A informação é um fator crítico para os processos de negócios de uma empresa. A indisponibilidade, quebra de confidencialidade, e perda de integridade dessas informações podem acarretar prejuízos enormes e, dependendo do tipo do negócio, podem tirar a empresa do mercado. Assim, a empresa necessita de uma gestão de segurança da informação para proteger suas informações, que são manipuladas, armazenadas e processadas no ambiente computacional.
6.1. Conclusões
Este trabalho investigou, utilizando a metodologia do estudo de caso, como uma empresa da indústria de cartão de crédito construiu uma infra- estrutura de gestão de risco em segurança de informação não só no âmbito tecnológico, mas também, no operacional e no mercadológico, estabelecendo uma relação transparente às demais áreas internas da organização, aos clientes e a todo o mercado.
O estudo de caso analisou o intento estratégico da VISANET e seus principais objetivos de negócio. Foi analisado a relação entre os principais processos de negócio e os quesitos de segurança da informação à situação da empresa. Através do estudo, foi possível observar a relação entre as implicações de negócio com os requisitos de segurança.
Foram comparados os resultados do estudo de caso com o modelo de gestão da segurança da informação proposto na fundamentação teórica. Foi possível concluir que, a gestão da segurança da informação na VISANET fora estruturada de forma totalmente aderente e específico ao seu negócio, atendendo totalmente o objetivo deste trabalho.
De forma surpreendente, observou-se que o modelo de gestão de risco em segurança da informação apresentado, apesar de ilustrativo e simples, é muito abrangente e contempla todos os componentes necessários para uma empresa estruturar e gerenciar suas questões relativas a segurança da informação. Este modelo, através deste trabalho foi elogiado pela área de segurança da VISANET por apresentar tais características.
Figura 42: Modelo de gestão de risco em segurança da informação
(elaborado pelo autor)
Pode-se observar, através deste modelo, que a gestão da segurança da informação, não só deve considerar as questões de gestão interna e formas de implementações tecnológicas, mas também questões externas ao foco de área (ou no modelo: as áreas de interesse: alinhamento estratégico, segurança das operações e gerenciamento de identidades), como questões de negócio (criação do valor e gestão dos custos) e mercadológicos (administração das expectativas dos principais interessados, ou stakeholders: acionistas, clientes, investidores, fornecedores, etc).
Este trabalho foi satisfatório e conclusivo, uma vez que respondeu aos objetivos e questões propostos no início. A execução desta pesquisa demonstrou que as hipóteses H1 e H2 foram aceitas, ou seja que, a VISANET, empresa pertencente a indústria de cartão de crédito trata a gestão da segurança da informação de forma centralizada e especializada; e que a esta empresa executa uma análise de risco para a gestão da segurança da informação aderente e específico ao seu negócio.
Adicionalmente, foi constatado que a gestão de risco da segurança de informação sendo tratada centralizadamente, permite que não só as eventuais discussões técnicas quanto a aplicação das soluções tecnológicas, mas também os questionamentos em relação aos investimentos e implementações de soluções tecnológicas em segurança da informação por parte da alta administração e o resto da empresas, sejam evitadas através desta gestão centralizada e independente.
6.2. Limitações
As limitações deste trabalho são muitas, vista que o assunto é muito complexo e pouco explorado. Uma das limitações que merece destaque é o fato do estudo de caso ser de caso único, fazendo com que a análise do caso se restringe apenas à situação encontrada na VISANET, e portanto, não pode ser ampliada para as outras empresas e concorrentes da indústria de cartão de crédito. O uso do caso único inviabiliza uma generalização estatística das conclusões.
Outra limitação foi o viés de concentração das informações obtidas nas entrevistas com o pessoal da área de segurança da informação. Este viés é devido ao assunto específico, uma vez que, ao tratarmos apenas dos questões referentes a segurança da informação, somente esta área possuía condições para responde- las. Para atenuar esta limitação, foi utilizado também como fonte de evidências a observação pessoal e o exame de documentos e relatórios externos.
6.3. Sugestões para novas pesquisas
Este mercado de processamento de transações de cartão de crédito é bastante restrito, devido em grande parte à credibilidade associada a bandeira do cartão. Portanto, a sugestão mais evidente para pesquisas futuras seria a elaboração de novos estudos de caso, abordando com maior profundidade o assunto, sobre as demais participantes da indústria de cartão de crédito, que hoje seriam: a REDECARD, que processa as transações do MASTERCARD e a AMEX, processadora da AMERICAN EXPRESS.
Sugere-se ainda um estudo complementar, de modo a sintetizar as pesquisas sobre o tema de gestão de segurança da informação. Poderiam ser abordadas comparações do modelo de gestão de segurança da informação: entre as empresas da indústria de cartão de crédito no Brasil; entre as empresas da indústria de cartão de crédito no Brasil em relação ao mundo; entre as empresas da indústria de cartão de crédito em relação as demais indústrias no Brasil; e finalmente entre as indústrias no Brasil em relação ao mundo.
Seria conveniente elaboração de novos estudos, para o desenvolvimento e aprimoramento do modelo de gestão de risco em segurança da informação. Tanto os modelos analisados, quanto o modelo proposto, precisam serem explorados e desenvolvidos. O entendimento ampliado dos componentes do modelo de gestão de segurança é necessário para o bem e sobrevivência da organização.
Da mesmo forma, que na teoria de gerenciamento de risco, existem diversas metodologias e técnicas, seria muito importante um estudo mais aprofundado destas aplicadas na avaliação de risco para a segurança da informação. Um tema interessante para uma trabalho seria a elaboração de uma metodologia para avaliação de risco em segurança da informação, desenvolvendo métodos e modelos quantitativos e qualitativos. Por fim, esta metodologia em conjunto com um modelo de gestão poderia ser analisado e proposto a partir do ponto de vista dos próprios gestores de segurança da informação das empresas.
Finalmente seria bastante interessante e relevante a realização de estudos visando a criação de cursos acadêmicos multidisciplinares de formação em administração de empresas, tecnológica da informação, auditoria de sistemas e segurança da informação, de forma a preparar profissionais para exercer as funções de gerenciamento de risco em segurança da informação nas organizações.