Um novo cenário para a Segurança de Aplicações

Falar sobre Segurança de Aplicações hoje parece tão complicado quanto era defender o uso de firewalls no final dos Anos 90. A maioria do público que paga essa conta não entende como o processo funciona, e mais importante, não consegue entender em sua perspectiva qual é o valor deste tipo de iniciativa para a sua empresa. Discutimos sobre segurança integrada, promovemos a proteção de ativos, mas no final do processo o que vale para que o investimento ocorra é responder a uma pergunta simples e que dificilmente recebe uma resposta direta: quanto o seu cliente ganha com isso?

Porque a Segurança Técnica é a base da Gestão de Riscos

Em qualquer mercado, sempre existe uma buzzword que toma a mídia especializada e as conversas dos profissionais nas rodas de bate papo e início de reuniões. Nos últimos meses, o conceito de Governança, Risco e Compliance (GRC) tem aparecido como uma das principais iniciativas em Segurança da Informação, onde um framework muito bem estruturado, ajuda as organizações a manterem o risco em seus ambientes dentro de níveis toleráveis por quem paga a conta.

Isso é sensacional, e me deixa satisfeito de ver que a especialização que escolhi como carreira, finalmente assume um papel estratégico. Porém, existe uma base que muitas vezes é esquecida e até desprezada pelas empresas e profissionais que cuidam dos seus processos de segurança: a segurança técnica. Apesar de ser a parte mais fundamental para a manutenção de um ambiente seguro, este componente é continuamente colocado como item de segunda linha, ou que não precisa de pessoas especializadas para ser adequado e administrado. Isto não é uma opinião pessoal, existem fatos que deixam claro o quanto precisamos melhorar neste aspecto. 

Fundamentos para uma Política de Segurança da Informação

Eu considero o desenvolvimento de uma Política de Segurança da Informação uma das tarefas mais difíceis dentro das práticas de gestão desta disciplina. Infelizmente, não é incomum observar empresas que mantêm uma visão míope dos custos associados a um projeto dessa natureza, e acabam comprando um "produto de prateleira" que, por não estar adaptado a realidade organizacional do ambiente onde é aplicada, acaba gerando uma série de problemas que dificilmente são inclusos nessa conta.

O artigo "Fundamentos para uma Política de Segurança da Informação" foi escrito colocando a experiência que acumulei neste tipo de empreitada ao longo dos anos, onde espero que os meus erros e aprendizados possam ser utilizados para facilitar a vida em iniciativas como esta. O documento está disponível na página de artigos, ou diretamente no Slide Share.