Muito pelo contrário, o dia a dia das empresas muitas vezes conta com equipes reduzidas responsáveis pela infraestrutura e suporte e nem sempre há um especialista em segurança da informação para se dedicar ao assunto. Na prática, as empresas ainda são pegas de surpresa no turbilhão do excesso de registros dos diversos ativos de TI, os conhecidos logs. Isso acontece, pois ainda não é prática corriqueira no Brasil investir no monitoramento do ambiente tecnológico, nem “escutar” os logs.

O entendimento da anatomia do ataque também é uma deficiência, mesmo para os que já monitoram o ambiente. Os ataques são executados por profissionais que entendem de segurança e faz-se necessário o mesmo nível de conhecimento para se detectar e responder às ameaças. Vimos o efeito desta deficiência na denúncia do caso Snowden, onde a NSA entrou e saiu de ambientes críticos do governo brasileiro sem ser percebida. De acordo com registros do Gartner, em 2014, a expectativa era de que US$ 71,1 bilhões seriam gastos mundialmente com a segurança dos dados.

Muitas empresas são altamente equipadas com tecnologia de ponta, investindo grandes montantes em hardwares e softwares, acreditando que isso seja suficiente, quando, na verdade, deram apenas um dos passos necessários à mitigação do risco. A segurança se faz em camadas e as tecnologias de segurança são realmente imprescindíveis como primeira linha de defesa. Porém, além do pilar tecnológico, existe a necessidade da combinação de processos e pessoas para que a segurança atinja o nível necessário às grandes empresas.

Recentemente vimos a Sony ser, mais uma vez, severamente atacada. Desde 2005 a empresa é alvo desse tipo de invasão e mesmo assim parece manter as mesmas práticas de segurança da informação, com baixa eficácia, como foi comprovado. Usuários e senhas, folhas de pagamento, e-mails de diretores falando mal de atores, um processo dos funcionários contra a própria empresa que corria em sigilo, vieram a público. A resposta da Sony Pictures não foi investimentos internos para evitar futuros ataques, mas sim ataques DDoS aos sites asiáticos que disponibilizavam o material perdido.

O primeiro passo para se resolver um problema é reconhecer que ele existe. Em segurança, assim como em outras áreas, o que não é monitorado, não é controlado, e não pode ser efetivamente modificado e aprimorado. Este conceito é mais fácil de ser entendido quando comparamos com a segurança patrimonial. Se um banco, por exemplo, tem várias vulnerabilidades físicas que o deixam suscetíveis a um assalto, ele não pode prescindir de um sistema de monitoramento com câmeras, alarmes, procedimentos e, pessoas que, na presença de uma ameaça, acionem a polícia. Além das questões técnicas, ainda existe a falta de conscientização e conhecimento das áreas de negócio.

Apesar do Gartner apontar o risco de segurança como uma das tendências estratégicas de TI mais importantes para 2015, o olhar pragmático das áreas de negócios, que gradualmente passam a ter um controle maior sobre os orçamentos de tecnologia, ainda considera a proteção das informações como um atributo da tecnologia adquirida e se sensibilizam somente quando um risco se transforma efetivamente em fraude. O alerta vem sendo dado às corporações que ainda resistem em tratar estrategicamente a segurança da informação.

A tecnologia está no centro do palco, não é mais uma área meio, como nos anos 80 e 90. Relegar o orçamento de segurança ao segundo plano é tomar um risco desnecessário para a operação da empresa. Os bons profissionais da área pregam que existe um nível de segurança em que “o molho fica mais caro que o bife”. Mas sejamos conscientes: com o que praticamos no Brasil nosso bife ainda precisa de muito molho para passar do ponto.

*Marcos Bentes é diretor de Desenvolvimento de Negócios da Arcon.