Cibersegurança: o que faz um especialista em gestão de segurança da informação

Cibersegurança: o que faz um especialista em gestão de segurança da informação
Imagem:

Com o avanço de novas tecnologias e a complexidade dos negócios híbridos, o profissional atua em uma parte muito importante da proteção das empresas

Segundo o relatório do World Economic Forum, denominado Global Cybersecurity Outlook 2022, “Há um desequilíbrio distinto entre proteger uma rede e atacá-la, e esse desequilíbrio continua crescendo à medida que recursos de hackers mais eficazes se tornam disponíveis a um custo significativamente menor. Porém, sem investimento contínuo e compromisso com a resiliência cibernética, as organizações serão mais vulneráveis a ataques cibernéticos e, portanto, mais propensos a suportar impactos reputacionais, financeiros, operacionais e de segurança”. A cibersegurança e a resiliência cibernética tornaram-se desafios para os empresários e conselhos de administração. Porém, você sabe a diferença entre a cibersegurança e a gestão da segurança da informação (GSI)?

A cibersegurança pesquisa, estuda, educa e prepara as proteções para qualquer ameaça externa provinda de meios cibernéticos, como ataques hackers, ransomware, IoT ataque, hackitivismo, espionagem, DDoS entre outras ameaças.

Marshall McLuhan, escritor canadense, um dos precursores da teoria da comunicação, formulou, há mais de trinta anos, o conceito de aldeia global. Ao perceber a agilidade e rapidez com que os meios de comunicação desenvolviam novas tecnologias, McLuhan previu um novo conceito de sociedade: completamente interconectada e tomada pelas mídias eletrônicas.

Essas novas mídias, ao aproximar as pessoas de toda parte, permitiriam a elas conhecer-se e comunicar-se, como em uma aldeia. O surgimento da internet como uma rede mundial de computadores, veio confirmar essas expectativas ao criar um espaço para a expressão, conhecimento e comunicação humana. Porém, trata-se de um espaço que não existe fisicamente, mas virtualmente: o ciberespaço. Termo que foi idealizado por William Gibson, em 1984, no livro Neuromancer, referindo-se a um espaço virtual composto por cada computador e usuário conectados em uma rede mundial.

Já a gestão da segurança da informação, é “A proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”, segundo a ISO 17799, predecessora da ISO 27001, norma mais utilizada para apoio e ajuda as empresas para implementar a gestão de segurança da informação (GSI).

A GSI pesquisa, estuda, educa e prepara as proteções para pessoas, processos e tecnologias no dia a dia do negócio, como vazamento de dados e informações, mal uso de senhas, negligências em relação à classificação da informação, não gerenciamento de riscos de segurança da informação, diretrizes, governança e políticas.

Ou seja, a cibersegurança observa fontes de risco externas e a gestão da segurança da informação observa fontes de riscos internas. São semelhantes e precisam estar bem implementadas por meio de processos e/ou sistemas de gestão, com equipes especializadas e sinérgicas. Ainda podemos estruturar a governança de segurança da informação em: Cibersegurança, Gestão da Segurança da Informação (GSI), Administração da GSI e Segurança em TI – Tecnologia da Informação.

Existem algumas profissões e funções em segurança da informação, como gestor, estrategista, evangelista, analistas e consultores, todas tem o objetivo de tornar a gestão da segurança da informação parte da governança e gestão empresarial, congruente a gestão de RH, da qualidade, de TI adicionando valor ao negócio, apoiando todas as partes e processos como parte de uma segunda linha de proteção (ref. IIA – Instituto de Auditores Internos), auxiliando todas as partes do negócio a analisar, avaliar e tratar os riscos de segurança da informação internos e melhorar eficiência sem correr riscos desnecessários. A GSI ajuda a entender os riscos dentro da organização e a implementar adequações como a Lei Geral de Proteção de Dados (LGPD), por exemplo.

A GSI é dividida em três camadas importantes: Camada Executiva, Camada de Monitoramento e Camada de Controles, sendo:

Camada Executiva – contém atividades como início do programa de GSI, política e normas para GSI, educação global em GSI, formação de comitê executivo de GSI e/ou educação dos líderes, ajustes de governança, análise-avaliação e tratamento de riscos de SI, análise de impactos no negócio, implementação do processo de GSI;

Camada de Monitoramento – contém atividades como criptografia, monitoramento por indicadores e métricas de gestão de SI e auditoria de GSI;

Camada de Controles – contém atividades como segurança em redes de computadores (físicas e sem fio), segurança em desenvolvimento de software e bancos de dados, segurança física e do ambiente, segurança em telecomunicações, segurança em novas tecnologias e tendências (IoT, I.A, machine learning etc).

“Tratar tudo como um único assunto é um equívoco e pode deixar as empresas com uma percepção errada em relação aos riscos de ciber e de segurança da informação. Não adianta ter as melhores tecnologias de detecção de ataques ou equipes de ciber, se a gestão empresarial não entender e implementar ajustes e práticas de gestão da segurança para todos na organização”, afirma Jeferson D’Addario, CEO do Grupo DARYUS e coordenador do MBA em Gestão e Tecnologia em Segurança da Informação (GTSI), do IDESP – Instituto DARYUS de Ensino Superior Paulista.

De acordo com dados da pesquisa Global Digital Trust Insights Survey 2022, realizada pela PwC, 83% das empresas brasileiras estimam um aumento com os investimentos em segurança cibernética. Para atuação em segurança da informação é fundamental possuir algumas habilidades, como ter conhecimento sobre tecnologia, gestão de serviços, boa capacidade de resolver problemas, capacidade de entender negócios, lidar com pessoas, se comunicar bem, ser versátil e possuir bons conhecimentos em outros idiomas.

Os empregadores mais comuns são empresas que contratam para garantir ou melhorar a segurança corporativa, que querem manter as certificações como a ISO 27001, empresas que pretendem abrir capital (o que aumenta o valor da organização e previne riscos aos investidores), empresas de consultoria ou de serviços em tecnologia. Os salários iniciam em R$ 5 mil e podem chegar a R$ 15 mil para os profissionais de nível pleno. Para o profissional sênior, os valores pode chegar a R$ 20 mil.

“É uma profissão que está sendo relevante para as empresas nos últimos 10 anos e está em crescimento, pois garante a melhoria da gestão empresarial de forma segura. A preocupação com a segurança no fluxo das informações, sem dúvidas, potencializou a importância desse profissional e protege a empresa de dentro para fora”, destaca D’Addario. 

*Imagem: Pexels


Leia também