A segurança deve ser amigável!

Quando implementamos um controle de acesso lógico, com regras rígidas em relação à identificação individual, senha, registro dos acessos realizados e gestor da informação, não queremos engessar o processo de negócio. Queremos proteger o uso da informação da empresa. Porém, esses controles precisam funcionar de acordo com o ritmo da organização.

Por exemplo, a inclusão de um novo usuário no ambiente computacional deve ocorrer em pouco tempo. Imagine uma instituição financeira que contratou um novo gerente de negócios e demora uma semana para que essefuncionário tenha acesso a todas as informações de que necessita para o desempenho das suas funções. Começando a fechar negócios no dia seguinte à sua contratação, esse profissional não consegue entrar nos sistemas de informática. Vocês podem imaginar o que vai acontecer?

Apresento duas opções: (a) Ele ficará uma semana sem fechar negócio e compreender que a segurança é muito importante para a empresa, ou (b) vai utilizar a identificação/senha de outro gerente/funcionário? Lembre-se do mundo real em que vivemos e não apenas das palestras de consultores que você assistiu. Escolheu sua resposta?

Outra situação que muitas organizações ainda não têmsolucionado de forma adequada é quando o usuário esquece a senha. Na maioria das vezes há dois extremos. O primeiro é a existência de um procedimento rápido, porém altamente vulnerável: esqueceu, ligou, ganhou uma nova senha. Sem citar as aberrações de solução onde o atendente da solicitação consegue ver a senha do usuário.

O outro extremo é uma solução razoavelmente segura, mas altamente complicada para o usuário. E ele precisa entender que:não existe problema na senha dele do ambiente Unix. Tudo foi migrado para o NT, mas a configuração do Proxy e do Firewall foram refeitas e com isso ele precisa se logar no servidor de autenticação com a senha antiga, digitar três vezes a nova senha, sem repetir as dez anteriores, e depois acessar o disco J pelo comando dxcba: key id password. Vocês conseguiriam fazer isso tudo? Imaginem o pobre do usuário!

Cabe ao setor responsável por fazer acontecer a segurança da informação na organização, exigir das áreas técnicas soluções amigáveis e efetivas. Temos de olhar com o coração do usuário, entretanto com a mente da proteção.

Exigir que qualquer acesso à informação da empresa seja autorizado pelo gestor da informação, não deve onerar o tempo de liberação da informação. Não precisamos criar formulários complicados e regras burocráticas. Cada empresa terá sua medida, mas nesse caso uma mensagem de correio eletrônico formaliza suficientemente bem esse procedimento. O que pode acontecer é o gestor demorar a autorizar esse acesso. Porém, nesse caso, o problema não é de segurança, é de desempenho de atividades profissionais.

Na medida em que os procedimentos de segurança podem ser feitos pelos usuários sem que isso exija conhecimento técnico específico, eles executam e cumprem as normas e procedimentos definidos. Cada organização possui suas características que devem ser consideradas no processo de segurança. Mas nunca devemos nos esquecer de que, na grande maioria dos casos, o usuário é nosso aliado e merece a nossa atenção.

*Edison Fontes, CISA, Security Officer da GTECH Brasil, edison@pobox.com, Especialista em segurança e proteção da informação.