Cultura corporativa

A Cultura, de uma forma geral, pode ser entendida como o conjunto das ideias,
costumes e comportamento social de um grupo específico. Isso se traduz em valores, convicções, ideologias, crenças e comportamentos de grupo. No meio corporativo, nada mais natural que absolutamente toda organização tenha sua cultura própria. E sim, essa é um dos mais fortes instrumentos para construção, ou destruição, de um ambiente seguro.
 
O fato é que a "Cultura devora a estratégia no café da manhã". A frase, originalmente atribuída a Peter Drucker, nunca foi tão verdadeira quanto nas organizações modernas, especialmente no que é relacionado à Segurança da Informação e Gestão de Riscos. A cultura corporativa pode tanto motivar quanto drenar a energia dos profissionais da organização. Entenda: A
cultura é o ambiente no qual a estratégia corporativa, mesmo a mais bem definida, floresce ou padece. Qualquer companhia que tente desconectar esses dois fatores, está trazendo um grande risco no seu caminho para o sucesso.
 
Durante os últimos anos, várias empresas têm aprendido - da maneira mais
difícil - que negligenciar Segurança da Informação pode trazer impactos desastrosos sobre operações, marca e resultados financeiros. Este cenário nos leva a acreditar que a mentalidade da alta direção deve ter evoluído para uma abordagem mais madura, na qual a segurança é vista como um facilitador de negócios e incorporada em todos os aspectos da estratégia e transmitida na cultura corporativa, correto? Longe disso.
 
A verdade é que - até agora - pouco mudou. Segurança ainda é vista primariamente como uma disciplina puramente técnica e percebida como custos e burocracia desnecessários por parte dos gestores e das empresas.
 
O grande desafio não é uma questão técnica. Nuvem, Big Data, transações comerciais, vazamento de dados... para cada item de risco existem inúmeras tecnologias que poderiam ser implementadas como solução. No entanto,
tudo isso parece simples em comparação com o trabalho de se criar uma cultura de cibersegurança forte, envolvendo estratégia, processos maduros e, especialmente, pessoas.
 
Que tal um bom exemplo prático, razoavelmente recente? Bem, se você acompanha o tema "segurança" deve ter ouvido falar do vazamento de informações ocorrido na Target. O incidente, que aconteceu no final de
2013, iniciou-se através de computadores de uma prestadora de serviços, culminando na instalação de um código malicioso nos POS (pontos de venda, onde são lidas informações dos clientes).
 
O resultado foi o vazamento de 40 milhões de registros de cartões de crédito e
débito, além de 70 milhões de registros de clientes. As consequências? O que você acha de perdas em seu resultado financeiro que totalizaram aproximadamente USD 148 milhões, além de uma multa de USD 10 milhões?
Isso sem contar com a demissão do CIO, CSO, e com os danos à marca, que não vão ser esquecidos tão cedo.
 
O que muitas vezes passa desapercebido é que a Target possuía um bom time de Segurança da Informação/Segurança de TI. Meses antes da ocorrência do incidente, a direção foi avisada pela própria equipe de segurança que existiam vulnerabilidades, e que estas precisavam ser tratadas. Durante a própria ocorrência da invasão, vários alertas avisaram sobre a existência do malware.
Ambas situações foram prontamente negligenciadas pelo negócio, que preferiu focar nas vendas do período natalino.
 
Quem é o culpado? O negócio que ignorou bons conselhos e alertas críticos, ou o time de segurança que, mesmo sabendo de uma possível invasão, falhou em comunicar o risco real nos termos do negócio? Bem, na minha humilde visão, o problema está na cultura corporativa, que permitiu a criação de um enorme abismo entre quem buscava obter mais vendas e quem deveria proteger a organização.
 
A solução não é tão simples quanto aparenta ser. É preciso que sejam criadas
pontes de comunicação entre a equipe de Segurança da Informação e todos os níveis da empresa. Limitar a proteção à simples implementação de tecnologia e não enfrentar o desafio de criar uma mentalidade de segurança cibernética proativa é a receita certa para o insucesso. Quer começar a fazer a SegInfo funcionar da maneira certa? Aprenda a conversar com a alta direção da sua empresa, não em termos de bit-byte/zero-um, e sim falando em objetivos de negócio e como esses podem ser impactados pela falta de bons controles de segurança. Faça isso, e bem. E, um dia, quem sabe, você será visto como pontifex maximus.
Leia a revista

Carregando...