Comprometimento do usuário
O comprometimento do usuário é uma atitude fundamental para o sucesso da proteção da informação. Podemos ter o melhor controle de acesso lógico, porém, será de pouca valia se é comum na organização o usuário emprestar sua senha para outro ou ausentar-se do local onde está o seu computador e o mesmo não possui uma proteção de tela. Pouco adianta ter um excelente sistema de cópias de segurança se o usuário não coloca seus dados pessoais na área destinada para tal. A existência de um plano de recuperação de desastre poderá ser de pouca valia se o tempo de recuperação estabelecido não é fruto de uma análise por parte dos usuários das áreas de negócio da organização.
Para que o processo de segurança da informação tenha mais chances de sucesso, o comprometimento do usuário deve acontecer, pelo menos, nos seguintes aspectos:
a) Acesso à informação
O acesso à informação deve ser restrito e somente os usuários que necessitam utilizar aquela informação para o desempenho das suas atividade profissionais deve ter acesso à mesma. A liberação (ou não) desse acesso deve ser feito pelo responsável da área usuária, dona daquela informação. Normalmente chamamos essa pessoa de gestor da informação.
b) Conscientização em segurança da informação
Mesmo que a organização promova periodicamente campanhas de segurança, as orientações no dia-a-dia, principalmente dos usuários mais antigos para os mais novos ajuda para que todas as pessoas estejam conscientizados. Ciente e entendendo as regras e as normas, o usuário será mais efetivo em relação à proteção da informação.
c) Plano de continuidade de negócio
O usuário deve participar ativamente da elaboração desse plano de forma a contribuir para a identificação do tempo de recuperação necessário para a organização, considerando os impactos financeiros, de imagem e operacional. A participação do usuário na realização de testes e simulações é importante para garantir a efetividade desse plano. Quando da elaboração de procedimentos alternativos deve ser o usuário que vai definir, implementar e testar os mesmos.
d) Serviços de suporte ao monitoramento do sistema
O usuário deve estar atento às informações que lhe chegam provenientes dos serviços de monitoramento dos sistemas de TI que suportam o negócio: gerenciamento de problemas, gerenciamento de mudança, gerenciamento de capacidade, entre outros. Ter uma ação proativa garante a minimização e/ou eliminação de problemas.
e) Definição das cópias de segurança
Muitas vezes apenas a área de produção do ambiente computacional define o padrão de cópias de segurança. Essa definição pode não atender às necessidades do usuário em relação a dados históricos e dados legais. O usuário deve definir a periodicidade e o tempo de guarda desses dados.
Historicamente o segmento de tecnologia da organização era o senhor supremo de todos os dados e definia regras que todos os servos usuários deveriam seguir caso desejassem utilizar os dados do ambiente computacional. Atualmente a área de tecnologia deve ser uma prestadora de serviço que deve atender às necessidades das áreas de negócio.
O usuário é fator crítico de sucesso em um processo de proteção da informação. Devem existir regras e normas rígidas, mesmo aquelas que não são simpáticas aos usuários, porém, todo o processo de proteção deve contar com o comprometimento do usuário em proteger um dos bens mais importantes da organização: a informação.
