Fazer o dever de casa!
Numa das rodadas do campeonato paulista de futebol, um grande time ganhou três pontos relativos a uma vitória. Porém, com a derrota ou empate dos outros grandes times, que jogaram com times menores, a vantagem desse time vitorioso foi mais do que os três pontos da sua vitória. Sobre este fato lembro a frase de um comentarista: “O time fez o seu dever de casa. O mesmo não aconteceu com os demais!” Quem acompanha futebol sabe que, no final do campeonato, esses pontinhos perdidos fazem uma grande diferença. Muitas vezes, a perda do campeonato acontece pela negligência do “dever de casa” e não pela derrota em um grande clássico. Muitas organizações não fazem o seu dever de casa em relação à segurança da informação. Olham apenas para os grandes projetos e esquecem as decisões e os processos simples que permitirão uma proteção adequada. Mas o que seria o dever de casa em termos de segurança da informação? Seria implementar e manter efetiva algumas ações: a) Ter uma política e dar conhecimento a todos É fundamental para a organização ter uma política de segurança e proteção da informação. Mas, considere essa política a explicitação da filosofia da organização em relação à proteção da informação. Evidentemente, ao longo do tempo, deve-se ter o conjunto de políticas mais específicas, ter as normas e ter os procedimentos. Mas, de imediato, tenha essa política “guarda-chuva”, tipo os Dez Mandamentos, assinada pela alta direção. Nela deverão constar diretrizes, tais como: a identificação deve ser individual, a senha deve ser secreta, o acesso deve ser registrado, deve existir o gestor da informação, o gestor é quem deve autorizar o acesso da informação, devem existir cópias de segurança e outros requisitos básicos. b) Alinhar a segurança aos requisitos de negócio.A segurança existe para permitir que o negócio funcione no que depender dos recursos de informação. Os níveis de segurança requeridos devem atender aos requisitos de negócio. É fundamental passar essa mensagem para a alta administração e para as áreas de negócio. c) Conscientizar e treinar os usuáriosÉ necessária a conscientização dos usuários em relação à segurança da informação. Também deve-se treinar os usuários sobre ferramentas de trabalho e comportamento pessoal de modo a proteger a informação no nível adequado. Muitas vezes problemas acontecem porque o usuário não foi treinado para o uso correto do correio eletrônico. d) Buscar uma segurança fácil para o usuárioTodas as áreas, principalmente as de tecnologia, devem entender que tudo deve ser feito para facilitar a vida do usuário. É necessário tirar cópia de segurança do micro de forma automática? Isso faz o micro ficar lento, mas tem que ser feito. Então devemos permitir que o usuário defina parâmetros sobre qual a melhor hora para que a cópia de segurança seja efetuada. Mas, na prática isso não acontece, porque dará muito trabalho à área de apoio (help desk) para configurar cada equipamento. É fixado um horário e os usuários que se ajustem. Temos que facilitar a vida do usuário e conseqüentemente facilitar o cumprimento de controles. e) Ter um responsável pelo processo de segurançaÉ necessário ter um profissional, de preferência com dedicação integral de tempo, para ser o responsável pelo processo de segurança na organização. Mais ainda: este profissional deve estar em um nível hierárquico de independência para poder registrar os problemas, sugerir ações e cobrar implementações. Adianta pouco ficar preocupado com o vazamento de informação se não foi feito o dever de casa de definir: – o gestor de cada informação, – o processo para a autorização do acesso, – o registro (log) dos acessos realizados, e – a orientação de como cada usuário deve ter em relação à confidencialidade da informação que acessa. O “dever de casa” é fazer ações básicas, estruturais. Como esse é um bom caminho, acredito que todos os profissionais gostariam de segui-lo, mas muitas vezes isso não acontece. Quais seriam as razões? O que você acha? Se você é um profissional de segurança, já conseguiu fazer sua “lição de casa”? Se não: o que você aponta no seu caso como dificuldade? Independente da sua resposta procure compartilhar experiências com outros profissionais. Da mesma forma como quando mais jovens na escola perguntávamos: “E aí, fez todo o dever de casa? Conseguiu resolver a quinta questão? Me mostra o resultado!” E acontecia naquele momento uma ação de aprendizado. Podemos fazer isso no meio profissional. Basta querer e agir para alcançar. Como está sua organização? Tem feito o dever de casa em segurança da informação? Se cada item acima citado valesse dois pontos, qual seria sua nota?