Skip navigation

Entrevista: André Pitkowski fala sobre Governança e mitigação de riscos

22 de janeiro de 2010

Quando André Pitkowski surgiu no cenário de segurança da informação, em 1986, ele foi saudado com a necessidade de recuperar dados perdidos e remover vírus do ambiente computacional. Em entrevista exclusiva a equipe da EPSEC, o consultor em Governança, Riscos e Compliance, professor titular das cadeiras de BS7799 e Governança de TI no MBA e Pós do Instituto Mauá de Tecnologia, contou detalhes de sua brilhante carreira na área de segurança da informação e como as empresas podem implementar melhorias através da mitigação de riscos.

Qual foi a sua trajetória na área de segurança da informação e quais são as principais mudanças que você percebeu na carreira do profissional que atua nesta área tão dinâmica?

Eu “nasci” em 1986, numa área da Segurança da Informação, quando por acaso recuperei dados perdidos num Seagate 225 (25 MB de capacidade) de um PC XT. A tecnologia era nova e os primeiros usuários eram os desbravadores que resolveram trocar os mainframes pelo controle de pequenos computadores. À medida que a liberdade e a dependência crescia, as pessoas perdiam acesso, discos “crashavam”, máquinas queimavam… ainda sem estarem conectadas em rede, ou na internet. Em 1990 uma delas foi infectada – algo inédito no meu dia-a-dia – e, depois de descobrir que era o vírus Brain, entrei em contato com o Sr. John McAfee, que na época trabalhava na Boing, tinha se deparado com o mesmo problema, e também se dedicou a resolvê-lo. Fui aos Estados Unidos e trouxe o contrato de cooperação técnica e comercial do conhecido ViruScan da McAfee para o Brasil, comercializado e suportado pela minha empresa Compusul. Mais sete anos de trabalho e a McAfee compra a Compusul, me levando de volta ao mercado. Minha visão recaiu sobre a segurança das redes e uma forma de poder certificar que as redes estavam seguras. Para tal trouxe a representação da ICSA (atualmente True Secure). Depois me tornei consultor e, desde estão tenho trabalhado junto a várias empresas oferecendo respostas para problemas de Segurança, Governança, Riscos e Conformidade a leis e regulamentações. Em paralelo sou requisitado para aulas em turmas de Pós e MBA e palestras, nacionais e internacionais.

Grandes empresas no Brasil retomaram os projetos pré-crise e os orçamentos para TI e Segurança da Informação voltaram a crescer. No seu ponto de vista, quais serão as prioridades de investimento em 2010?

Antes da crise, eu percebia os projetos embasados por praticas de Gestão da Infraestrutura de TI e da Segurança de TI. Hoje converso com gestores preocupados com a Informação; não se trata da tecnologia que a suporta, mas com a Segurança, os Riscos e a consequente Governança necessária para oferecer a informação segura para os funcionários e confiável para o mercado. Quando falamos de Governança, avançamos por sobre as barreiras da área de TI para atender as necessidades do Negócio. A Governança alinha TI ao Negócio pela Gestão e a Segurança da Informação.

Na próxima edição do Congresso Nacional de Auditoria de TI, Segurança da Informação e Governança (CNASI – RJ), confirmado para março de 2010, voce estará ministrando o curso “Governança: Implementação prática do CobiT”. Durante este curso, quais recomendações você irá abordar sobre a otimização dos investimentos em TI?

A Implementação prática do CobiT parece ser uma grande resposta de COMO vamos fazer isso. De fato não basta simplesmente implantar o CobiT seguindo as regras. O CobiT é genérico e deve ser “interpretado” a luz do Negócio que irá suportar. Sua implementação visa atender duas necessidades básicas do negócio: os Gestores de Negócio e os Auditores Internos. Os Gestores serão atendidos porque a implementação correta trará valor, mitigação de riscos e controle (Governança). E os auditores internos validarão todo o trabalho realizado. Eles serão o porta-voz de TI para a Alta Administração da empresa, atestando que TI está operando sob Governança, Segurança e Gestão de Riscos, e em conformidade com todas as leis e regulamentos. Quando a Alta Administração publicar para o mercado uma informação destas, os acionistas e os investidores passarão a ver a empresa como uma entidade confiável para se investir. Este é o retorno do investimento que a implementação do CobiT promove e esta será a linha de raciocínio da palestra. Espero que gostem!!

As empresas brasileiras estão se preparando para a implementação da ISO/IEC 20.000-1 (Gestão de Serviços – TI) em conjunto com a ISO/IEC 27.001 (Sistema de Gestão de Segurança da Informação). Podemos estar vivenciando a criação de um novo sistema de gestão baseado nos dois padrões. Em sua opinião, a implementação deste novo sistema de gestão pode conflitar com as práticas de gestão do CobiT?

De forma alguma. O CobiT não é concorrente com nenhuma prática. Posso mencionar outras tais como CMMI, PMI, ISO9000,ISO31000 entre as mais conhecidas. O CobiT existe e sua missão é ser um guarda-chuva onde todas as práticas estão dispostas de forma lógica (os Processos) separadas por Domínios de Conhecimento. Todas as revisões do CobiT existem em função da atualização destas práticas, e não me surpreende se existir uma atualização para a versão 4.2 que aponte a junção da prática de Gestão de Serviços com a SGSI (Sistema de Gestão de Segurança da Informação).

A Tecnologia da Informação faz parte do risco operacional de qualquer empresa. Qual modelo de Gestão de Risco você recomenda e quais são as dicas para as empresas que querem implementar a “Gestão de Risco” no seu dia-a-dia?

Risco é um conceito abrangente, que permeia toda a empresa, em todas as áreas de negócio, em todos os níveis hierárquicos. TI suporta o negócio, não só em áreas operacionais (aquelas que realizam tarefas do dia-a-dia) como as áreas estratégicas (aquelas que suportam a tomada de decisão). Não existe UMA metodologia de riscos que possa atender TI em todas suas atribuições. Dentro do PMO, a gestão dos riscos em projetos faz uso de uma metodologia diferente da gestão de riscos em Gerenciamento de mudanças dentro do ITIL, ou da gestão de riscos em desenvolvimento de software dentro do CMMI. Por estes três exemplos você começa a ter uma ideia da complexidade do assunto. Existem no mercado diversas metodologias e modelos, cada qual desenvolvida para atender uma demanda especifica de TI na tarefa de suportar o negocio. Posso citar a ISO31000, ENISA, FAIR, Mosley, Pine, MEHARI, CRAAM, COSO ERM, ISO/IEC TR 13335, OCTAVE, e agora a recém lançada IT Risk Framework da ISACA, entre outras que podem ser consideradas mais específicas. A arte não está em conhecer muitas metodologias ou até saber aplicá-las. A arte está em compor a implementação de diferentes metodologias de forma a oferecer aos gestores de TI e de negócio apenas UM indicador de riscos, que representa o risco que TI oferece para negócio atingir seus objetivos.

Equipe EPSEC
info@epsec.com.br
www.epsec.com.br
Siga-nos no Twitter: http://twitter.com/epsec

Anúncios

One Comment

  1. Ótimo arquivo, vou divulgá-lo em meu site!!!


Comentários encerrados.

%d blogueiros gostam disto: