Archive for the ‘Edson Fontes’ Category

Fatores Externos e a Segurança da Informação

17/07/2009

segurança da informação

Sempre afirmo e cada vez mais tenho certeza baseado na minha experiência e na conversa com outros profissionais ligados à proteção da informação: o processo de segurança  não acarreta maiores problemas, mas aflora os problemas existentes na organização.

Minha primeira constatação desta verdade foi após a implantação com sucesso do conceito de Gestor da Informação em um banco. Com a grande facilidade de que o próprio gestor fazia a liberação das transações que estavam sob o seu domínio. Isto é: não precisava de ajuda operacional da segurança; ele mesmo fazia tudo em tempo real. Um belo dia eu recebi um telefonema de um usuário reclamando que um determinado gestor da informação não liberou para ele um acesso a uma determinada transação. Dizia que ele precisava daquela informação e um choro de lamentação. De uma maneira educada passei a mensagem: não é a segurança que tem autonomia sobre a informação da organização. É o gestor da informação. O usuário deveria voltar e justificar essa necessidade ao gestor da informação. Caso o gestor continuasse não liberando sugeri que ele levasse o problema ao seu nível hierárquico superior.

Tempos depois descobri que havia uma rixa entre o solicitante e o gestor o que gerou todo este ruído. De uma maneira simples, rixa entre pessoas é, inicialmente, um problema de gestão de pessoas, de chefias e do RH. Claro que em segundo lugar a segurança tem haver com esse tipo de problema porque pode atrapalhar o bom andamento do uso da informação.

Sendo assim, quais são essas outras questões que diretamente não tem haver com a segurança, mas que precisamos considerar quando implantamos e gerenciamos o processo de segurança da informação em uma organização?

1. Clima organizacional
Um péssimo clima organizacional não ajuda em nada o processo de segurança da informação. Usuários insatisfeitos com a organização, achando que a empresa só quer espoliar as pessoas, que não tem respeito com os funcionários, prestadores de serviço, clientes e outras sensações negativas só podem exigir um malabarismo para um bom processo de segurança. Uma simples catraca para controle de acesso físico gera reclamações que a empresa quer monitorar o horário de trabalho do lanche, etc… Imaginem o monitoramento de emails!

2. Falta de vibração e comprometimento com a empresa
Diferente do item anterior os usuários não estão insatisfeitos com a organização, mas, também não estão satisfeitos. Farão o feijão com arroz mínimo. Chegou o horário da saída: tchau! Se o princípio de incêndio começou um minuto após o fim de expediente, não é mais problema de ninguém. A área de segurança patrimonial que resolva. Como no prato ovos com bacon, todos são a galinha: estão envolvidos. Ninguém está comprometido como o porquinho.

3. Executivos não dão exemplo, afinal são os donos, são a família.
Empresas familiares, principalmente a terceira geração que recebeu a criação da primeira geração e o crescimento da segunda geração e agora dirige uma empresa lucrativa e rica, esquece (na maioria das vezes) de tratar questões como a segurança, de uma maneira profissional. Segurança vale para os funcionários; para os donos, não! Se esses membros da família permitirem o diálogo com especialistas, poderão mudar de idéia/entendimento. Se não, essa característica de empresa familiar será uma dificuldade.

4. A Organização não é familiar, mas possui vários donos.
Empresas como cooperativas onde todos são donos da organização, também têm dificuldades semelhantes às empresas familiares. Difícil de entender? Lembre-se do condomínio onde você mora ou passa suas férias. Que dificuldade para um porteiro impedir o acesso de um morador (que ele não conhece) e que não se identifica. Depois as pessoas se queixam de assaltos em condomínios.

5. Alguns dirigentes estão na organização.
Alguns executivos estão na organização. Qualquer problema eles mudam para outra organização. Afinal ele é famoso pela sua liderança e capacidade. O mundo ficou chocado quando foi comunicado de uma maneira mais explícita os bônus milionários que os executivos recebiam, independente de que as empresas estavam indo ladeira abaixo. Muitas vezes sem cometer nada ilegal, conseguiam fechar o ano com uma foto bonita e aparentes lucros. O que aconteceria no dia primeiro de janeiro do ano seguinte ou como estava o risco de um desastre acontecer e a empresa afundar de vez, não importava. Rigorosamente isto foi mais noticiado quando o governo americano colocou dinheiro do povo americano para salvar empresas e bancos e enquanto isso seus executivos estavam recebendo polpudos bônus. Não existe comprometimento mínimo com a empresa.

Existem outros fatores externos à segurança da informação que afeta o processo de proteção. Evidentemente que alguns (ou a maioria) fogem do poder do gestor da segurança da informação, porém isto não impede que este gestor esteja atento. Esses fatores externos exigem que o gestor de segurança da informação seja criativo e cada vez mais profissional. Além do que ele precisa estar comprometido com a organização e esta mesma organização precisa ser merecedora desse comprometimento.

Este texto foi publicado originalmente por Edison Fontes.

Anúncios

Qual é o Cep?

17/07/2009

 O Artigo a Seguir foi Escrito originalmente por Edson Fontes, e achei muito interessante seu conteúdo quando o postei na página da Constatti. Então vamos a ele:

infornacao

Qual é o seu CEP? Foi a pergunta curta e direta que a atendente de caixa de uma grande rede de supermercados me fez. Para que? Indaguei de volta. Para cadastro, respondeu ela. E quanto o supermercado vai me pagar para eu dar esta informação? Perguntei. Ela não entendeu.

Expliquei rapidamente que aquela era uma informação pessoal e que eu não queria fornecer, pelo menos tão facilmente e tão gratuitamente para o supermercado.

Reclamamos que o Grande Irmão sabe muitas informações sobre as nossas vidas, mas muitas vezes nós mesmos é que entregamos nossas informações. Tem gente que entrega demais informações. Fala mais que o necessário e não toma o cuidado com o ambiente e com a ocasião.

Precisamos verificar sempre quem nos pede informações sobre as nossas vidas e conscientemente decidir se vamos fornecer ou não esta informação. Quando éramos crianças nossos pais diziam: não falem com estranhos. Depois de mais idade precisamos nos lembrar de não fornecer nossas informações para qualquer pessoa, para qualquer vendedor, em qualquer telefonema ou em qualquer email.

Em se tratando de informações de empresas precisamos ter o mesmo cuidado. Muitas vezes os sistemas de tecnologia estão bem protegidos com identificação e senha (às vezes até token com números variáveis), porém, as pessoas são descuidadas com quem falam ou como tratam a informação sob sua responsabilidade.

Reuniões confidenciais, salas seguras, linhas de telefone criptografadas e o executivo fala ao celular durante sua sessão de ginástica onde os colegas da academia ouvem tudo (mesmo com o som da música). Ou dentro do seu carro blindado, porém, junto ao seu agente de segurança.

Na maioria das situações você é quem protege ou libera informação para o Grande Irmão, para o concorrente ou para o crime organizado! Controle a sua fala!

Este artigo foi publicado originalmente no site: ITWEB