O mercado econômico e a Segurança da Informação
Muito tem se feito nas organizações para eliminar o estigma que transforma Segurança da Informação (SI) em sinônimo de Segurança em TI, fazendo-a operar descolada da chamada Segurança Física ou Patrimonial. Pouco a pouco percebe-se que, a partir do momento que encaramos a segurança como uma garantia de que a empresa está protegida contra ameaças que possam causar impacto ao funcionamento normal dos negócios, deixamos de ter uma visão pontual e centralizada para adotarmos uma visão mais abrangente sobre o assunto.
Organizações de todos os tipos estão percebendo que, quando o assunto são ameaças em potencial que podem atrapalhar os objetivos da empresa, estamos basicamente falando sobre riscos. Dessa forma, a gerência destes riscos define, em última instância, a habilidade que a organização tem para lidar com adversidades de percurso.
Existem diversos fatores que afetam a preocupação com a segurança, sendo que alguns deles são quase imperceptíveis. Neste artigo falarei um pouco sobre como a conjuntura econômica pode afetar a forma como a segurança é encarada pelas organizações.
Toda análise de risco bem estruturada deve considerar, no mínimo, alguns componentes básicos. Nunca é demais relembrá-los. Podemos destacar a identificação de ameaças, vulnerabilidades e os impactos como os pilares do processo. O risco pode ser definido basicamente como a probabilidade de uma determinada ameaça de concretizar através da exploração de uma vulnerabilidade, combinada com o impacto que isso irá causar.
Algumas ameaças têm uma relação direta com aspectos econômicos. Em situações de recessão econômica e aumento de competitividade é comum termos a sensação de o comportamento ético sai de moda e cresce dentro das organizações uma certa ferocidade competitiva. Um diretor que tive me disse uma vez que, na fartura, as pessoas dividem tudo e na escassez, sai briga até pela caroço da azeitona. Essa postura leva pode levar a conflitos de interesses, sendo estes um grande motivador para eventuais problemas de segurança como tentativas de espionagem e obtenção de informações privilegiadas em benefício próprio ou de terceiros.
Existem até mesmo modelos de segurança que estudam o comportamento pessoal e a proteção de informações dentro de ambientes onde ocorrem conflitos de interesse, sendo provavelmente o Chinese Wall, criado por Brewer e Nash, o mais famoso. Para entendê-lo, sem mergulhar em trabalhos acadêmicos, os próprios criadores recomendam o filme Wall Street - Poder e Cobiça como um breve resumo sobre o que a teoria aborda e recomenda.
Um outro fator econômico, este menos óbvio, que deve afetar a SI no Brasil, está ligado a nossa política macroeconômica. Conforme é noticiado de forma constante nos jornais, um dos maiores problemas econômicos do nosso país são as elevadas taxas dos juros bancários. Parte destas taxas é influenciada pelo governo através da definição da Selic, a taxa básica de juros da economia, a qual estão atrelados muitos títulos da dívida do governo.
O elevado patamar no qual a taxa se encontra fixada e o apetite governamental em busca de dinheiro para cobrir os seus gastos excessivos e mal administrados estimulam o investimento não produtivo e criam uma situação de rentabilidade elevadíssima com um risco relativamente baixo. Hoje, a maior parte da classe média brasileira que tem dinheiro investido aplica seus proventos em fundos DI, cuja composição principal são justamente títulos da dívida pública.
A equipe econômica, porém, vem sinalizando há alguns anos que trabalha fortemente para permitir uma queda gradativa na Selic. Isso vai, aos poucos, estimular que os investimentos migrem de títulos do governo, que terão a sua rentabilidade comprometida, para fundos que ofereçam um nível um pouco maior de risco com possibilidades de lucro mais elevadas. Isso ocorre em quase todos os países de economia estável, onde os fundamentos econômicos são bem desenvolvidos.
Num país onde grande parte da população tem suas aposentadoriasinvestidas em ações de empresas, por exemplo, a preocupação com a SI nessas grandes corporações de capital aberto deixa de ser um problema isolado de seu Comitê Executivo e passa a ser um problema nacional. Vide exemplo recente ocorrido nos EUA onde fraudes em balanços contábeis de grandes empresas abalaram a confiança dos investidores no meio empresarial e contribuíram, junto com outros fatores relacionados a segurança (como o 11/9), para o agravamento da crise econômica pela qual o país vinha passando e que, apenas recentemente, tem dado sinais tímidos de estar iniciando um processo de recuperação. Para tentar corrigir os problemas detectados, o legislativo americano lançou mão de uma nova lei em 2002, popularmente conhecida como Sarbanes-Oxley.
Este tipo de perfil de poupança interna faria com que os problemas de segurança enfrentados hoje no Brasil por nossas grandes empresas tenham uma amplitude bem maior, pois muitos deles interfeririam nos valores de suas ações: vazamento de informações estratégicas ou balanços financeiros, fraudes, comprometimento de imagem, etc.
Um exemplo recente foi o caso de espionagem envolvendo a Brasil Telecom, Kroll e o alto escalão do poder executivo. Em um único dia as ações despencaram quase 5%, jogando o IBOV (índice que avalia a performance do conjunto de papéis de maior volume e liquidez negociados na Bolsa de Valores de São Paulo) na lona.
Ter a visão focada para além dos problemas mais cotidianos da SI ajuda a antever cenários e fatores que podem influenciá-la no futuro, permitindo também que estejamos preparados para os problemas antes que eles aconteçam, regra básica quando o assunto é proteção. No mais, tal atitude também estimula o aprendizado e a leitura para além dos limites dos boletins de alertas de segurança. Por falar nisso, o que você leu hoje além da última vulnerabilidade da semana?
Originalmente publicado no Portal Módulo em 20/12/04.