Fim de ano… época de planejamento

Fim de ano é tempo de planejamento e de promessas que serão cumpridas e de promessas que, mesmo desejadas, não serão cumpridas. Se no dia primeiro de janeiro andarei à pé, no dia dois já estarei de carro fazendo todos os percursos. Continuo pequeno e a cidade continua cada vez maior!

Para as empresas, de forma equivalente, o planejamento em segurança da informação sempre é feito e prometido. No próximo ano, o projeto de plano de contingência vai ser implementado, vamos ter a campanha de segurança, todos vão ter treinamento de antivírus e a segurança vai valer para todos: se o presidente esquecer o seu crachá vai ter que ir para a fila na recepção pegar a segunda via.

Começa o ano e tudo está planejado. Pouco tempo depois, o projeto de contingência foi adiado para o segundo semestre, a campanha de conscientização em segurança foi esquecida e pobre do vigilante que impedir o presidente de entrar porque está sem o seu crachá, pois será sumariamente demitido! Exagero da minha parte? Talvez sim, talvez não!

Qualquer pesquisa de entidade séria, indica que as organizações através dos seus executivos, acham a segurança da informação um dos assuntos mais importantes que devem ser tratados juntos com a execução do negócio. Afinal, um bom percentual dessas empresas já teve problemas com uso indevido da informação.

Mas, mesmo assim, muitas organizações apenas planejam e não executam ações de proteção da informação. Muitas são organizações líderes no seu segmento de negócio. O que, na prática, impede que essas organizações não sejam efetivas para os projetos de segurança da informação?

a) Falta de recursos

Esta é uma boa desculpa para as organizações que não desejam efetivamente implementar um projeto de segurança da informação. Salvo situações muito específicas, o custo de projetos é compatível com o porte da organização e pode ser absorvido. Normalmente correspondem a um percentual aceitável do investimento em tecnologia e serviços.

b) Os projetos podem ser adiados

Sem dúvida alguma! Os projetos de segurança podem ser postergados como qualquer outro. Com uma boa dose de sorte, um projeto de plano de contingência pode ser adiado por seis meses ou por um ano sem maiores conseqüência. Mas sem sorte as conseqüências serão desastrosas.

c) Nossa situação é melhor que a maioria dos nossos concorrentes

Provavelmente essa afirmação é verdadeira, porém, o fato de uma organização estar relativamente melhor, não significa que ela possui um patamar de proteção compatível com o seu porte e com o tipo de negócio e o nível de proteção que precisa. Comparar-se com outras organizações é um bom exercício, mas não pode ser fator determinante.

d) Confiamos nos nossos funcionários

A maioria das fraudes e problemas que ocorrem com o uso indevido da informação é provocado por pessoal interno da própria organização. Porém, o fato de confiar nos empregados e colaboradores não é suficiente para implementar projetos de segurança lógica e de gestão da proteção. Esta não é uma atitude profissional. Se alguém está trabalhando na organização, essa pessoa tem toda a confiança da empresa, mas os procedimentos não devem ser esquecidos.

A informação, em conjunto com os recursos humanos, o conhecimento coletivo e os processos de negócio, é um dos pontos mais importantes de uma organização. Protegê-lo é uma responsabilidade da direção perante os acionistas e os clientes. Planejar e implementar projetos que viabilizem uma proteção adequada é uma ação profissional na forma de conduzir o negócio, é isto o que os acionistas desejam. De resto, vamos visitar os amigos, viver nossos sonhos e ser mais felizes conosco e com os outros! Bem aventurado 2002 para todos!