This post is also available in: Português Español
Como Gap Analysis puede ayudar a identificar fallas de seguridad digital en una empresa – y mostrar las mejores formas de resolver los problemas.
Por más eficaz que parezca su negocio, todo gerente ya se preguntó en qué estaría fallando su empresa. Este tipo de reflexión que busca imperfecciones en las diferentes actividades y procesos internos, puede revelar oportunidades increíbles para mejorar.
Es común llamar tales fallas: gaps. Y pueden estar situadas en cualquier etapa – de cualquier sector – de empresas de innúmeros ramos de actividad. Es posible que surjan por N motivos, como influencias externas, evolución del mercado y cambios de preferencias de los clientes. O cuestiones internas, como problemas de comunicación e interpretación.
Sea cual sea el motivo, siempre hay espacio para el análisis. Es por eso que el proceso se hizo famoso con el nombre Gap Analysis en inglés, y siendo conocido así por todo el mundo– incluso dentro de la seguridad digital.
En ese tema, es muy común que surja la necesidad de cuestionar el modelo de negocio y evaluar qué está funcionando, determinando si aún es necesario mejorarlo. Por eso, una herramienta interesante para llevar a cabo el examen, es el Gap Analysis, que podemos traducirlo como Análisis de Lagunas.
Conocer y monitorear el riesgo que corren los principales activos tecnológicos es imprescindible para la gestión de riesgos no ambiente de TI. Por lo tanto, se debe realizar un mapeo de los procesos y recursos envueltos, creando las condiciones para establecer un Gap Analysis entre el status actual y el punto al que se desea llegar, buscando mejorar la seguridad digital.
Por consiguiente, se puede tener una vista clara sobre la madurez del proceso y de los riesgos envueltos en la seguridad digital, lo que permite dirigir loa esfuerzos e inversiones a la medida para minimizar los riesgos al máximo.
Importante recordar que Gap Analisys não mostra apenas as lacunas tecnológicas, pois lida com rotinas e também pessoas – por exemplo, funcionários utilizando las contraseñas uns dos outros. Dessa maneira, identifica falhas ao compreender os controles existentes, ausentes ou insuficientes – bem como aquelas não aplicáveis no ambiente. É o que gera um plano de ação para corrigir os problemas encontrados na seguridad de la información dentro de una empresa.
Usando nuevamente el caso hipotético de trabajadores usando as senhas uns dos outros, pode-se descobrir com a Gap Analisys que tal situação ocorre pela existência de um sistema lento e antiquado, cujo tempo de logout e login é demorado demais. Ações corretivas envolveriam novas orientações aos colaboradores e a possível troca do sistema – ou ainda a implantação de novas maneiras de logar.
Como fazer
A Gap Analysis é baseada essencialmente em monitoramento e medição. Assim, enquanto o primero envolve verificar alterações, a segunda demanda levantar diversas informações, como valores, unidades e dimensiones.
É algo que pode ser realizado de duas maneiras. A primeira é através de uma auditoria baseada em uma lista de controle, verificando o que está totalmente, parcialmente ou não implementado, sendo que pode ser não aplicável a depender do item.
Já a segunda maneira pode acontecer por meio da aplicação de um modelo de maturidade, seguindo a linha de pensamento daqueles utilizados no framework COBIT, passando por níveis de maturação até que seja alcançado o objetivo.
Deve-se ter em mente que são necessárias algumas etapas para a identificação de problemas, e como eles podem ser corrigidos, a partir de determinados estágios.
O primeiro deles é a identificação do estado atual, remetendo a métricas ou atributos diversos. Depois, é necessário identificar com exatidão o objetivo. É o momento de definir metas a serem atingidas em um período de tempo especificado, que é o estado desejado da empresa.
Na sequência, identificam-se as lacunas – os gaps. Cada lacuna representa a diferença entre onde a empresa está e onde ela gostaria de estar. E esta é a hora de descobrir o motivo de existir uma lacuna. É preciso se aprofundar e fazer algumas perguntas que determinarão por que essa lacuna ocorreu. O problema é com a maneira com a qual a empresa trabalha? Os softwares são insuficientes? Equipamentos ficaram obsoletos? Funcionários precisam de mais treinamento?
Depois de entender o que ocasionou as lacunas, começa a etapa de criar as táticas mais adequadas para resolver os gaps. Para que se chegue a soluções sólidas e possíveis, é necessário considerar o custo de implementação de cada solução, avaliando os recursos disponíveis – afinal, a resolução de gaps na segurança digital não pode criar gaps no setor financeiro. Também é essencial determinar prazos para as ações, com datas de início e término.
Isso leva à pergunta “quanto tempo dura um gap analysis?”. Apesar de estimativas apontarem algo em torno de 60 dias, o prazo de acompanhamento da implementação do plano de ação é extremamente variável. Afinal, depende de fatores como o tamanho da empresa, setor e orçamento disponível – bem como o grau de engajamento da equipe para adotar as modificações. Lembrando sempre que o fator humano é um dos pilares da segurança digital em qualquer negócio.
Por isso, ao fazer o Gap Analysis, é preciso certificar-se de que as soluções projetadas sejam colocadas em prática – e que as melhorias sejam acompanhadas. Colaboradores diretamente envolvidos devem ser incluídos o quanto for possível em todo o processo, evitando impor soluções “goela abaixo” sob o risco de serem abandonadas aos poucos.
É crucial também não tentar fechar muitas lacunas de uma só vez – a não ser que estejam todas relacionadas. Se esse não for o caso, existe a chance de se colocar muita ênfase na quantidade sobre a qualidade – o que pode acabar não fechando lacuna alguma.
This post is also available in: Português Español