Segurança sustentável para a informação
O termo sustentável tem sido muito falado nos últimos tempos. Quem anda pelo mundo acadêmico empresarial ou tem lido livros sobre organizações com certeza se deparou com o tema sustentabilidade.
Apesar de todos nós entendermos o que significa, penso que se tivermos um repórter pela frente e nos peça para definir o termo, ficaremos um pouco confusos. Sendo assim, tomo a liberdade de elaborar uma definição simples para o termo sustentável: é a maneira de realizar uma tarefa, um processo ou qualquer outra ação de forma que possibilite e busque garantir a continuidade dessa ação ao longo do tempo, considerando uma abordagem profissional, honesta e respeitosa para com todos os atores envolvidos.
Na maioria das vezes é mais fácil identificar uma ação não sustentável. Por exemplo, uma organização de serviços que não valoriza adequadamente seus profissionais. Muito rapidamente ela não continuará prestando bons serviços, por mais discurso que tenha.
O processo de segurança da informação pode e deve ser um processo sustentável. Isto é: podemos ter um processo de proteção da informação que ele próprio gere mais condições para continuidade de vida do próprio processo.
O que poderia ser feito para possibilitar que o processo de segurança seja sustentável? Entendo que algumas ações são críticas para tal. Destaco:
a) Apoio da alta administração
O processo de segurança deve receber um verdadeiro apoio da alta administração. Não pode ser um apoio eventual que acontece apenas no dia do lançamento do processo de segurança. Tem que ser verdadeiro e contínuo. Tem que possibilitar que a segurança da informação faça parte da estratégia do negócio da organização.
b) Apoio pelo entendimento da necessidade de proteção
A organização que entende a necessidade da existência de um processo de segurança da informação para o negócio tem mais chances de continuar sua existência, em relação a uma organização que desenvolve ações de segurança apenas por que existe uma legislação. Evidentemente que temos que cumprir a legislação, mas o que estamos analisando aqui é a motivação. Além do que, muitas ações de segurança da informação não estão respaldadas por legislação: são as ações pautadas na ética e no profissionalismo.
c) Consideração da pessoa humana como elemento fundamental
O usuário da informação é a peça mais importante no processo de segurança da informação. Ele é o elemento através do qual a segurança se cristaliza, se materializa no nosso mundo real. O treinamento e a conscientização em segurança da informação é a maneira como a organização reforça o usuário e faz dele um elemento de sustentação da proteção da informação.
d) Desenvolvimento de projetos de forma profissional
Projetos de segurança da informação devem ser desenvolvidos considerando todos os fatores críticos de sucesso na condução de projetos. Mudança de escopo é um dos motivos de atraso e aumento no tempo e no custo. Um escopo inicial pode ser alterado? Claro que pode, apenas teremos que considerar o que isto afeta no tempo e no esforço em homens/horas. Muitas vezes clientes internos ou clientes externos, por alguma razão não querem a implementação daquele projeto, mudam totalmente o escopo e desejam que tudo continue como era antes. Francamente, temos que admitir duas opções para esse fato: um grande desconhecimento do tema segurança ou uma ação de má fé para prejudicar o projeto. O que você tem encontrado na sua vida profissional? Não posso apostar no percentual, mas tenho certeza que você já viu as duas situações. Identificar a causa do problema que impede o desenvolvimento de projeto de segurança é uma ação inteligente.
e) Os regulamentos valem para todos
As políticas, normas e procedimentos definidos em segurança da informação são válidos para todas as pessoas que acessam o ambiente da informação, independente do seu nível hierárquico. Se foi definido que não se pode acessar a Internet: nem o presidente nem o estagiário contratado há poucas horas poderão acessar a Internet. Se um executivo da organização esquece o crachá e vai obedientemente para o local de disponibilização de crachá provisório, significa que a regra vale para todos e temos chances de uma segurança sustentável. Caso contrário, se com a sua autoridade ele solicita (e consegue) que abram uma catraca para ele passar sem crachá, as chances de se gerar uma segurança sustentável, são baixas. Melhor dizendo: são nulas!
f) Segurança sustentável deve fazer parte de uma organização sustentável
O processo de segurança sustentável não vai existir de forma consistente se a organização não for uma organização sustentável. Uma organização não vai tratar o processo de segurança de maneira diferente de como trata os demais assuntos. Na realidade a realização do negócio deve ter uma filosofia de sustentabilidade. Com essa orientação os demais processos da organização vão seguir a mesma estrutura.
g) Continuidade do processo de segurança
O processo de segurança da informação deve ser contínuo e não pode ser apenas um projeto. É um processo. Podem e devem existir projetos (início, meio e fim) que desenvolverão ações e competências em proteção da informação. O processo de segurança da informação deve existir enquanto a organização existir.
Quando se fala de sustentabilidade, transparência e ética nos negócios, algumas pessoas não acreditam que a organização pode trabalhar dessa forma. Evidentemente que a abordagem sob esse ângulo considera todos os atores do negócio da organização e consequentemente a rentabilidade do capital investido pelos acionistas. Tenho os pés na realidade e sei das características cruéis do mundo das organizações, mas entendo que se os acionistas desejam a existência da organização ao longo do tempo é necessário seguir sob esses três aspectos: sustentabilidade, transparência e ética. Dessa forma a sustentabilidade deve ser considerada no processo de proteção da informação. Como anda a sua organização em relação a sustentabilidade da segurança da informação?
