Drucker em entrevista, HSM Management.
- Ken Olson, presidente e fundador da Digital Equipment Corp (DEC), fabricante de computadores mainframe, discutindo os computadores pessoais, em 1977.
- Albert Einstein, em 1932.
- Arthur Clarke, Cientista, 1968.
Nos próximos dez anos, entendo que teremos os seguintes desafios em segurança da informação:
As pessoas entenderão melhor que a segurança existe para a organização e que os recursos de informação devem possibilitar que o seu negócio seja realizado, que sua missão seja alcançada e que os riscos de indisponibilidade do negócio sejam minimizados.
Maior exigência de que os serviços e produtos disponibilizados pela organização sejam acessíveis para os clientes em qualquer lugar e a qualquer momento. Isso significa que a continuidade do negócio será um direcionador dos investimentos em segurança. A pesquisa global de segurança da informação realizada pela PricewaterhouseCoopers indica essa preocupação de 41% dos executivos, pesquisados em 2009.
Existirão controles mais rígidos para a garantia da verdadeira identidade (pessoas, ambientes, sites, servidores e qualquer elemento que necessite provar sua identidade). No período de 2008 a 2009, o CSI - Computer Security Institute - indicou que o roubo de identidade praticamente dobrou (de 9% para 17%)
Necessidade de mais controles sobre o acesso à informação e dados, pois existirão dados sobre todos, sobre tudo e especificamente sobre cada pessoa. Nada e ninguém ficará despercebido. Tudo estará registrado e a privacidade, para existir, demandará controles para definir quem poderá autorizar os acessos às informações. A imagem de cada organização pode ficar comprometida se pessoas indevidas acessarem certas informações. Em recente pesquisa da Ernst & Young, ficou registrado que falha em segurança pode ter mais impacto na reputação do que no faturamento da organização.
Maior democratização da informação. Todas as classes terão acesso à informação. Esse fato parece apenas positivo. Aliás, é um fato positivo. Porém, acarreta desafios para a segurança da informação. Esse fato exigirá regras e regulamentos efetivos, o judiciário terá que atender ao mundo virtual e todos dependerão mais da informação, que poderá ser manipulada. Atualmente já existe uma preocupação com pesquisas que são feitas em sites de busca. As pessoas se contentam com as primeiras respostas, isto é, ficam apenas com a primeira pagina. Se a colocação de resultados for manipulada (comercial ou ideologicamente), as pessoas não acessarão a resposta mais correta ou a mais completa.
Aumentará o roubo de informação. Muitos concorrentes não agirão de maneira politicamente correta e usarão qualquer meio, inclusive o roubo, para obter informações das outras empresas. Porém, deverá se dar uma atenção especial para que as organizações não sejam negligentes e doem informações para o resto do mundo, através de documentos confidenciais jogados no lixo sem estarem destruídos, conversas em happy hours e ações semelhantes.
Maior dependência de fornecedores. Isso significará que seus fornecedores deverão ter o mesmo nível de proteção da informação (ou maior) que a sua organização. O Instituto Gartner prevê que, já em 2012, 20% das organizações não terão ativos em TI. Eles estarão nas nuvens de serviços.
Redes sociais. O desafio da segurança da informação é ter regras claras para o uso (pessoal e institucional) das redes sociais. Mais do que segurança, a organização precisa discutir os limites da pessoa e da empresa. Um gestor da organização pode, em seu Twitter pessoal, xingar adversários de times de futebol? Mesmo que os destinatários sejam clientes?
As pessoas entenderão melhor que a segurança existe para a organização e que os recursos de informação devem possibilitar que o seu negócio seja realizado, que sua missão seja alcançada e que os riscos de indisponibilidade do negócio sejam minimizados.
Maior exigência de que os serviços e produtos disponibilizados pela organização sejam acessíveis para os clientes em qualquer lugar e a qualquer momento. Isso significa que a continuidade do negócio será um direcionador dos investimentos em segurança. A pesquisa global de segurança da informação realizada pela PricewaterhouseCoopers indica essa preocupação de 41% dos executivos, pesquisados em 2009.
Existirão controles mais rígidos para a garantia da verdadeira identidade (pessoas, ambientes, sites, servidores e qualquer elemento que necessite provar sua identidade). No período de 2008 a 2009, o CSI - Computer Security Institute - indicou que o roubo de identidade praticamente dobrou (de 9% para 17%)
Necessidade de mais controles sobre o acesso à informação e dados, pois existirão dados sobre todos, sobre tudo e especificamente sobre cada pessoa. Nada e ninguém ficará despercebido. Tudo estará registrado e a privacidade, para existir, demandará controles para definir quem poderá autorizar os acessos às informações. A imagem de cada organização pode ficar comprometida se pessoas indevidas acessarem certas informações. Em recente pesquisa da Ernst & Young, ficou registrado que falha em segurança pode ter mais impacto na reputação do que no faturamento da organização.
Maior democratização da informação. Todas as classes terão acesso à informação. Esse fato parece apenas positivo. Aliás, é um fato positivo. Porém, acarreta desafios para a segurança da informação. Esse fato exigirá regras e regulamentos efetivos, o judiciário terá que atender ao mundo virtual e todos dependerão mais da informação, que poderá ser manipulada. Atualmente já existe uma preocupação com pesquisas que são feitas em sites de busca. As pessoas se contentam com as primeiras respostas, isto é, ficam apenas com a primeira pagina. Se a colocação de resultados for manipulada (comercial ou ideologicamente), as pessoas não acessarão a resposta mais correta ou a mais completa.
Aumentará o roubo de informação. Muitos concorrentes não agirão de maneira politicamente correta e usarão qualquer meio, inclusive o roubo, para obter informações das outras empresas. Porém, deverá se dar uma atenção especial para que as organizações não sejam negligentes e doem informações para o resto do mundo, através de documentos confidenciais jogados no lixo sem estarem destruídos, conversas em happy hours e ações semelhantes.
Maior dependência de fornecedores. Isso significará que seus fornecedores deverão ter o mesmo nível de proteção da informação (ou maior) que a sua organização. O Instituto Gartner prevê que, já em 2012, 20% das organizações não terão ativos em TI. Eles estarão nas nuvens de serviços.
Redes sociais. O desafio da segurança da informação é ter regras claras para o uso (pessoal e institucional) das redes sociais. Mais do que segurança, a organização precisa discutir os limites da pessoa e da empresa. Um gestor da organização pode, em seu Twitter pessoal, xingar adversários de times de futebol? Mesmo que os destinatários sejam clientes?
Esses desafios citados acima valerão para os próximos dez anos, mas já nos cercam. Solução? Existe, simples e complexa ao mesmo tempo. Consideramos que a Organização deve implantar ações básicas e estruturais:
Ter regulamentos (políticas e normas) explícitos, indicando qual o nível de proteção que se deseja.
Investir nas pessoas. É através das pessoas que a segurança da informação acontece.
Definir os controles de segurança da informação de maneira alinhada com os negócios da Organização.
Planejar e executar as ações de segurança.
Ter regulamentos (políticas e normas) explícitos, indicando qual o nível de proteção que se deseja.
Investir nas pessoas. É através das pessoas que a segurança da informação acontece.
Definir os controles de segurança da informação de maneira alinhada com os negócios da Organização.
Planejar e executar as ações de segurança.
Os desafios são para a toda a década, e as soluções precisam acontecer diariamente!
