SEGURANÇA
88 – RTI – ABR 2022
Marcelo Bezerra
Resiliência O mundo corporativo volta e meia toma emprestado um termo científico e o adota para os negócios. Um deles é “resiliência”. A 3ª edição do Dicionário Aurélio da Língua Portuguesa o define em seu sentido físico como a “propriedade pela qual a energia armazenada em um corpo deformado é devolvida quando cessa a tensão causadora de uma deformação elástica”. Em palavras mais acessíveis ao nosso ouvido comum, a capacidade elástica de um corpo voltar à forma original depois que as forças ou choque que causaram sua deformação cessarem. Nos negócios, a capacidade de voltar à situação anterior após uma crise é logo de cara tentadora, principalmente quando muitas empresas tentam apenas sobreviver. Mas a adoção do termo em negócios vai bem além disso. Não só a companhia, em seus diferentes níveis operacionais, deve retornar à sua situação original após um choque, como deve voltar melhor do que antes. Um desafio ainda maior. Em artigo na revista Forbes, o consultor Michael Evans define resiliência em negócios como “a capacidade de proteger e aumentar o valor diante de condições externas em
Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br.
rápida mudança”. Não podemos deixar de notar como esse conceito se aproxima da “antifragilidade” criada pelo investidor e escritor Nassim Taleb em seu livro Antifrágil, coisas que se beneficiam com o caos. Tal condição não é alcançada apenas por vontade de altos executivos, e requer adoção através de toda a organização. Como exemplo, a consultoria McKinsey lista seis “dimensões”: Financeiro, Operacional, Tecnológico, Organizacional, Reputação e Modelo de Negócios. Aqui, irei chamar de setor da empresa. Há, porém, um setor que acaba sendo incorretamente embutido no tecnológico, que é a segurança da informação. É perfeitamente compreensível que a segurança seja vista como parte do setor de tecnologia, mas é um equívoco. A confusão ocorre porque normalmente se vê a proteção da informação como algo inerentemente tecnológico, o que não é. Tecnologia é um dos pilares, junto com pessoas e processos. Adicionalmente, devido à digitalização da economia, a tecnologia deixou de ser algo apartado para ser parte integral dos outros setores da empresa, e se estende a aspectos de negócio, mesmo em companhias tradicionais, do que se convém chamar de “velha-economia”. Cada um dos setores carrega um componente de segurança da informação que não deve ser tratado à parte, ainda que seja integrante de um grande setor que atravessa todos os outros, coordenado por uma área específica. Essa visão é, aliás, o que difere as experiências bem-sucedidas das que
fracassam: segurança da informação como elemento de viabilização dos negócios, sendo até mesmo tratada como vantagem competitiva. Uma vez determinado o perfil da resiliência em segurança, podemos retomar os seus aspectos principais. O primeiro, e principal deles, afeta a resiliência em todos os setores, que é a capacidade da empresa de enfrentar situações imprevisíveis. Nesse ponto, volto ao ponto central de meus artigos sobre o desconhecido publicados aqui na RTI. A história não necessariamente se repete, e o futuro não será igual ao passado. Antes da maior crise do último século houve outra que até então era a maior, e quem se preparou para ela poderá sofrer quando a próxima maior crise do século ocorrer. Vivemos com o imprevisível e o incerto, e devemos estar preparados para lidar com ele. Nassim Taleb diz em seus livros e palestras que devemos “abraçar a incerteza”. Mais que uma decisão racional, é uma postura mental. Ao fazê-lo, não apenas nos capacitamos a nos tornar resilientes, como podemos aproveitar as crises para sair delas melhores do que estávamos. O segundo aspecto é relativo aos silos que porventura ainda possam existir na empresa. Reagir dessa maneira requer colaboração entre os diversos componentes que constituem os ambientes de segurança e negócios. Um grande exemplo são os planos de resposta a incidentes. Aqueles ilhados na área de tecnologia tendem a ser pouco eficientes e a falhar, pois um ataque
