Talvez esse texto não seja para você….
Mas resolvi registrar o que aprendi nos últimos anos em relação à minha visão sobre segurança da informação no ambiente corporativo. É apenas uma perspectiva particular, baseada em experiências, estudos e aprendizados desse período.
Spoiler Alert!
It’s all about communication.
Segurança 360: O que aprendi nos últimos anos
Segurança além da tecnologia.
Quando falamos de segurança da informação, não se trata de um processo isolado — é apenas a ponta do iceberg. Uma boa gestão de segurança se sustenta em conhecimentos que atravessam todos os processos de um organismo.Por muitos anos colaborei diretamente com a área técnica, análise e desenvolvimento, onde naturalmente migrei o foco para segurança da informação, já que minha base fundamental estava alinhada dessa forma.
Com o tempo, percebi que muitas falhas que eu gerenciava eram consequência de causas em outros processos ou áreas. A necessidade de uma visão além da tecnologia ficou cada vez mais clara e óbvia.
Além disso, o mercado também passou a ser mais exigente: a conscientização aumentou, as ameaças externas se intensificaram, notícias ganharam grandes mídias, os dados pessoais ganharam valor e a LGPD amadureceu.
Meu principal aprendizado começa aqui: segurança da informação vai muito além da tecnologia.
O organismo é tão seguro quanto seu elo mais fraco
A jornada continua quando aceitamos que a superfície de ataque se estende a todos os processos. Assim como a água procura o caminho de menor resistência, a exploração de vulnerabilidades quase sempre acontece pelo elo mais fraco: falhas humanas ou persuasão.Ter uma visão 360 torna claro que é preciso proteger o organismo como um todo. Existem oportunidades (e riscos) em todos os processos. A tecnologia ajuda, mas sozinha não resolve.
O diabo está onde não há glamour.
Quando as soluções técnicas estão mais maduras e resistentes, os atacantes buscam brechas em processos burocráticos, legais ou contratuais — justamente aqueles com pouca avaliação crítica e pouca atenção.Áreas como RH, suporte, comercial ou vendas, muitas vezes esquecidas quando se pensa em superfície de ataque, tornam-se alvos fáceis. Com a evolução da consciência tecnológica, esses setores acabam sendo portas de entrada rápidas para fraudes, roubo de informações ou credenciais.
Habilidades
A comunicação talvez seja a habilidade mais importante e a mais subestimada. Para promover melhorias, é preciso entender pessoas e processos, negociar, fazer política, ter paciência, construir alianças e trazer as pessoas para “jogar junto”.Passei a valorizar muito mais as soft skills do que as hard skills. Conhecimento técnico se aprende com relativa facilidade hoje em dia. Já postura, comprometimento e comunicação dependem de iniciativa pessoal.
Isso influencia diretamente o sucesso da implantação e manutenção de processos de segurança.
Desafios
O desafio é muito maior do que eu imaginava no início. Às vezes é frustrante. Às vezes empolgante. No meio do caminho eu rio, choro, já pensei em desistir, mas também já tive vontade de dominar o mundo.As demandas parecem infinitas, e para sobreviver tive que aprender a priorizar e aceitar que não será possível atender todas as necessidades.
Se você não sabe o que não sabe, corre o risco de cair na armadilha da arrogância e achar que está tudo seguro. Aprendi (e sigo aprendendo) que não há milagre: é diálogo, é puxar a cadeira, observar atividades, aprender a fazer as perguntas certas. Esse talvez seja o maior desafio — mas também o diferencial na identificação de riscos críticos.
Novamente, comunicação. A mensagem precisa ser ajustada ao público: o que se apresenta à alta direção não é o mesmo que se apresenta ao RH, ao administrativo ou ao time de desenvolvimento.
Gerenciamento e priorização
Precisei aprender a entender o que gera mais valor e classificar para direcionar os esforços, que são limitados, ao que é mais importante e traz melhor impacto.Outras métodologias já aplicam isso, por exemplo o SCRUM com a ideia do 80/20.
Organização e documentação de forma transparente é importante para minimizar pontos cegos e a manter o foco nas atividades com maior valor.
ISO 27001 e outros frameworks
Frameworks de apoio sempre ajudam. São ótimos para cobrir pontos desconhecidos ou pouco familiares.Boas práticas documentadas em referências como ISO, OWASP, NIST oferecem direcionamento sólido e evitam armadilhas de tomar decisões na base do “achismo”.
Segurança é um processo, é cíclico.
Não é um produto.