As pressões sofridas pelas organizações em relação às questões de compliance (cumprimento de normas legais e às regras estabelecidas para cada segmento de mercado) têm historicamente servido como pano de fundo para elevar os orçamentos voltados à segurança da informação. Contudo, elas também representam a fonte de muitos dos riscos a que as empresas estão impostas.
No ímpeto de cumprir todos os requisitos no prazo estabelecido, entretanto, muitas organizações tomam decisões precipitadas e, por isso, cometem falhas que podem comprometer seriamente as políticas corporativas de proteção dos dados. Então, é aconselhável que os CIOs estejam atentos aos erros mais comuns na hora de investir em compliance e criem mecanismos para evitá-los.
Arruinar a autenticação por meio de múltiplos fatores
Para estar de acordo com as normas do segmento no qual atuam, muitas organizações trocam suas políticas de acesso e gerenciamento de identidade do modelo senha e login para um padrão de múltiplos dispositivos – os quais incluem tokens, biometria, tabela de números, entre outros.
Essas iniciativas têm muito sucesso quando implementadas de forma segmentada e com prazos para testes. Porém, na corrida para alcançar as datas determinadas e estar em conformidade com as normas, muitos gestores pulam etapas de desenvolvimento e, em vez de corrigir falhas, acabam abrindo exceções para colaboradores quando esquecem de levar o token à empresa, por exemplo.
O problema é que quando existe uma exceção a regra não é mais respeitada como antes e os funcionários, nesse caso, deixam de levar seus dispositivos para o trabalho e passam a acessar o sistema pelo “modo excepcional”. Assim, mesmo depois de ter investido milhões no projeto, a organização passar a desrespeitar as regras após a avaliação pelos órgãos reguladores. E, consequentemente, os ambientes ficam mais vulneráveis a ataques, desvios de dados e outros incidentes.
Falhas na identificação das próprias necessidades
Organizações pressionadas por prazos de compliance tornam-se tão ávidas pelo cumprimento dos requisitos que buscam fornecedores de tecnologia sem entender realmente quais são suas necessidades. O gestor de riscos e diretor da consultoria norte-americana de segurança Brookhaver Advisory Services, Jonathan Tranfield, afirma que cansou de ver empresas nessas situações.
“Já presenciei os CSOs de grandes companhias adquirindo ferramentas e passando ao fornecedor a responsabilidade de adequar-se às regras”, diz ele, que conclui: “No entanto, essa é uma tarefa do gestor interno de tecnologia e segurança, o qual deve chegar ao parceiro já sabendo do que precisa.”
Extremismo irresponsável
A apreensão de não atingir o nível de segurança e estar em conformidade com os regimentos e leis do setor no qual atual levam muitos gestores de tecnologia e segurança a tomar decisões radicais demais, sem avaliar o impacto dessas iniciativas no dia a dia dos usuários.
Um bom exemplo é quando, na tentativa de evitar desvio de dados por meio de dispositivos USB, as companhias bloqueiam todas as portas do padrão nas máquinas dos funcionários. “Além de não funcionar, porque o colaborador de má intenção pode simplesmente imprimir os dados que quiser roubar, essas práticas atrapalham a rotina de pessoas que realmente precisam dessa tecnologia para alcançar alta performance”, afirma diretor de Segurança da Informação da HedgeServ , Jeffrey Barto.
Avaliação ineficaz de dados
De nada adianta capturar todos os e-mails e dados transacionados pelos funcionários para descobrir onde podem estar os riscos. Segundo Bato, sem um sistema de inteligência é impossível alcançar o cumprimento das regras.
A dica do executivo nessas situações é a de que os CSOs devem ter muito bem articulados e mapeados os dados da organização. Assim, quando chegar o momento de pensar em compliance, o único desafio será o de reforçar as políticas de segurança, de acordo com os requisitos legais e regulatórios.
Compliance: quatro erros fatais – Gestão – CIO.