Integrando o Conceito de Security by Design ao Planejamento Estratégico em um Mundo VUCA

Em um mundo cada vez mais volátil, incerto, complexo e ambíguo (VUCA), a segurança da informação, definitivamente, deve ser uma preocupação crítica para as empresas. Os ataques cibernéticos estão em ascensão, ameaçando não apenas os dados sensíveis, mas também a própria sobrevivência das organizações. Além disso, é consenso de que nos tempos atuais, é sumariamente impossível pensarmos em negócios, sem levarmos a tecnologia em consideração. Nesse contexto, aplicar o conceito de “security by design” ao planejamento estratégico de uma empresa é uma estratégia acertada para garantir a proteção adequada contra ameaças digitais e a sobrevivência do seu negócio.

O Mundo VUCA

O conceito de VUCA foi originalmente desenvolvido no contexto militar nos Estados Unidos durante a Guerra Fria para descrever a natureza desafiadora e imprevisível das operações militares e a necessidade de adaptabilidade estratégica. No entanto, ao longo do tempo, o termo foi adotado em outros campos, incluindo negócios e gestão, para descrever as condições em constante mudança e a incerteza que as organizações enfrentam.

O termo “VUCA” é um acrônimo que representa quatro características-chave do ambiente de negócios e da sociedade moderna. Essas características são:

Volatilidade (Volatility): Refere-se à natureza instável e imprevisível das mudanças e eventos. Fatos podem acontecer rapidamente e sem aviso prévio, tornando difícil antecipar o que acontecerá no futuro.

Incerteza (Uncertainty): Envolve a falta de clareza sobre eventos futuros e a dificuldade de prever as consequências de ações específicas. Em um ambiente VUCA, as informações podem ser incompletas ou ambíguas, tornando a tomada de decisão mais desafiadora.

Complexidade (Complexity): Refere-se à intricada interconexão de fatores, sistemas e variáveis que influenciam os eventos e as decisões. A complexidade pode tornar difícil entender as relações causa-efeito e identificar soluções simples para problemas.

Ambiguidade (Ambiguity): Envolve a falta de clareza sobre a interpretação dos eventos e informações disponíveis. Em um ambiente ambíguo, múltiplas interpretações são possíveis, e as respostas podem variar dependendo do ponto de vista.

Security by Design

O conceito de “security by design” envolve a incorporação deliberada de medidas de segurança desde a fase inicial do design e desenvolvimento de um sistema, aplicativo, produto ou serviço. Isso significa que a segurança é considerada como um requisito fundamental desde o momento em que o projeto é concebido.

O conceito é bastante presente no âmbito da arquitetura de software e entre desenvolvedores que visam criar sistemas de alta qualidade, resilientes e com o máximo de segurança. As salvaguardas adotadas pelo “Security by Design” são perfeitamente extensíveis a qualquer tipo de projeto. Arquitetos de sistemas, assim como gestores e líderes, devem considerar ameaças potenciais, vulnerabilidades e medidas de segurança adequadas desde o início dos processos de concepção de produtos ou negócios. Isso ajuda a reduzir a probabilidade de falhas de segurança graves no resultado final.

Planejando Negócios com Segurança em um mundo VUCA

1- Compreenda o ambiente VUCA

O primeiro passo para aplicar o conceito de “security by design” ao planejamento estratégico é entender o ambiente VUCA em que a empresa opera. Isso envolve reconhecer a volatilidade das condições de mercado, a incerteza em relação às mudanças regulatórias, a complexidade das interações entre sistemas e processos e a ambiguidade na interpretação de dados. Uma análise aprofundada desse contexto é fundamental para identificar potenciais ameaças à segurança que podem colocar o planejamento em risco.

2- Identifique Ativos de Informação Críticos

Dentro do contexto VUCA, as empresas devem identificar seus ativos de informação críticos. Isso inclui não apenas dados sensíveis, como informações financeiras e dados do cliente, mas também sistemas, aplicativos e processos que sustentam operações estratégicas. Ao reconhecer esses ativos, a empresa pode direcionar os esforços de segurança de forma mais eficaz.

Ativos de informação diante de um mundo VUCA, merecem atenção especial não tão somente no que diz respeito à segurança do ativo em si, mas em relação aos níveis de volatilidade e incerteza dos dados que nortearão o negócio.

O planejamento estratégico deve levar em consideração a frequência em que os dados são coletados/consultados, para acompanhar a volatilidade dos mesmos, e tomar as precauções adequadas para que as fontes de informação sejam confiáveis e atualizadas, o que trabalhará a variável da incerteza.

Ativos para tomada de decisão também não podem deixar que a complexidade seja uma barreira. Cruzamentos de informações e disponibilização de insights devem ser mantidos simples e eficazes sempre que possível.

Ainda falando sobre fontes de informação, durante o planejamento estratégico é recomendável que as origens das informações sejam padronizadas e que hajam mecanismos, preferencialmente movidos a IA e ML, para dirimir ambiguidades, que podem levar a decisões equivocadas, ou menos adequadas, durante a jornada.

3- Incorpore Segurança ao Planejamento

Ao criar o plano estratégico, é vital integrar a segurança desde o início. Isso significa que a equipe de planejamento deve considerar as ameaças potenciais e as medidas de segurança adequadas ao desenvolver estratégias e metas. Os princípios de “security by design”, idealmente, devem ser difundidos na cultura organizacional, garantindo que a segurança seja uma parte inerente das operações.

4- Estabeleça Políticas e Procedimentos de Segurança

Procedimentos e políticas de segurança são usualmente relacionados ao ambiente cibernético mas são extensíveis ao âmbito estratégico da corporação. Do ponto de vista extremamente dinâmico do VUCA, variações e instabilidades são inerentes e constantes. Para lidar com esse cenário, um conjunto de padrões corporativos de segurança no que diz respeito a todo o tipo de dado que alimentará a companhia durante a execução do plano estratégico é recomendado.

É essencial criar políticas e procedimentos de segurança claros e abrangentes. Isso inclui políticas de acesso à informação, criptografia de dados, gerenciamento de identidade e acesso, quando falamos puramente de tecnologia. Quando levamos a segurança a um nível estratégico, políticas relacionadas a compliance corporativo, procedimentos relacionados a fontes de informação e processos de auditoria junto a parceiros e fornecedores são alguns ativos essenciais para a condução do planejamento. Essas políticas devem ser comunicadas e treinadas em toda a organização para garantir que todos os funcionários estejam cientes das melhores práticas de segurança.

5- Avalie Riscos e Respostas a Incidentes

É sempre importante relembrar que, quando falamos em segurança, não existem garantias e os riscos ao negócio não deixarão de existir. Aplicar segurança é a arte de tratar riscos para que eles sejam reduzidos até um nível aceitável e saudável para o negócio.

Em um ambiente VUCA, a avaliação contínua de riscos é fundamental e deve ser conduzida em fase inicial de planejamento, de maneira bastante criteriosa. As ameaças cibernéticas estão em constante evolução, e a empresa deve adaptar suas medidas de segurança de acordo.

Como já comentamos, os riscos não deixarão de existir apenas porque tomamos algumas medidas preventivas. Os planos de resposta servem para que a companhia tenha a mão, a resposta imediata para casos onde um risco, que foi devidamente minimizado, mas ainda assim, foi explorado por uma ameaça.

A linha de ação ideal aqui é que cada risco apontado durante a avaliação inicial, tenha um plano de resposta. Obviamente, riscos de impacto mais alto, como uma violação de dados pessoais em massa, devem ter planos de resposta mais robustos, envolvendo departamentos legais, marketing, RP, TI e etc.

Riscos de menor impacto, podem não ter um plano tão rebuscado de resposta, mas não devem ser negligenciados. Um exemplo seria a corrupção de um arquivo de texto, por exemplo.Não há um impacto significativo nas operações do negócio, mas esse arquivo acaba sendo necessário para algumas operações inter departamentais e acaba causando um atraso em alguma entrega. Para lidar com estes pequenos eventos, processos e planos devem também estar em vigor e devem ser de conhecimento, e fácil acesso, a todos .

6- Monitoramento e Melhoria Contínua

Por fim, o “security by design” no planejamento estratégico requer monitoramento constante e melhoria contínua. Volatilidade e incerteza pedem realinhamento frequente. Reavaliar o planejamento com frequência, retroalimentando este planejamento com informações produzidas por ele mesmo, geram resultados surpreendentes. Novas tecnologias surgem a todo o instante, assim como compliances regulatórios também se atualizam com frequência e novas fontes de informação relevante aparecem do dia para a noite. Da mesma maneira, certas informações ou compliances deixam de ser relevantes e tecnologias se esgotam em pouco tempo.

Observar a movimentação do mercado, da tecnologia e do ambiente onde a companhia se encontra, é a base do conceito de monitoramento. Além dos tradicionais monitoramentos de segurança cibernética, monitorar o comportamento do mercado usando ferramentas adequadas e gerando informação, vai servir como combustível de melhoria para as recorrências onde o planejamento estratégico será realinhado, de posse de informação fresca e clara. A condução do planejamento estratégico levando a segurança em consideração, deve prever essas visitas recorrentes para realinhamento com as alterações que o mundo VUCA provoca.

Como a EximiaCo pode lhe ajudar

Se a sua organização está avaliando implementar procedimentos e políticas de segurança em seu planejamento estratégico, conheça nossa jornada de Adoção de Processos Seguros e nossa Consultoria e Assessoria em Segurança da Informação, para entender de que forma a EximiaCo pode ajudar sua empresa a utilizar a tecnologia do jeito certo.

Compartilhe este insight:

Comentários

Participe deixando seu comentário sobre este artigo a seguir:

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments

AUTOR

Wendel Siota
Mais de 25 anos de experiência em cyber security em grandes corporações.

INSIGHTS EXIMIACO

Segurança da Informação

Ambientes mais seguros para sua empresa crescer com confiança.

Manual do CSO

Como atuar com excelência na gestão de segurança corporativa.
Especialista em segurança da informação

NOVOS HORIZONTES PARA O SEU NEGÓCIO

Nosso time está preparado para superar junto com você grandes desafios tecnológicos.

Entre em contato e vamos juntos utilizar a tecnologia do jeito certo para gerar mais resultados.

Insights EximiaCo

Confira os conteúdos de negócios e tecnologia desenvolvidos pelos nossos consultores:

Segurança da Informação

Vulnerabilidades Ocultas – Por Que Seu Sistema Está Mais Exposto do Que Você Imagina

Especialista em Segurança da Informação
Segurança da Informação

Transformando Dores em Oportunidades – Como um Plano de Ação Personalizado Pode Proteger Seu Negócio

Especialista em Segurança da Informação
Segurança da Informação

Segurança Digital Estratégica – Como Aumentar a Proteção Sem Comprometer a Operação

Especialista em Segurança da Informação
0
Queremos saber a sua opinião, deixe seu comentáriox

A sua inscrição foi realizada com sucesso!

O link de acesso à live foi enviado para o seu e-mail. Nos vemos no dia da live.

Muito obrigado!

Deu tudo certo com seu envio!
Logo entraremos em contato

Integrando o Conceito de Security by Design ao Planejamento Estratégico em um Mundo VUCA

Para se candidatar nesta turma aberta, preencha o formulário a seguir:

Integrando o Conceito de Security by Design ao Planejamento Estratégico em um Mundo VUCA

Para se candidatar nesta turma aberta, preencha o formulário a seguir:

Condição especial de pré-venda: R$ 14.000,00 - contratando a mentoria até até 31/01/2023 e R$ 15.000,00 - contratando a mentoria a partir de 01/02/2023, em até 12x com taxas.

Tenho interesse nessa capacitação

Para solicitar mais informações sobre essa capacitação para a sua empresa, preencha o formulário a seguir:

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

O seu insight foi excluído com sucesso!

O seu insight foi excluído e não está mais disponível.

O seu insight foi salvo com sucesso!

Ele está na fila de espera, aguardando ser revisado para ter sua publicação programada.

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse nessa solução

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse neste serviço

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

× Precisa de ajuda?