Aprendizado e descoberta 3min de Leitura - 13 de setembro de 2021

Gap Analysis: eliminando imperfeições na segurança digital

Gap Analysis segurança digital

This post is also available in: Português

Como o Gap Analysis pode ajudar a identificar falhas na segurança digital em uma empresa – e mostrar os melhores caminhos para resolver os problemas.

Por mais eficaz que pareça o seu negócio, todo gestor já parou diversas vezes para se perguntar no que a sua empresa estava falhando. É o tipo de reflexão que leva à busca por imperfeições nas mais variadas atividades e processos internos, e pode revelar incríveis oportunidades de melhoria.

Já é comum chamar tais falhas de gaps. E podem estar situadas em qualquer etapa – de qualquer setor – de empresas de inúmeros ramos de atividade. É possível que surjam por N motivos, como influências externas, evoluções no mercado e mudanças nas preferências dos clientes. Ou então por conta de questões internas, como problemas de comunicação e interpretação.

Seja qual for o motivo, cabe sempre uma análise. É por isso que o processo se tornou famoso pelo nome de Gap Analysis em inglês, ficando conhecido com essa nomenclatura em todo o planeta – até mesmo dentro da segurança digital.

Nesse tema, é muito comum que surja a necessidade de questionar o modelo de negócio e avaliar o que está funcionando, determinando ainda o que precisa de melhorias. Então, uma ferramenta interessante para ajudar nessa avaliação é o Gap Analysis, que pode ser traduzido como Análise de Lacunas.

Conhecer e monitorar o risco dos principais ativos tecnológicos é imprescindível para a gestão de riscos no ambiente de TI. Assim, deve-se realizar um mapeamento dos processos e recursos envolvidos, oferecendo condições para estabelecer um Gap Analysis entre o status atual e o ponto no qual se deseja chegar, buscando melhorar a segurança digital.

Nesse contexto, pode-se ter uma clara visão da maturidade dos processos e dos riscos envolvidos na segurança digital, permitindo direcionar esforços e investimentos na medida certa para minimizar os riscos ao máximo.

Importante lembrar que a Gap Analisys não mostra apenas as lacunas tecnológicas, pois lida com rotinas e também pessoas – por exemplo, funcionários utilizando as senhas uns dos outros. Dessa maneira, identifica falhas ao compreender os controles existentes, ausentes ou insuficientes – bem como aquelas não aplicáveis no ambiente. É o que gera um plano de ação para corrigir os problemas encontrados na segurança da informação dentro de uma empresa.

Usando novamente o caso hipotético de funcionários usando as senhas uns dos outros, pode-se descobrir com a Gap Analisys que tal situação ocorre pela existência de um sistema lento e antiquado, cujo tempo de logout e login é demorado demais. Ações corretivas envolveriam novas orientações aos colaboradores e a possível troca do sistema – ou ainda a implantação de novas maneiras de logar.

Como fazer

A Gap Analysis é baseada essencialmente em monitoramento e medição. Assim, enquanto o primeiro envolve verificar alterações, a segunda demanda levantar diversas informações, como valores, unidades e dimensões.

É algo que pode ser realizado de duas maneiras. A primeira é através de uma auditoria baseada em uma lista de controle, verificando o que está totalmente, parcialmente ou não implementado, sendo que pode ser não aplicável a depender do item.

Já a segunda maneira pode acontecer por meio da aplicação de um modelo de maturidade, seguindo a linha de pensamento daqueles utilizados no framework COBIT, passando por níveis de maturação até que seja alcançado o objetivo.

Deve-se ter em mente que são necessárias algumas etapas para a identificação de problemas, e como eles podem ser corrigidos, a partir de determinados estágios.

O primeiro deles é a identificação do estado atual, remetendo a métricas ou atributos diversos. Depois, é necessário identificar com exatidão o objetivo. É o momento de definir metas a serem atingidas em um período de tempo especificado, que é o estado desejado da empresa.

Na sequência, identificam-se as lacunas – os gaps. Cada lacuna representa a diferença entre onde a empresa está e onde ela gostaria de estar. E esta é a hora de descobrir o motivo de existir uma lacuna. É preciso se aprofundar e fazer algumas perguntas que determinarão por que essa lacuna ocorreu. O problema é com a maneira com a qual a empresa trabalha? Os softwares são insuficientes? Equipamentos ficaram obsoletos? Funcionários precisam de mais treinamento?

Depois de entender o que ocasionou as lacunas, começa a etapa de criar as táticas mais adequadas para resolver os gaps. Para que se chegue a soluções sólidas e possíveis, é necessário considerar o custo de implementação de cada solução, avaliando os recursos disponíveis – afinal, a resolução de gaps na segurança digital não pode criar gaps no setor financeiro. Também é essencial determinar prazos para as ações, com datas de início e término.

Isso leva à pergunta “quanto tempo dura um gap analysis?”. Apesar de estimativas apontarem algo em torno de 60 dias, o prazo de acompanhamento da implementação do plano de ação é extremamente variável. Afinal, depende de fatores como o tamanho da empresa, setor e orçamento disponível – bem como o grau de engajamento da equipe para adotar as modificações. Lembrando sempre que o fator humano é um dos pilares da segurança digital em qualquer negócio.

Por isso, ao fazer o Gap Analysis, é preciso certificar-se de que as soluções projetadas sejam colocadas em prática – e que as melhorias sejam acompanhadas. Colaboradores diretamente envolvidos devem ser incluídos o quanto for possível em todo o processo, evitando impor soluções “goela abaixo” sob o risco de serem abandonadas aos poucos.

É crucial também não tentar fechar muitas lacunas de uma só vez – a não ser que estejam todas relacionadas. Se esse não for o caso, existe a chance de se colocar muita ênfase na quantidade sobre a qualidade – o que pode acabar não fechando lacuna alguma.

This post is also available in: Português