Mais um na blogosfera

Agora é a vez do Hashimoto nos privilegiar com sua visão de segurança na blogosfera. Gostei bastante do post inaugural dele, sobre compliance. Ele faz um comentário muito pertinente relativo à postura da direção das empresas quanto ao assunto, tratando-o de forma isolada e non estilo "mínimo para passar", sem aproveitar a oportunidade para melhorar processos e controles de forma integrada.

Acho que faltou, porém, mencionar as auditorias. Muito do detalhamento das regulamentações, como a parte relativa a controles de TI da SOX, por exemplo, é feito por empresas de auditoria. Acho que faltou a participação de pessoas e empresas mais ligadas às soluções, e não em apontar os problemas. Quem já não passou por uma auditoria que insistia em configurações de controle de senhas e procedimentos de autenticação completamente ultrapassados e descolados da realidade? Alguém já, por curiosidade, apresentou aos auditores as últimas pesquisas sobre os efeitos contrários de políticas de senhas fortes, troca periódica, etc? Por que mesmo mostrando argumentos sérios para adotar uma postura diferente do "best practice" estabelecido, a empresa ainda recebe apontamentos dos auditores?

Esses profissionais tem que estar preparados para analisar as medidas adotadas e entender como o risco é mitigado, ou mesmo se a empresa tomou uma decisão baseada em uma análise consistente das alternativas. Hoje a coisa é um simples preenchimento de sim/não em um checklist. Quando suas ações são analisadas assim, é muito difícil tomar atitudes inovadoras ou tentar aproveitar a oportunidade trazida pela regulamentação para reduzir riscos de forma integrada na organização.

Bom, ainda assim, Resumoto, parabéns pela estréia!