Os cinco níveis de maturidade de segurança de dados: onde está a sua empresa?
Longe de ser uma iniciativa de luxo, o investimento em segurança da informação é o que, muitas vezes, vai garantir sucesso e vida longa a uma organização
As chances de um negócio sobreviver negligenciando a segurança do ambiente digital são mínimas. Seja por conta de ataques cibernéticos — que estão cada vez mais ousados —, seja por outros incidentes tão graves quanto, a capacidade de se proteger e de se recuperar é o que faz toda a diferença no destino do empreendimento. Não se trata, apenas, da perda de dados. Quanto menor for o grau de preocupação com essa questão, maiores podem ser os problemas com a lei. Vale lembrar que as penalidades previstas pela LGPD (Lei Geral de Proteção de Dados) podem quebrar uma instituição.
Para conhecer o nível de maturidade de segurança da informação de uma empresa, a Flowti, durante o seu assessment, faz um questionário de avaliação com mais de 180 perguntas, que giram em torno dos temas:
- Software;
- Hardware;
- Infraestrutura,
- Compliance;
- Governança.
Com base nele, é possível diagnosticar em que estágio a empresa se encontra em relação à segurança digital — classificação que se dá em cinco níveis de maturidade a respeito desta agenda.
O objetivo da entrevista é fazer um inventário da infraestrutura da empresa, bem como identificar os seus planos de ação para o futuro.
"Eu sigo um roteiro para fazer essas questões. Uma das perguntas é: 'Existe um plano de aquisição tecnológica que satisfaça os requisitos técnicos e esteja de acordo com a direção tecnológica da organização?'. Se ele diz não, já perde ponto, porque não está se planejando, nem fazendo boa administração de seu budget", conta Filipe Luiz Antonio, analista de infraestrutura sênior da Flowti.
A seguir, veja quais são os cinco níveis de maturidade de segurança da informação.
Nível 1: Inicial
Empresas que estão neste estágio mostram imprevisibilidade e são mais reativas porque, em geral, não têm planejamento de combate a ameaças. Neste nível se dá o reconhecimento das fragilidades. Para realizar esta avaliação, existem softwares que detectam vulnerabilidades. Pode ser feita pela equipe interna de TI ou mesmo por uma parceria especializada.
“Por exemplo, se uma empresa tem Windows 2008, ela está vulnerável, porque a Microsoft não tem mais atualizações para esta versão. Então, é preciso reconhecer a vulnerabilidade e atualizar as máquinas, instalando uma versão de 2016 para cima, que é o que a Microsoft disponibiliza em termos de update”, explica Filipe.
A ausência de backup e o uso de antivírus gratuito, que não é o adequado para o mundo corporativo, são outros exemplos de falha em segurança. Ao passar por essa etapa, segundo o especialista, são definidos planos adequados para sanar as vulnerabilidades.
“A empresa tem de ter processos bem definidos neste estágio inicial de maturidade. Só assim consegue avançar para outros níveis”.
Nível 2: Repetível
Uma vez que as vulnerabilidades foram apontadas e já estão sendo tratadas, pode-se dizer que a empresa está entrando no segundo nível. Aqui, ela deve ter ferramentas em que gerencia o seu parque de máquinas, certificando-se de que está fazendo monitoria adequadamente.
“No segundo nível, as empresas controlam as coisas com mais facilidade. Elas vão ter custos e prazos para se adequarem, mas já estão no caminho certo. Os gestores já conseguem definir um planejamento claro e eficaz para a instituição, porque eles precisam otimizar os processos. Além disso, a organização já pode produzir alguns relatórios para melhores práticas e adquirir experiência com essa nova forma de gestão”, conta Filipe Luiz Antonio.
Em outras palavras, a partir do momento em que as estratégias de segurança começam a ser colocadas em prática, é possível gerar documentos que levem a empresa a um próximo patamar.
Nível 3: Definido
Este é um nível mais proativo e menos reativo, como o primeiro.
“Se eu já conheço o meu campo de atuação, sei todas as minhas falhas e como resolvê-las, não vou ficar apagando incêndio. Já posso reagir antes que os problemas aconteçam”, diz Filipe.
As empresas já têm processos bem estabelecidos, daí o nome “Definido”. As documentações se tornam padronizadas e as práticas, mais uniformes. Todo mundo sabe o que deve ser feito em termos de segurança em cada etapa de um desenvolvimento de um produto ou até de uma manutenção, ou uma prestação de serviço. Neste patamar, os colaboradores são extremamente importantes, porque são eles que detêm o conhecimento dos problemas da instituição. Por isso, é importante ter bem definido quem são as pessoas-chave para tratar os assuntos.
Em termos de ferramentas, neste nível, marcado pela geração de documentos, é importante ter softwares que mostram fluxos, gráficos, indicadores do que ocorre na companhia, com o intuito de criar processos proativos e responder com mais rapidez a incidentes. Também pode haver outras ferramentas que trabalham com inteligência artificial como, por exemplo, o EDR.
Nível 4: Gerenciado
Considerado de alta maturidade, o quarto nível é o estágio onde a empresa consegue determinar, identificar e gerenciar qualquer problema que ocorra do início ao fim, seja um incidente cibernético, seja um desastre natural ou qualquer outra situação que ameace a organização.
Neste nível, há diversas ferramentas de documentação, além das já utilizadas nos níveis anteriores. Este é um patamar quantitativo, ao ter práticas bem mais detalhadas, com base em dados. As instituições possuem métricas para realizar seu trabalho, conseguem analisar as informações, podem evitar erros e tratar os problemas — caso ocorram — com rapidez e facilidade. O planejamento está muito mais claro para os envolvidos, existe controle sobre os processos e qualidade da entrega.
É possível ficar ainda melhor? Sim.
Nível 5: Otimizado
“Aqui, a empresa tem uma melhoria contínua para alcançar processos mais flexíveis, capazes de responder a mudanças bem mais rápido”, explica o especialista da Flowti.
A organização não fica parada, apesar de atingir um alto grau de maturidade. Ela vai em busca da otimização e de traçar metas. Também pode estabilizar os seus processos, aumentando, assim, a previsibilidade de resultados, além de criar um ambiente mais adequado para implantar inovações. Em geral, neste estágio, as ferramentas utilizadas são mais sofisticadas e estão em constante atualização.
Não acontece da noite para o dia
A evolução nos níveis de maturidade, em geral, ocorre gradualmente, ninguém sai do nível 1, com o básico ou até menos, e se torna uma corporação com maturidade 5 em uma semana. Até porque, requer a aquisição de ferramentas de ponta — quanto mais elevado o nível, maior o investimento —, muito planejamento e documentações robustas. Entender a necessidade, cada vez mais urgente, de se blindar contra ameaças que arruínem os negócios é fundamental para ir subindo os degraus de seu desempenho.
Entretanto, segundo Filipe, a maioria das empresas que vão evoluindo em sua maturidade para no quarto nível.
“Muitas vezes, isso acontece por falta de investimento, outras, por achar que elas já estão seguras o suficiente e não precisam fazer mais nada. Outras, ainda, não têm conhecimento de que é possível inovar”, relata.
O papel da empresa que provê ferramentas e soluções para elevar o grau de segurança é ajudar o cliente, passo a passo, até encontrar-se no seu ponto de excelência.