Archive for setembro \14\UTC 2009

Constatti – Curso Inédito no Rio de Janeiro

17/07/2009

folder curso marcos

Anúncios

Fatores Externos e a Segurança da Informação

17/07/2009

segurança da informação

Sempre afirmo e cada vez mais tenho certeza baseado na minha experiência e na conversa com outros profissionais ligados à proteção da informação: o processo de segurança  não acarreta maiores problemas, mas aflora os problemas existentes na organização.

Minha primeira constatação desta verdade foi após a implantação com sucesso do conceito de Gestor da Informação em um banco. Com a grande facilidade de que o próprio gestor fazia a liberação das transações que estavam sob o seu domínio. Isto é: não precisava de ajuda operacional da segurança; ele mesmo fazia tudo em tempo real. Um belo dia eu recebi um telefonema de um usuário reclamando que um determinado gestor da informação não liberou para ele um acesso a uma determinada transação. Dizia que ele precisava daquela informação e um choro de lamentação. De uma maneira educada passei a mensagem: não é a segurança que tem autonomia sobre a informação da organização. É o gestor da informação. O usuário deveria voltar e justificar essa necessidade ao gestor da informação. Caso o gestor continuasse não liberando sugeri que ele levasse o problema ao seu nível hierárquico superior.

Tempos depois descobri que havia uma rixa entre o solicitante e o gestor o que gerou todo este ruído. De uma maneira simples, rixa entre pessoas é, inicialmente, um problema de gestão de pessoas, de chefias e do RH. Claro que em segundo lugar a segurança tem haver com esse tipo de problema porque pode atrapalhar o bom andamento do uso da informação.

Sendo assim, quais são essas outras questões que diretamente não tem haver com a segurança, mas que precisamos considerar quando implantamos e gerenciamos o processo de segurança da informação em uma organização?

1. Clima organizacional
Um péssimo clima organizacional não ajuda em nada o processo de segurança da informação. Usuários insatisfeitos com a organização, achando que a empresa só quer espoliar as pessoas, que não tem respeito com os funcionários, prestadores de serviço, clientes e outras sensações negativas só podem exigir um malabarismo para um bom processo de segurança. Uma simples catraca para controle de acesso físico gera reclamações que a empresa quer monitorar o horário de trabalho do lanche, etc… Imaginem o monitoramento de emails!

2. Falta de vibração e comprometimento com a empresa
Diferente do item anterior os usuários não estão insatisfeitos com a organização, mas, também não estão satisfeitos. Farão o feijão com arroz mínimo. Chegou o horário da saída: tchau! Se o princípio de incêndio começou um minuto após o fim de expediente, não é mais problema de ninguém. A área de segurança patrimonial que resolva. Como no prato ovos com bacon, todos são a galinha: estão envolvidos. Ninguém está comprometido como o porquinho.

3. Executivos não dão exemplo, afinal são os donos, são a família.
Empresas familiares, principalmente a terceira geração que recebeu a criação da primeira geração e o crescimento da segunda geração e agora dirige uma empresa lucrativa e rica, esquece (na maioria das vezes) de tratar questões como a segurança, de uma maneira profissional. Segurança vale para os funcionários; para os donos, não! Se esses membros da família permitirem o diálogo com especialistas, poderão mudar de idéia/entendimento. Se não, essa característica de empresa familiar será uma dificuldade.

4. A Organização não é familiar, mas possui vários donos.
Empresas como cooperativas onde todos são donos da organização, também têm dificuldades semelhantes às empresas familiares. Difícil de entender? Lembre-se do condomínio onde você mora ou passa suas férias. Que dificuldade para um porteiro impedir o acesso de um morador (que ele não conhece) e que não se identifica. Depois as pessoas se queixam de assaltos em condomínios.

5. Alguns dirigentes estão na organização.
Alguns executivos estão na organização. Qualquer problema eles mudam para outra organização. Afinal ele é famoso pela sua liderança e capacidade. O mundo ficou chocado quando foi comunicado de uma maneira mais explícita os bônus milionários que os executivos recebiam, independente de que as empresas estavam indo ladeira abaixo. Muitas vezes sem cometer nada ilegal, conseguiam fechar o ano com uma foto bonita e aparentes lucros. O que aconteceria no dia primeiro de janeiro do ano seguinte ou como estava o risco de um desastre acontecer e a empresa afundar de vez, não importava. Rigorosamente isto foi mais noticiado quando o governo americano colocou dinheiro do povo americano para salvar empresas e bancos e enquanto isso seus executivos estavam recebendo polpudos bônus. Não existe comprometimento mínimo com a empresa.

Existem outros fatores externos à segurança da informação que afeta o processo de proteção. Evidentemente que alguns (ou a maioria) fogem do poder do gestor da segurança da informação, porém isto não impede que este gestor esteja atento. Esses fatores externos exigem que o gestor de segurança da informação seja criativo e cada vez mais profissional. Além do que ele precisa estar comprometido com a organização e esta mesma organização precisa ser merecedora desse comprometimento.

Este texto foi publicado originalmente por Edison Fontes.