*Por Álvaro Luiz Massad Martins
Conforme nossa proposta inicial, e para dar continuidade à reflexão sobre como fomentar o aumento de maturidade em cibersegurança, penso ser interessante notar como a intensa aceleração digital presente em muitos setores, nos leva a elevados patamares de competitividade, entretanto, como bem sabemos não basta para competir que simplesmente as empresas elevem seus investimentos/gastos em tecnologia. Para uma maior efetividade no uso de tecnologia é fundamental que as empresas busquem aumentar a sua maturidade no assunto, para assim conseguirem extrair benefícios tangíveis dessa aceleração.
Essa lógica vale para o uso de tecnologia em geral, bem como para aspectos específicos, como é o caso da cibersegurança. Somente com o desenvolvimento de maturidade no assunto é que as empresas podem melhorar a sua segurança cibernética.
Aumento de maturidade não é algo que acontece por mágica, não se trata de um evento isolado, ao contrário, é uma verdadeira jornada, com muitos desafios e armadilhas, e que requer grande foco e energia. E o equívoco mais comum que encontramos no cotidiano das empresas em geral, é pensar que existe alguma mágica, ou ainda, uma “receita de bolo”, que basta “copiar e colar”, e pronto! Estaremos mais seguros!
Mas calma, não precisamos ficar desesperados, pois existe já muito conhecimento adquirido sobre essa jornada em busca de maior maturidade, seja através das melhores práticas de mercado, como também por inúmeros trabalhos acadêmicos/modelos já desenvolvidos sobre o tema.
Histórico de TI nas organizações
Vale lembrar que na ciência da administração de empresas os trabalhos de pesquisa buscam retratar as realidades existentes nas empresas, e para tanto, o pesquisador vai às empresas para verificar como os fenômenos estudados estão acontecendo; obviamente com a metodologia apropriada a cada caso em si, para ao final se apresentar alguma resposta à pergunta de pesquisa, que pode até mesmo se tornar uma teoria sobre o assunto.
Os conhecimentos adquiridos através dos processos de pesquisa são apresentados na forma de artigos, seja em congressos ou publicados em revistas das respectivas áreas de conhecimento. Essa teoria algumas vezes pode também ser apresentada na forma de um modelo, que tem a grande vantagem de nos ajudar a enxergar a realidade. Os modelos funcionam como lentes nos dando parâmetros para entender a realidade, e assim nos ajudam também a fazer diagnósticos.
Para uma jornada efetiva em busca do aumento da maturidade em cibersegurança, o primeiro passo fundamental é exatamente fazer um correto diagnóstico de onde a empresa se encontra no momento, e qual o nível corrente de maturidade no que diz respeito ao uso e à gestão de tecnologia e de cibersegurança.
Para entendermos um pouco melhor a realidade das empresas no que diz respeito ao uso e gestão de tecnologia, proponho iniciarmos com a utilização de um modelo com dois momentos distintos: a Era do Computador e a Era da Informação. Lembrando que como qualquer modelo, este também é uma redução da realidade, mas que nos permite um melhor entendimento à medida que nos traz uma maior clareza dos contextos. Podemos pensar este modelo como duas fotos distintas, uma tirada no passado e a outra no presente, e cada uma delas nos mostra um cenário bem diferente do outro.
Era do Computador
A área de Informática era administrada pelo Gerente do CPD (Centro de Processamento de Dados), que fundamentalmente era um profissional de formação técnica, um gestor de nível hierárquico médio, que tinha como principal missão garantir que o computador estivesse sempre funcionando, para assim garantir ganhos de produtividade em vários processos de negócio da empresa.
O computador, que ainda era uma máquina de grande porte, o chamado mainframe, era o recurso focado, era o protagonista, esses equipamentos eram caros e por essa razão, o gerente do CPD muitas vezes se reportava ao executivo financeiro da organização, que era quem assinava o cheque.
Nesse momento quem se envolvia com o tema na empresa eram somente gestores de níveis hierárquicos médios também, não era comum que os principais gestores da empresa se envolvessem com o assunto. Pois apesar de o computador custar caro, o investimento total feito em informática não era muito elevado, na verdade era bastante conservador.
Neste momento o tema cibersegurança era bastante restrito, limitado a discussões entre especialistas, com uma oferta de ferramentas ainda discreta da indústria de TI, e não era um assunto que fazia parte da alta gestão das organizações.
Era da Informação
Neste momento o contexto muda bastante, a área de Tecnologia da Informação passa a ser gerenciada pelo CIO (Chief Information Officer), que deve reportar-se ao CEO (Chief Executive Officer), esse gestor, o CIO, é um profissional de nível hierárquico elevado, cuja competência necessária não se limita mais a aspectos técnicos, mas acima de tudo deve entender o negócio, e pensar como um estrategista, e sua principal missão é promover o alinhamento entre a TI e o negócio, para assim buscar níveis mais elevados de competitividade.
O recurso focado não é mais o computador, mas sim os dados e a comunicação, muitas vezes nem importando onde elas estão, se dentro da empresa ou na “nuvem”; o envolvimento com o assunto não se limita mais a gestores de nível médio, ao contrário, a alta gestão da organização está também bastante envolvida com o tema e com as decisões sobre TI, especialmente pelo fato de agora as empresas gastarem fortunas com tecnologia da informação.
Agora o tema cibersegurança já não está mais limitado a discussões entre especialistas, ao contrário, em muitas organizações já vemos o assunto fazer parte de reuniões de diretoria e/ou conselho, com novas ofertas de ferramentas tecnológicas surgindo a cada dia.
Como podemos perceber, são dois momentos com características bastante distintas, e esse modelo nos ajuda a entender onde cada empresa se situa atualmente, mais próxima da Era do Computador ou mais próxima da Era da Informação. E a partir desse entendimento podemos traçar um melhor diagnóstico de quais ações devemos empreender para conseguir fazer o melhor uso possível de tecnologia na empresa, bem como, qual será a magnitude dos desafios na gestão da cibersegurança.
Lembrando que uma das principais competências de qualquer gestor é justamente a sua capacidade de diagnosticar, para então tomar as decisões necessárias para atingir os seus objetivos, e os modelos servem para nos ajudar nesse processo.
E por outro lado, ao observarmos a realidade das empresas e olhando para o passado, podemos notar que um “velho modelo econômico” tinha como característica grandes barreiras de entrada, a necessidade de muito capital, a presença de economias de escala, com grandes volumes e pequenas margens, era um mundo onde o forte sobrevivia.
Olhando para hoje, o mais comum é encontrarmos um “novo modelo econômico”, onde não importa mais somente ser grande, o que tem muito valor é ter criatividade, saber inovar, fazer gestão do conhecimento, neste momento as barreiras de entrada são baixas ou até inexistentes, e para sobreviver o aspecto mais importante é a agilidade.
Neste novo cenário, que parece ser o mais comum em diversos mercados, quanto mais próxima da era da informação a empresa estiver maior agilidade terá para tomar decisões, e quanto mais ágil for para tomar decisões maior a capacidade de sobreviver, e maior será a sua capacidade de competir. E pensando especificamente na cibersegurança, maior também será a sua capacidade de levar a bom termo uma gestão efetiva de segurança da informação.
Por isso é imperativo que as empresas amadureçam na gestão de TI, caminhem no sentido da era da informação, para que tenham maior competência para tomar boas decisões, em tempos adequados, pois somente assim conseguirão alcançar níveis de competitividade que as permitam ter agilidade para desempenhos superiores.
Neste “novo modelo econômico” também é bastante comum encontrarmos pequenas empresas fazendo bastante sucesso, pois não há mais a necessidade de ser grande, de ter muito capital, ao contrário, é muito comum encontrarmos grandes empresas que não conseguem fazer essa transformação, justamente por serem grandes e não ágeis.
E, na sua visão, como está a sua organização? Mais próxima da “era do computador” ou já mais parecida com empresas da “era da informação”? Essa reflexão me parece ser um ótimo ponto de partida para a jornada de aumento de maturidade em cibersegurança, no próximo artigo aprofundaremos mais esse diagnóstico.
*Álvaro Luiz Massad Martins é professor nos cursos de MBA e Pós-MBA da FGV, e coordenador acadêmico da Formação Executiva em Cibersegurança. Martins é doutor e mestre em Administração de Empresas pela EAESP – Fundação Getulio Vargas- SP, onde também se graduou em Administração de Empresas. Tem mais de 30 anos de experiência no segmento de Tecnologia da Informação, tendo atuado em posições de direção em empresas como: American Express, Xerox do Brasil, Embratel, Diveo, Intelbras, Mandriva e Alcatel-Lucent. Atualmente, é Diretor Executivo da IT by Insight, empresa de consultoria na área de TI, que tem por missão ajudar as empresas na jornada em busca da Aceleração Digital, com especial foco em questões ligadas à cibersegurança; além de atuar como professor nos cursos de MBA e Pós-MBA da FGV, e coordenador acadêmico da Formação Executiva em Cibersegurança. Mais informações: https://www.linkedin.com/in/alvaromartins/
Este conteúdo é de total responsabilidade do autor, não representando, necessariamente, a opinião do Hub Cybertech Brasil.
