Identifique a raiz do problema!
Quando identificamos um determinado problema relacionado à segurança da informação nossa primeira atitude é resolver este problema e fazer com que o ambiente volte à normalidade. Atitude correta, pois possibilita a continuidade das atividades para a realização do negócio. Porém, tão importante quanto resolver o problema o mais rápido possível, é identificar a causa verdadeira do problema. Chamo atenção para a expressão causa verdadeira, pois muitas vezes somos levados a acreditar em algumas causas que não são totalmente verdadeiras. Normalmente buscar a causa verdadeira não é uma tarefa fácil. Sempre nos deparamos com situações tipo: a) A situação já foi resolvida. Não vamos ter mais problema. É verdade que a situação do momento foi resolvida, mas, não temos a garantia de que não teremos mais problemas. Podem até demorar a acontecer, mas com certeza se a causa não for identificada e resolvida, os problemas vão novamente acontecer. b) Buscar culpados não é política da empresa Identificar a causa dos problemas não é uma atividade de ?caça as bruxas?. Eventualmente vamos identificar que alguém cometeu um erro. O objetivo de identificar a origem do problema, caso seja uma pessoa, é possibilitar tomar decisões para que o problema não ocorra novamente. Uma pessoa pode causar um problema em função de não ter tido o treinamento adequado. Precisamos tratar essa questão de forma profissional. c) A identificação da causa exige muito esforço. É verdade que em algumas situações a identificação da origem do problema exije a dedicação de muito esforço. Mas, com certeza esse custo será menor do que o custo das várias repetições do problema e dos impactos que ele causa. Evidentemente devemos ter o bom senso para identificar o ponto de equilíbrio. Mas, na vida empresarial praticamente todas as situações de problemas merecem ter suas causas identificadas, considerando que a organização realmente deseja resolver essa questão definitivamente. d) Ao identificarmos a causa, alguma ação precisa ser realizada. Sem dúvida! Ao se saber o que causa determinado problema uma ação precisa ser feita, mesmo que seja a ação de nada fazer. Mas, esta ação definida deve ser conseqüência de um pensamento estruturado e decidido profissionalmente. Uma outra questão é que esta ação deve ter um responsável, uma pessoa com nome e sobrenome pela sua execução. e) Não aproveitamos adequadamente as informações sobre as causas. Ao colecionar ao longo do tempo as diversas causas de problemas, aproveite esse belo conjunto de informação e o utilize para decisões estratégicas. As causas podem ser classificadas por:– tipo de ação que precisa ser tomada para a sua resolução, – área geográfica da ocorrência,– área organizacional da ocorrência,– tipo de funcionário envolvido,– custo da solução,– custo do problema causado, e– alguma outra classificação que faça sentido para a organização.O importante é que a informação que você extraia desses dados possibilite soluções estruturais. Identificar a causa do problema, explicitar essa causa e implementar ações para minimizar ao máximo a possibilidade de nova ocorrência do problema é uma posição profissional e inteligente para o bem da organização. Edison Fontes, CISM, CISA, [email protected], Consultoria de Segurança da Informação – CPM Braxis.