Com o avanço de novas tecnologias e a complexidade dos negócios híbridos, o profissional de segurança da informação atua em uma parte muito importante da proteção das empresas
Segundo o relatório do World Economic Forum, denominado Global Cybersecurity Outlook 2022, “Há um desequilíbrio distinto entre proteger uma rede e atacá-la, e esse desequilíbrio continua crescendo à medida que recursos de hackers mais eficazes se tornam disponíveis a um custo significativamente menor. Porém, sem investimento contínuo e compromisso com a resiliência cibernética, as organizações serão mais vulneráveis a ataques cibernéticos e, portanto, mais propensos a suportar impactos reputacionais, financeiros, operacionais e de segurança”. A cibersegurança e a resiliência cibernética tornaram-se desafios para os empresários e conselhos de administração. Porém, você sabe a diferença entre a cibersegurança e a gestão da segurança da informação (GSI)?
A cibersegurança pesquisa, estuda, educa e prepara as proteções para qualquer ameaça externa provinda de meios cibernéticos, como ataques hackers, ransomware, IoT ataque, hackitivismo, espionagem, DDoS entre outras ameaças.
Já a gestão da segurança da informação, é “A proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”, segundo a ISO 17799, predecessora da ISO 27001, norma mais utilizada para apoio e ajuda as empresas para implementar a gestão de segurança da informação (GSI).
A GSI pesquisa, estuda, educa e prepara as proteções para pessoas, processos e tecnologias no dia a dia do negócio, como vazamento de dados e informações, mal uso de senhas, negligencias em relação a classificação da informação, não gerenciamento de riscos de segurança da informação, diretrizes, governança e políticas.
Ou seja, a cibersegurança observa fontes de risco externas e a gestão da segurança da informação observa fontes de riscos internas. São semelhantes e precisam estar bem implementadas por meio de processos e/ou sistemas de gestão, com equipes especializadas e sinérgicas. Ainda podemos estruturar a governança de segurança da informação em: Cibersegurança, Gestão da Segurança da Informação (GSI), Administração da GSI e Segurança em TI – Tecnologia da Informação.
Existem algumas profissões e funções em segurança da informação, como gestor, estrategista, evangelista, analistas e consultores, todas têm o objetivo de tornar a gestão da segurança da informação parte da governança e gestão empresarial, congruente a gestão de RH, da qualidade, de TI adicionando valor ao negócio, apoiando todas as partes e processos como parte de uma segunda linha de proteção, auxiliando todas as partes do negócio a analisar, avaliar e tratar os riscos de segurança da informação internos e melhorar eficiência sem correr riscos desnecessários. A GSI ajuda a entender os riscos dentro da organização e a implementar adequações como a Lei Geral de Proteção de Dados (LGPD), por exemplo.
A GSI é dividida em três camadas importantes: Camada Executiva, Camada de Monitoramento e Camada de Controles, sendo:
Camada Executiva – contém atividades como início do programa de GSI, política e normas para GSI, educação global em GSI, formação de comitê executivo de GSI e/ou educação dos líderes, ajustes de governança, análise-avaliação e tratamento de riscos de SI, análise de impactos no negócio, implementação do processo de GSI;
Camada de Monitoramento – contém atividades como criptografia, monitoramento por indicadores e métricas de gestão de SI e auditoria de GSI;
Camada de Controles – contém atividades como segurança em redes de computadores (físicas e sem fio), segurança em desenvolvimento de software e bancos de dados, segurança física e do ambiente, segurança em telecomunicações, segurança em novas tecnologias e tendências (IoT, I.A, machine learning etc).
“Tratar tudo como um único assunto é um equívoco e pode deixar as empresas com uma percepção errada em relação aos riscos de ciber e de segurança da informação. Não adianta ter as melhores tecnologias de detecção de ataques ou equipes de ciber, se a gestão empresarial não entender e implementar ajustes e práticas de gestão da segurança para todos na organização”, afirma o CEO do Grupo DARYUS e coordenador do MBA em Gestão e Tecnologia em Segurança da Informação (GTSI), do IDESP – Instituto DARYUS de Ensino Superior Paulista, Jeferson D’Addario.
De acordo com dados da pesquisa Global Digital Trust Insights Survey 2022, realizada pela PwC, 83% das empresas brasileiras estimam um aumento com os investimentos em segurança cibernética. Para atuação em segurança da informação é fundamental possuir algumas habilidades, como ter conhecimento sobre tecnologia, gestão de serviços, boa capacidade de resolver problemas, capacidade de entender negócios, lidar com pessoas, se comunicar bem, ser versátil e possuir bons conhecimentos em outros idiomas.
Os empregadores mais comuns são empresas que contratam para garantir ou melhorar a segurança corporativa, que querem manter as certificações como a ISO 27001, empresas que pretendem abrir capital (o que aumenta o valor da organização e previne riscos aos investidores), empresas de consultoria ou de serviços em tecnologia. Os salários iniciam em R$ 5 mil e podem chegar a R$ 15 mil para os profissionais de nível pleno. Para o profissional sênior, os valores poder chegar a R$ 20 mil.
“É uma profissão que está sendo relevante para as empresas nos últimos 10 anos e está em crescimento, pois garante a melhoria da gestão empresarial de forma segura. A preocupação com a segurança no fluxo das informações, sem dúvidas potencializou a importância desse profissional e protege a empresa de dentro para fora”, destaca D’Addario.
Para quem deseja saber mais sobre a área de gestão e tecnologia em segurança da informação, acesse: https://www.daryus.com.br/pos-graduacao/mba-gestao-e-tecnologia-em-seguranca-da-informacao
Imagem: Divulgação.
