Segurança da informação também é negócio?
Desde os primórdios, os seres humanos anseiam por transmitir informações, seja através de gesticulações, grunhidos ou desenhos em paredes de cavernas. Desde então, os meios de comunicação, que são os meios pelos quais as informações são transmitidas, evoluíram muito, nos trazendo o telégrafo, o telefone, o rádio, a televisão e finalmente a Internet.
Contudo eles trouxeram consigo muito mais do que os seus inventores tiveram a intenção de criar. Esses meios de comunicação mudaram o mundo em que vivemos, a quantidade de informações que processamos e a nossa forma de pensar. E como todo bom martelo, que pode ser usado para construir ou para machucar alguém, os meios de comunicação, sem dúvidas, são usados para as duas coisas: o bem e o mal.
Mas antes de chegarmos ao cerne da questão, vamos trazer um pouco mais de contexto à nossa dissertação. Embora esteja registrado que o primeiro hacking da história tenha originado o sistema UNIX, o primeiro que gerou prejuízo para as empresas foi o hacking das linhas telefônicas na década de 60, quando John Draper descobriu que um apito que vinha de brinde numa caixa de cereal reproduzia o mesmo tom de 2600 hertz utilizado pelas companhias telefônicas para iniciar chamadas de longa distância, se tornando então o primeiro Phreaker (phone + freak) da história.
Por mais emocionante que fazer ligações gratuitas possa parecer, esse ato consome infraestrutura, horas trabalhadas e outros recursos de uma companhia que fez um grande investimento para montar o seu negócio, gerando prejuízos e tornando-se assim um crime.
De casos como esse, surgiu a necessidade de fazer algo para impedir que esses criminosos pudessem tirar vantagem de brechas nos sistemas, algo para prevenir que essas vulnerabilidades existissem, que essas falhas estivessem expostas e para cessar o prejuízo das empresas. E foi a partir disso que surgiu a Segurança da Informação.
Nem sempre novas tecnologias e suas features surgem para atender uma demanda de mercado, mas, às vezes, elas criam essa demanda e mudam a atual conjuntura. Percebam que a Segurança da Informação não surgiu para criar uma nova tendência ou para fomentar grupos de usuários ao redor do mundo, mas ela já nasceu a partir de uma necessidade objetiva de negócio.
Atualmente, muitas empresas contratam serviços de Segurança da Informação porque virou moda. Anunciam o CISO (Chief Information Security Officer) para o mercado, publicam na mídia os valores de seus investimentos em Segurança e aproveitam dessa tendência para criarem as suas campanhas de marketing, como a obtenção de uma certificação ISO 27001 ou um selo de varredura de segurança em seu website.
Apesar disso, a maioria das empresas não tem o interesse intrínseco de investir em Segurança da Informação. Empresas com fins lucrativos possuem o objetivo de gerar lucro, independente da sua visão, missão e objetivos sociais. E por que ter um gasto com algo que aparentemente não se faz necessário? A resposta a essa pergunta é o que define o apetite ao risco de cada empresa e seus stakeholders.
Quando os empresários e executivos percebem que o vazamento e o roubo de informações, a indisponibilização dos sistemas que suportam as plataformas de negócio, e que a má reputação e perda de imagem da companhia frente ao mercado refletem em prejuízos maiores do que os possíveis investimentos para prevenir a existência desses riscos, a Segurança da Informação se torna um pilar do negócio. O problema é que, muitas vezes, pode ser tarde demais. É por esse motivo que muitas empresas só passam a se preocupar com o tema quando sofrem algum dano causado pela falta de Segurança da Informação ou quando são obrigadas por algum órgão regulador.
Mas para não enfatizarmos a Segurança apenas em cenários caóticos, de quais outras formas as empresas podem se beneficiar com a Segurança da Informação sem terem sofrido algum dano? Uma das formas já foi citada neste artigo quando falamos da Segurança com o objetivo de fortalecimento da marca através de campanhas de marketing. Não se trata de um uso pejorativo da boa e velha Segurança, mas se a empresa souber usufruir desse recurso, pode melhorar muito a sua reputação frente aos seus clientes e prospecções, ao mesmo tempo em que mantém o seu negócio seguro.
Outras formas vêm com o objetivo de evitar custos desnecessários com multas, indenizações e descredenciamentos por não cumprir os requisitos de instituições parceiras responsáveis por processos críticos ao negócio, como gateways de pagamento, porque sem processamento de compras, não existe receita.
Mas a principal forma de fazer bom uso da Segurança só ocorre quando as empresas entendem o real valor que as suas informações possuem. Afinal de contas, o seu nome leva o seu principal objetivo: tornar as informações seguras.
E quando as empresas fazem isso, aí é que as coisas se tornam realmente emocionantes. Gerar lucro para a empresa porque quem acessava os produtos através de uma senha de usuário compartilhada passa a precisar adquiri-los legalmente. Elevar a reputação da empresa com os adquirentes porque a sua plataforma de e-commerce deixou de ser alvo de testadores de cartão que geravam chargeback. Possibilitar a autorização do funcionamento do negócio porque as regulações requeridas no segmento foram cumpridas. Manter as plataformas de negócio disponíveis porque foram implementadas proteções contra ataques de negação de serviço. Ganhar a confiança dos clientes porque eles sabem que os seus dados estão seguros.
E muitos outros casos de uso poderiam ser citados aqui para demonstrar como a Segurança da Informação pode entregar valor. Esse valor não se limita ao mundo corporativo, mas se estende a todos os proprietários das informações, como você e a proteção dos seus dados pessoais.
Segurança da Informação é um tema complexo e seriam necessárias muitas outras páginas para tentarmos arranhar a sua extensa superfície. Mas a resposta ao título deste artigo deve ser elaborada por cada empresa, com base no entendimento de seus proprietários sobre os riscos inerentes ao seu negócio e a sua disposição em enfrentá-los. Para aqueles que já se conscientizaram sobre o valor de suas informações, calcularam os riscos mapeados e chegaram à conclusão da sua relevância, sim! Segurança da Informação também é negócio.
