a mcKinsey e o fórum econômico mundial publicaram, em janeiro passado, um estudo [Risk and Responsibility in a Hyperconnected world: Implications for Enterprises] sobre a segurança da informação na revolução das TICs. o mundo está imerso nos efeitos de três ondas de inovação em TICs simultaneamente: a de hardware, que vem da década de 60, movida a circuitos integrados, os “chips”, cuja velocidade é determinada pela lei de Moore [a performance dos sistemas duplica a cada dois anos, pelo mesmo preço], a de software [da década de 80 em diante] e a de sistemas em rede, que começou com a internet comercial, na década de 90, e se tornou absolutamente radical depois dos smartphones e tablets, nos últimos 10 anos.
do começo da internet comercial pra cá, cada vez mais empresas tiveram, por inúmeras razões, que entrar na rede. seja porque seus serviços foram pensados só para a rede [como a amazon…] ou porque eles podem ser providos de forma muito mais cômoda [ou eficaz, eficiente, ecoômica…] pela rede [pense bancos e governo]. já imaginou qual seria a consequência de uma greve de carteiros, de mais de 40 dias, se serviços virtualizados de vez, como quase tudo nos bancos e boa parte do governo, especialmente as cobranças, ainda fossem na base do boleto enviado pelo correio e pagamento só na agência? o país parava. ou melhor, não: no passado, os carteiros conseguiriam quase tudo o que queriam, e muito rápido, porque o país não pararia. outros tempos. a revolução das TICs [como vimos neste texto] muda profissões, mexe com trabalho e emprego, transforma o cenário dos negócios e… isso ainda nem começou: muito mais do que já rolou vai acontecer muito em breve.
o fato é que sistemas em rede passaram a ser o suporte essencial para processos de negócios em todo tipo e porte de empresa. reclamar no SAC depende de software, do tal sistema que a atendente diz que está fora do ar ou não permite que uma demanda razoável possa ser atendida porque não faz parte das regras dele, apesar de fazer todo sentido como regra do negócio. se o sistema não evoluir, o negócio não o fará. e, se o sistema parar, o mesmo se dará com o negócio. e se o sistema for contaminado, se for invadido, se seus dados forem capturados por terceiros mal intencionados?…
aqui é onde entra o relatório da mcKinsey: segundo ele, a economia global não está preparada contra ataques digitais, apesar das dezenas de bilhões de dólares gastos em defesa digital, por governos e empresas, todos os anos, o preparo da segurança digital da quase totalidade das empresas ainda está entre incipiente [34%] e em desenvolvimento [60%]. e os controles usados para mitigar o risco de ataques afeta [por indisponibilidade de informação e funcionalidades] a produtividade de 90% dos colaboradores da linha de frente dos negócios.
qualquer amador sabe que a forma mais eficaz de proteger um sistema de ataques em rede é… tirar o sistema da rede. óbvio. só que, ao se fazer isso, perde-se a oportunidade de capturar o valor que o sistema iria gerar na rede. e a estimativa é de que, até o fim da década, cerca de US$3 trilhões serão “perdidos”, isto é, deixarão de ser capturados como valor, nos negócios, em função dos riscos que a rede representa para a segurança dos negócios.
fazer o que? na opinião dos responsáveis pela segurança de informação dos negócios, o mapa da mina está nas três primeiras linhas da imagem abaixo, e começa por fazer com que a alta gestão dos negócios entenda qual informação é essencial para os negócios, quais partes dela devem [e, por outro lado, podem] estar na rede e quais são os riscos associados, para que seja possível prover níveis de proteção adequados para tal e, por último, fazer com que segurança de informação seja parte de todo o ambiente de hardware, software e sistemas em rede, sem o que não haverá esperança nem de entender os riscos, quanto mais de defender a organização dos ataques em rede. os pontos 4-7 do diagrama abaixo são consequência dos 3 primeiros, descritos acima… e, se você olhar a última coluna da imagem, a média que os executivos de TICs se dão, nos 3 casos, é C, com C- no primeiro item, que é justamente o de política e estratégia. quer dizer… estamos longe, muito longe de ter as organizações verdadeiramente em rede.
claro que isso não afeta só empresas, tampouco só as privadas; o caso snowden nos mostrou o tamanho do problema, e o blog falou disso neste link, que contém outras referências, para o problema de dados abertos no país e para a avaliação que o TCU faz do estado da arte de gestão do ciclo de vida da informação [inclusive sua segurança] no governo brasileiro.