Segurança da Informação: o usuário faz a diferença!

Edison Fontes (*)
linha.gif (1525 bytes)

O processo de segurança da informação envolve muitos elementos,
mas com certeza o usuário é fundamental e devemos tratar com carinho

Todos esses anos de experiência na gestão da segurança da informação me fizeram confirmar cada vez mais que a pessoa humana é um fator crítico para o sucesso do processo de proteção da informação. A tecnologia existente possibilita a empresa ter uma boa proteção, mas, quem vai garantir que ela tira proveito dessa tecnologia e implementa de forma efetiva os controles adequados é o usuário.

Por esse motivo meu livro mais recente foi escrito para os usuários. Ele explica o porque da segurança da informação e apresenta de uma maneira simples os elementos do processo de segurança da informação na organização. Para uma melhor compreensão, são descritas situações reais publicadas pela mídia. Desta forma o usuário toma conhecimento que realmente situações problema acontecem no mundo real e podem acontecer com cada um de nós. O objetivo do livro é ser um elemento do processo de conscientização dos usuários.

Mas, por que a pessoa faz a diferença?

a) Porque são pessoas que comandam a organização.

O comando executivo, formado por pessoas, define a prioridade com que a segurança da informação será tratada dentro da organização. O mais importante para uma organização é o negócio que ela realiza, porém a segurança da informação deve ser inserida dentro da estratégia do negócio. Evidentemente dependendo do tipo de negócio essa participação estratégica pode variar sua intensidade, mas, deve sempre existir.

b) Porque são as pessoas que desenvolvem sistemas

Seja no desenvolvimento próprio ou no desenvolvimento terceirizado, a estrutura de segurança deve nascer com a criação dos sistemas aplicativos. Fica muito difícil implementar requisitos de segurança se o sistema de informação não permite os controles adequados. "Árvore que nasce torta... é difícil de corrigir".

c) Porque as pessoas apertam os botões

A tecnologia está aí, porém é a pessoa que faz o início de qualquer procedimento ou processo. Ou, não faz. A segurança depende do início (e manutenção) de vários processos.

d) Porque as pessoas pensam em proteger apenas o computador

Jogar papel com informação confidencial no lixo sem destruir; deixar informação em salas após as reuniões, comentar informações confidenciais em lugares sem garantia de sigilo como elevador, taxi, avião e recepções de happy hour (onde os concorrentes estão) são procedimentos que as pessoas fazem sem querer, sem má fé mas que podem prejudicar os negócios da empresa.

e) Porque as pessoas que querem fraudar a organização vão mirar nas pessoas da organização.

Aproveitando o descuido e a boa fé das pessoas da organização, os malfeitores agem sobre essas pessoas, independente do nível hierárquico e da condição de conhecimento técnico. Todos são alvos dos que querem fraudar ou roubar informação da organização.

f) Porque são as pessoas quem cumprem os regulamentos

Os regulamentos como políticas e normas são pano de fundo para o processo de segurança da informação. Eles cristalizam como a organização deseja que a proteção aconteça. Porém, para acontecer é necessário que os usuários leiam, entendam e executem esses regulamentos.

g) Porque são as pessoas que não cumprem os regulamentos

Muitas vezes uma bela arquitetura e um conjunto de regras não alcançam sucesso pelo simples fato das pessoas não seguirem os regulamentos.

h) Porque são as pessoas que passam para as outras pessoas os conceitos de segurança

Um funcionário novo vai receber da área de recursos humanos uma grande quantidade de papel contendo regulamentos e outras obrigações. Isso ajuda ele conhecer a organização. Mas, saber realmente como todos se comportam e consideram as regras, é pelo exemplo do colega, pelas ações da chefia e principalmente pela coerência da direção executiva.

i) Porque as pessoas fazem a soma 2 + 2 ser maior que 4

Essa é uma linda característica do ser humano: ser mais do que uma simples conta de matemática. Explicitando para as pessoas, informando os riscos, sendo honestos e coerentes, vamos conseguir o comprometimento de cada usuário, permitindo dessa forma que façamos essa conta generosa. É uma pessoa que contamina outra pessoa com os conceitos de segurança. A área responsável pela segurança consegue orientar e facilitar o conhecimento e criação da boa cultura.

O processo de segurança da informação envolve muitos elementos, mas com certeza o usuário é fundamental e devemos tratar com carinho. Como diz a letra da música Disparada (Geraldo Vandré e Théo Barros):

"... porque gado a gente marca, tange, ferra, engorda e mata, mas com gente é diferente!"... Trate de forma diferente o seu usuário.

Segurança da Informação: o usuário faz a diferença! é o título do meu livro lançado pela Editora Saraiva e voltado para os usuários da sua organização. Boa leitura!

 

Edison Fontes, CISM, CISA, Security Officer GTECH Brasil,
é especialista em segurança e proteção da informação.
Email: Edison Fontes