Não faz muito tempo que Harrison Ford atraía centenas de milhares de pessoas aos cinemas do mundo todo graças a um chicote, um chapéu, alguns artefatos arqueológicos e todo o carisma de Indiana Jones. Cerca de 20 anos depois, o mesmo Ford encarna um novo tipo que, aos olhos de Hollywood, pode tornar-se o herói do século XXI. No recém-lançado Firewall, o ator também enfrenta vilões malvados, passa por situações impensáveis e, no fim, salva os inocentes. O cenário, entretanto, está muito mais próximo da nossa realidade do que as cavernas, criptas e pirâmides de Indiana Jones. O galã circula por salas de reuniões, datacenters e CPDs, fazendo suas peripécias na pele do gestor de segurança de um grande banco.
Você ainda não sabia que poderia ser um herói? Pois vá se acostumando com a novidade. A criação de um thriller hollywoodiano baseado no dia-a-dia de profissionais de segurança da informação parece ser apenas o reflexo do que vem acontecendo na vida real. Na mesma medida em que os negócios migram para o ambiente virtual, a segurança da informação ganha cada vez mais importância dentro das corporações e os profissionais responsáveis pela área vêem tanto o status quanto a responsabilidade crescerem vertiginosamente.
Uma das formas mais simples de medir o aumento do valor dado ao assunto nas corporações é a quantidade de dinheiro que as área de TI estão recebendo para investir em segurança corporativa. E, mais do que isso, a tendência de aumento no budget para próximos anos. Os resultados do Estudo Global de Segurança da Informação 2006 – realizado pelas revistas CIO e CSO em parceria com a PricewaterhouseCoopers com cerca de sete mil executivos de todo o mundo – mostram que 35% das companhias brasileiras entrevistadas acreditam que os gastos com segurança devem crescer até 30% no próximo ano. Outras 17% prevêem aumento acima deste valor, enquanto 22,4% afirmam que o montante deve permanecer no mesmo patamar.
Entretanto, mensurar apenas o investimento pode reduzir a importância do movimento de valorização da segurança. Afinal, não há nenhuma novidade no fato de boa parte do orçamento de TI ser destinado à aquisição de soluções para proteção de dados e sistemas. Paralelamente a isto, porém, as empresas estão passando por um período de amadurecimento do conceito de segurança corporativa, que deixa de ser vista como uma questão técnica com alto consumo de capital para se tornar um tema estratégico capaz de definir a vida de uma companhia.
A mudança está em curso e, como em todo momento de transição, as formas de cada empresa encarar o assunto variam drasticamente, influenciadas por uma série de fatores, como a área de atuação e a maturidade dos profissionais envolvidos. E, enquanto para a maior parte das grandes empresas este é o momento para aprender a lidar com o tema, o setor financeiro, pela natureza de seu negócio, caminha para a excelência.
“Segurança é fundamental, prioridade para qualquer instituição financeira”, define Carlos Eduardo da Fonseca, diretor de TI do ABN Amro Real para a América Latina. Fonseca atualmente lidera o comitê de segurança do banco, entidade criada há cerca de um ano com o objetivo de forjar uma estratégia completa para combate aos riscos aos negócios da instituição. Fazem parte do comitê todas as áreas que, de alguma maneira, estão ligadas à questão: segurança física, lógica, jurídico, compliance, risco e marketing. “Com isso, torna-se possível ter uma visão integrada e direcionar ações coordenadas”, garante.
Para o executivo, o comitê demonstra uma evolução na forma como a empresa encara o problema e reflete uma tendência de amadurecimento dos bancos brasileiros. Os números do Estudo Global de Segurança corroboram sua opinião. Apenas 10% das companhias entrevistadas já possuem um comitê multidisciplinar dedicado à segurança corporativa. No Brasil, o número passou de 4,8% em 2005 para 8% este ano. Trata-se de uma ação recente, mas que está crescendo bastante.
Robusta, a estrutura de segurança do ABN conta ainda com a figura de um CISO (Chief Information Security Officer) – cargo existente em 41,6% das empresas brasileiras. A posição é ocupada por Paulo Martins, que responde pela função em toda a América Latina e é o responsável pelas áreas de segurança de dados e de gestão de fraudes, reportando diretamente ao CIO, Gustavo Roxo. Segundo ele, o banco segue uma política global que tem como base as melhores práticas do mercado e que funciona como um piso para as iniciativas regionais. “Na verdade, até pelas características do país, o Brasil está bem em relação à segurança”, explica o CISO.
Laércio Albino Cezar, vice-presidente-executivo do Bradesco, também acredita na maturidade do setor. “Hoje, já admitimos publicamente que há risco, o assunto está sendo tratado com franqueza”, diz o VP do Brasdeco. “Abrir o jogo significa dizer para a sociedade que ele também tem parcela de responsabilidade nesse processo.” Fonseca, do ABN, concorda. Para ele, o mercado passou por dois momentos importantes que ajudaram a redefinir a forma de encarar a questão. “O primeiro foi durante o CIAB 2005, quando a Febraban começou a divulgar os dados de fraudes, e o segundo quando o banco Itaú iniciou a campanha em que assume a existência dos riscos e convida todos os envolvidos a participar do combate.”
Assim como acontece no ABN, Laércio garante que a cultura da segurança permeia todas as atividades do Bradesco. Apesar de não existir a posição de CSO, o tema tem status estratégico e é discutido pelo alto nível de executivos da corporação – além de consumir entre 8% e 10% do 1,46 bilhão de reais que compõe o orçamento de TI da instituição. “O banco trabalha no sistema de colegiado, por isso não temos cargos como CEO, CIO ou CSO”, explica. Assim, todas as decisões relacionadas à segurança da informação são regidas pelos comitês de TI. “Além disso, existem os comitês de risco e de compliance, que não estão embaixo do departamento de tecnologia, mas contam com a participação de um representante da área e também discutem temas ligados à segurança”, detalha Laércio.
Diferentemente da maior parte das grandes empresas de outros segmentos, os bancos demonstram confiança em seus esquemas para controle e proteção dos dados contra ataques ou ações mal-intencionadas nascidas internamente. “Não tenho notícia de nenhum caso, no Brasil, de informações que tenham vazado por meio de funcionários. Eles conhecem as limitações que são impostas pelo banco”, diz o vice-presidente do Bradesco. Para o setor financeiro, são as fraudes externas que realmente causam preocupação – e prejuízo (leia box na página XX)
Nos demais setores, a palavra de ordem é conscientização, o que pode ser visto de forma positiva quando se entende que isto mostra a percepção das empresas brasileiras acerca do fato de que uma estratégia de segurança bem-definida depende não apenas de tecnologia, mas, principalmente, de pessoas e processos. “O elo fraco é o usuário”, aponta Loic Hamon, CIO da GE do Brasil. A maior maturidade das organizações brasileiras nesse sentido confirma-se nos números da pesquisa global. Enquanto, mundialmente, 35,7% das empresas já possuem pessoas dedicadas a programas de conscientização dos funcionários sobre políticas de segurança; no Brasil, são 46,5%. Por aqui, outras 29,7% pretendem criar esse tipo de função no próximo ano; planos que se repetem em apenas 26,1% das companhias estrangeiras.
Isto não significa, no entanto, que a segurança corporativa já seja assunto maduro e bem-resolvido em todas as corporações brasileiras. Fabio Faria, diretor corporativo de TI da Votorantim Participações (VPar), afirma que no setor industrial são raros os casos em que há um CSO ou um diretor de segurança que responda diretamente ao CIO. “Na Votorantim, a segurança está sob a área de infra-estrutura”, revela.  Vagner D'Angelo, gerente de segurança corporativa do Grupo Camargo Correa, engrossa o coro sobre a imaturidade da gestão de segurança em alguns segmento do mercado. “As empresas, com exceção dos bancos, ainda não dão a importância necessária para a questão”, avalia D’Angelo. “Aqui, não consigo impedir uma iniciativa por falta de segurança. Quando trabalhei em banco, isto era possível”, compara o executivo.
Proveniente da área de segurança física, D’Angelo personifica uma abordagem da segurança que vem causando polêmica entre os profissionais da área. Em suas mãos, está a proteção física, pessoal e lógica dos ativos do grupo Camargo Correa. “As principais vantagens de se ter apenas um gestor de segurança são a independência de outras áreas, o aproveitamento de experiências e a criação de ações integradas”, destaca. Como ponto negativo, o executivo aponta a extrema dependência do pessoal técnico, devido à falta de formação em tecnologia.
Não é por acaso que D’Angelo trabalha junto com o CIO da holding, Ricardo Castro, para pensar todas as estratégias de segurança do grupo. Segundo ele, existe uma comissão de TI que se reúne mensalmente e que dedica a primeira hora de cada reunião à questão da segurança. “As ações são definidas na comissão e executadas pelo Centro de Serviços Compartilhados”, detalha o executivo, explicando que sua área, como parte do CSC, presta serviços para todas as empresas da holding.
Cargos como o de D’Angelo devem tornar-se tendência conforme amadurece a visão de segurança dentro das corporações. “E é um movimento muito positivo, porque existe uma enorme integração entre as áreas em diversos casos”, garante. No entanto, muita gente discorda. “Na nossa ótica, não vinga unir segurança física e lógica em um só gestor. Uma coisa é proteger contra intrusão digital e outra é proteger um ambiente da invasão de uma pessoa”, opina Laércio, do Bradesco. Martins, CISO do ABN, também não aposta na união das áreas. “Acredito que é necessário esse trabalho integrado, mas não necessariamente embaixo do mesmo guarda-chuva”, pondera o executivo.
Mas há consenso quando se fala sobre a necessidade de o responsável pela segurança seguir os passos do CIO no que diz respeito à formação e à postura, ou seja, tornar-se um executivo com percepção estratégica do impacto de sua área nos negócios da corporação. “Temos de ter uma visão executiva, porque a principal função é gerir risco. O olhar técnico, que grande parte dos profissionais ainda tem, passa a ser um adicional nas empresas mais maduras”, entende Jorge Perez, CSO da General Motors para a América Latina.
Ainda que não seja vista pelo executivo como uma organização totalmente madura, a segurança da GM posiciona-se à frente da média do setor industrial. A montadora conta com políticas globais e uma estrutura composta por um CSO mundial e cinco CSOs regionais, além de um responsável por segurança em cada país. De acordo com Perez, o relacionamento entre CIO e CSO é direto, sendo que ele reporta ao CIO da GM para o Mercosul, Cláudio Martins. “Acredito que a área vai sair de TI, mas ainda não há maturidade suficiente para isto”, avalia.
Para justificar o aumento da importância dada à sua área, Perez comenta sobre o alto valor da informação para as empresas e, conseqüentemente, os prejuízos financeiros que podem ser gerados pela perda das mesmas. “É esta visão de segurança que estamos levando ao corpo executivo das companhias para criar uma nova abordagem para o assunto”, explica.
Em segmentos nos quais a relevância da integridade e confidencialidade dos dados ainda não está tão clara para a alta-direção, cabe ao responsável pela segurança adotar uma postura desse tipo para, assim, deixar claro que segurança não é apenas um centro de custos. A preparação para lidar diretamente com as áreas de negócios e avaliar os riscos levando em conta o impacto de determinadas iniciativas nos resultados da empresa será, cada vez mais, característica imprescindível para os gestores de segurança.
A tendência, prevêem especialistas, é que haja um canal de comunicação direta  entre o gestor de segurança e a direção da empresa. Com isso, a segurança deixará de ser vista pelas áreas de negócios como um firewall de projetos, ao mesmo tempo em que ganhará valor estratégico como gestor de riscos aos quais a empresa está exposta. “Nosso objetivo maior deve ser manter a integridade, a proteção e a disponibilidade das informações. Quanto mais ortodoxa é a área de segurança, menos madura”, aponta Perez, da GM. Realmente, tornar-se um herói corporativo a la Harrison Ford não é tarefa simples – e ainda não possui uma receita definida. Mas está claro que as companhias brasileiras e seus líderes de segurança, pouco a pouco, tomam consciência da importância da gestão de riscos para o sucesso dos negócios.