Em 2020, Nicola convidou Alexander Akinjayeju, seu mentorado na DAMA UK para escrever este artigo, pela sua vasta experiência em segurança de dados e governança de dados, que define:
Segurança cibernética é o termo atraente para segurança da informação; também pode ser usado de forma intercambiável com outras áreas específicas de escopo, como segurança de TI ou segurança digital, etc. A palavra-chave aqui é “Segurança” da informação em qualquer formato ou escopo apresentado, seja cibernético, dados, digital, TI etc. Para efeito deste artigo, usarei o termo “Segurança da Informação (SI)”.
A disciplina de segurança da informação pode ser vista como uma ciência ou como uma arte, dependendo do seu ponto de vista ou contexto. A ciência definida como “um corpo de conhecimento sistematicamente organizado sobre um determinado assunto”, enquanto a Arte, é definida como “uma habilidade em fazer uma coisa específica, normalmente adquirida através da prática”. Um conceito central em Segurança é a ameaça de um “inimigo” disposto a roubar, interromper ou tornar as informações de valor inestimável.
A segurança da informação é um corpo organizado de conhecimento (Ciência) sobre a proteção da informação, muitas vezes envolvendo guerras com inimigos internos e externos (Arte).
SI possui entre suas responsabilidades a proteção dos atributos de Confidencialidade, Integridade e Disponibilidade dos ativos de Dados e Informação. Nota da tradutora (NT): CID é um dos pilares da SI e da Governança de Dados, sendo por si só um grande motivo para esta parceria.
A governança de dados (DG) é definida no Data Management Body Of Knowledge – DMBOK como “o exercício de autoridade, controle e tomada de decisão compartilhada (planejamento, monitoramento e aplicação) sobre o gerenciamento de ativos de dados”. Muitas vezes, integra a área de Gerenciamento de informações corporativas (EIM).
Os dados possui diversas especificações e um longo ciclo de vida que tem diversas transformações, dados são o insumo para Inteligência Artificial e sua qualidade impacta diretamente na tomada de decisão. Neste contexto, é útil mostrar a relação entre dados, informação, conhecimento, e sabedoria na ilustração que foi adaptada pela tradutora para este artigo.
NT: para exemplificar usei o modelo DIKW (Data, Information, Knownledge e Wisdom) o entre dados, informações, conhecimento e sabedoria no contexto empresarial, principalmente na assertividade na tomada de decisão, adaptei a imagem usada por Osório (2021) no TDC 2021.
Atualmente é jargão empresarial a afirmação que na era digital os dados o ativo mais importante para as empresas, sendo considerados o “novo petróleo, impulsionados pelo big data”, como mostra a imagem sobre a geração de dados a cada minuto de 2019.
NT: como comparativo inseri o volume referente a 2020, para demonstrar este contraste com destaque para ferramentas para reuniões online como Microsoft Teams e Zoom, e surgimento de novas redes sociais como TikTok.
Esse volume impulsiona a economia global e impactou setores tradicionais, incluindo bancos e finanças, que precisam se reinventar para acompanhar esse novo cenário, empresas como Uber e AirBNB não existiam há 10 anos e já são marcas reconhecidas mundialmente.
A receita do Uber foi superior a $ 14 bilhões em 2019 e o AirBNB está avaliado em $ 38 bilhões. Adivinha? Dados como seu principal ativo! A Uber não possui frota própria, enquanto AirBNB não possui nenhum hotel.
NT: Airbnb e Uber como diversas empresas tiveram queda de faturamento em 2020 mesmo assim não perderam sua representatividade. Somente no Brasil as empresas baseadas em dados estão entre as mais promissoras, como Nubank que tem valor maior que o Itaú, lembrando que atingiu o valor em poucos anos e sem fusões, a XP trouxe uma nova forma de investir e tem representatividade maior que bancos tradicionais.
Diante deste contexto, a SI é vital para proteger os ativos de dados e informações com as atividades que muitas vezes não tem a mensuração correta do valor dos ativos que impactam negativamente seu desempenho.
1. Mensurar o custo de segurança, muitas vezes o valor dos dados nem sempre é considerado e estimado diante da possibilidade de ataques e vazamentos de dados que podem ser expostos.
2. Iniciar e manter um programa de segurança estratégica, geralmente são orientados por obrigações de conformidade ou como resultado de incidentes.
3. Identificação e localização de dados críticos de negócios, o nível de controle necessário e a quantidade de resiliência necessária para garantir a continuidade dos negócios quando ocorre um desastre. NT: na pandemia, as empresas que já tinham planos de continuidade de negócios, e uma cultura voltada a dados foram as que se adaptaram mais facilmente ao novo cenário.
Ainda SI tem vários desafios como manter também um programa de educação, assegurar o acesso e a confidencialidade dos dados e minimizar/transferir alguns riscos para manter os investimentos em segurança dentro do esperado.
Como pode perceber o foco são os “dados” que precisam ser protegidos, e o Chief Information Security Officer – CISO e sua equipe não conseguem mensurar o valor dos dados e nem definir os atributos de segurança ou o nível de proteção que um ativo de dados exige, podendo gerar um uso indevido de recursos e impactar negativamente as atividades da área.
Uma parceria efetiva entre as áreas ajudaria em projetos de prevenção de perda de dados, independentemente de sua sensibilidade e sua criticidade, auxiliaria na melhor compreensão dos fluxos de dados e processos de negócios. Em se tratando dos atributos de dados, daria embasamento nas decisões para gerenciamento de risco.
Em troca, a SI apoiaria a governança na implantação e operação de controles para cumprir seus princípios, políticas e normas, bem como monitoramento dos ativos. É uma parceria benéfica para estas áreas, que sempre estão em evolução e tem um vasto campo de crescimento.
*Traduzido de Cyber/Data Security and Data Governance – Siblings from the same Parents de autoria de Nicola Askham.
