Em um mundo cada vez mais volátil, incerto, complexo e ambíguo (VUCA), a segurança da informação, definitivamente, deve ser uma preocupação crítica para as empresas. Os ataques cibernéticos estão em ascensão, ameaçando não apenas os dados sensíveis, mas também a própria sobrevivência das organizações. Além disso, é consenso de que nos tempos atuais, é sumariamente impossível pensarmos em negócios, sem levarmos a tecnologia em consideração. Nesse contexto, aplicar o conceito de “security by design” ao planejamento estratégico de uma empresa é uma estratégia acertada para garantir a proteção adequada contra ameaças digitais e a sobrevivência do seu negócio.
O Mundo VUCA
O conceito de VUCA foi originalmente desenvolvido no contexto militar nos Estados Unidos durante a Guerra Fria para descrever a natureza desafiadora e imprevisível das operações militares e a necessidade de adaptabilidade estratégica. No entanto, ao longo do tempo, o termo foi adotado em outros campos, incluindo negócios e gestão, para descrever as condições em constante mudança e a incerteza que as organizações enfrentam.
O termo “VUCA” é um acrônimo que representa quatro características-chave do ambiente de negócios e da sociedade moderna. Essas características são:
Volatilidade (Volatility): Refere-se à natureza instável e imprevisível das mudanças e eventos. Fatos podem acontecer rapidamente e sem aviso prévio, tornando difícil antecipar o que acontecerá no futuro.
Incerteza (Uncertainty): Envolve a falta de clareza sobre eventos futuros e a dificuldade de prever as consequências de ações específicas. Em um ambiente VUCA, as informações podem ser incompletas ou ambíguas, tornando a tomada de decisão mais desafiadora.
Complexidade (Complexity): Refere-se à intricada interconexão de fatores, sistemas e variáveis que influenciam os eventos e as decisões. A complexidade pode tornar difícil entender as relações causa-efeito e identificar soluções simples para problemas.
Ambiguidade (Ambiguity): Envolve a falta de clareza sobre a interpretação dos eventos e informações disponíveis. Em um ambiente ambíguo, múltiplas interpretações são possíveis, e as respostas podem variar dependendo do ponto de vista.
Security by Design
O conceito de “security by design” envolve a incorporação deliberada de medidas de segurança desde a fase inicial do design e desenvolvimento de um sistema, aplicativo, produto ou serviço. Isso significa que a segurança é considerada como um requisito fundamental desde o momento em que o projeto é concebido.
O conceito é bastante presente no âmbito da arquitetura de software e entre desenvolvedores que visam criar sistemas de alta qualidade, resilientes e com o máximo de segurança. As salvaguardas adotadas pelo “Security by Design” são perfeitamente extensíveis a qualquer tipo de projeto. Arquitetos de sistemas, assim como gestores e líderes, devem considerar ameaças potenciais, vulnerabilidades e medidas de segurança adequadas desde o início dos processos de concepção de produtos ou negócios. Isso ajuda a reduzir a probabilidade de falhas de segurança graves no resultado final.
Planejando Negócios com Segurança em um mundo VUCA
1- Compreenda o ambiente VUCA
O primeiro passo para aplicar o conceito de “security by design” ao planejamento estratégico é entender o ambiente VUCA em que a empresa opera. Isso envolve reconhecer a volatilidade das condições de mercado, a incerteza em relação às mudanças regulatórias, a complexidade das interações entre sistemas e processos e a ambiguidade na interpretação de dados. Uma análise aprofundada desse contexto é fundamental para identificar potenciais ameaças à segurança que podem colocar o planejamento em risco.
2- Identifique Ativos de Informação Críticos
Dentro do contexto VUCA, as empresas devem identificar seus ativos de informação críticos. Isso inclui não apenas dados sensíveis, como informações financeiras e dados do cliente, mas também sistemas, aplicativos e processos que sustentam operações estratégicas. Ao reconhecer esses ativos, a empresa pode direcionar os esforços de segurança de forma mais eficaz.
Ativos de informação diante de um mundo VUCA, merecem atenção especial não tão somente no que diz respeito à segurança do ativo em si, mas em relação aos níveis de volatilidade e incerteza dos dados que nortearão o negócio.
O planejamento estratégico deve levar em consideração a frequência em que os dados são coletados/consultados, para acompanhar a volatilidade dos mesmos, e tomar as precauções adequadas para que as fontes de informação sejam confiáveis e atualizadas, o que trabalhará a variável da incerteza.
Ativos para tomada de decisão também não podem deixar que a complexidade seja uma barreira. Cruzamentos de informações e disponibilização de insights devem ser mantidos simples e eficazes sempre que possível.
Ainda falando sobre fontes de informação, durante o planejamento estratégico é recomendável que as origens das informações sejam padronizadas e que hajam mecanismos, preferencialmente movidos a IA e ML, para dirimir ambiguidades, que podem levar a decisões equivocadas, ou menos adequadas, durante a jornada.
3- Incorpore Segurança ao Planejamento
Ao criar o plano estratégico, é vital integrar a segurança desde o início. Isso significa que a equipe de planejamento deve considerar as ameaças potenciais e as medidas de segurança adequadas ao desenvolver estratégias e metas. Os princípios de “security by design”, idealmente, devem ser difundidos na cultura organizacional, garantindo que a segurança seja uma parte inerente das operações.
4- Estabeleça Políticas e Procedimentos de Segurança
Procedimentos e políticas de segurança são usualmente relacionados ao ambiente cibernético mas são extensíveis ao âmbito estratégico da corporação. Do ponto de vista extremamente dinâmico do VUCA, variações e instabilidades são inerentes e constantes. Para lidar com esse cenário, um conjunto de padrões corporativos de segurança no que diz respeito a todo o tipo de dado que alimentará a companhia durante a execução do plano estratégico é recomendado.
É essencial criar políticas e procedimentos de segurança claros e abrangentes. Isso inclui políticas de acesso à informação, criptografia de dados, gerenciamento de identidade e acesso, quando falamos puramente de tecnologia. Quando levamos a segurança a um nível estratégico, políticas relacionadas a compliance corporativo, procedimentos relacionados a fontes de informação e processos de auditoria junto a parceiros e fornecedores são alguns ativos essenciais para a condução do planejamento. Essas políticas devem ser comunicadas e treinadas em toda a organização para garantir que todos os funcionários estejam cientes das melhores práticas de segurança.
5- Avalie Riscos e Respostas a Incidentes
É sempre importante relembrar que, quando falamos em segurança, não existem garantias e os riscos ao negócio não deixarão de existir. Aplicar segurança é a arte de tratar riscos para que eles sejam reduzidos até um nível aceitável e saudável para o negócio.
Em um ambiente VUCA, a avaliação contínua de riscos é fundamental e deve ser conduzida em fase inicial de planejamento, de maneira bastante criteriosa. As ameaças cibernéticas estão em constante evolução, e a empresa deve adaptar suas medidas de segurança de acordo.
Como já comentamos, os riscos não deixarão de existir apenas porque tomamos algumas medidas preventivas. Os planos de resposta servem para que a companhia tenha a mão, a resposta imediata para casos onde um risco, que foi devidamente minimizado, mas ainda assim, foi explorado por uma ameaça.
A linha de ação ideal aqui é que cada risco apontado durante a avaliação inicial, tenha um plano de resposta. Obviamente, riscos de impacto mais alto, como uma violação de dados pessoais em massa, devem ter planos de resposta mais robustos, envolvendo departamentos legais, marketing, RP, TI e etc.
Riscos de menor impacto, podem não ter um plano tão rebuscado de resposta, mas não devem ser negligenciados. Um exemplo seria a corrupção de um arquivo de texto, por exemplo.Não há um impacto significativo nas operações do negócio, mas esse arquivo acaba sendo necessário para algumas operações inter departamentais e acaba causando um atraso em alguma entrega. Para lidar com estes pequenos eventos, processos e planos devem também estar em vigor e devem ser de conhecimento, e fácil acesso, a todos .
6- Monitoramento e Melhoria Contínua
Por fim, o “security by design” no planejamento estratégico requer monitoramento constante e melhoria contínua. Volatilidade e incerteza pedem realinhamento frequente. Reavaliar o planejamento com frequência, retroalimentando este planejamento com informações produzidas por ele mesmo, geram resultados surpreendentes. Novas tecnologias surgem a todo o instante, assim como compliances regulatórios também se atualizam com frequência e novas fontes de informação relevante aparecem do dia para a noite. Da mesma maneira, certas informações ou compliances deixam de ser relevantes e tecnologias se esgotam em pouco tempo.
Observar a movimentação do mercado, da tecnologia e do ambiente onde a companhia se encontra, é a base do conceito de monitoramento. Além dos tradicionais monitoramentos de segurança cibernética, monitorar o comportamento do mercado usando ferramentas adequadas e gerando informação, vai servir como combustível de melhoria para as recorrências onde o planejamento estratégico será realinhado, de posse de informação fresca e clara. A condução do planejamento estratégico levando a segurança em consideração, deve prever essas visitas recorrentes para realinhamento com as alterações que o mundo VUCA provoca.
Como a EximiaCo pode lhe ajudar
Se a sua organização está avaliando implementar procedimentos e políticas de segurança em seu planejamento estratégico, conheça nossa jornada de Adoção de Processos Seguros e nossa Consultoria e Assessoria em Segurança da Informação, para entender de que forma a EximiaCo pode ajudar sua empresa a utilizar a tecnologia do jeito certo.