Gestão Estratégica da Informação: Utilizando a Web e o ambiente interno

O fato de existir uma grande quantidade de ferramentas no mercado que cuidam desse assunto, muitas vezes, nos leva a começar a avaliar esses produtos sem pensar antecipadamente que requisitos de segurança, de funcionamento e de negócio devemos seguir.Uma abordagem inicial considerando esses pontos básicos pode nos levar a uma aparente perda de tempo. Mas, na verdade, apesar de gastarmos um tempo inicial maior, a decisão de escolha das soluções a serem implementadas estará baseada em premissas explícitas e que foram aceitas pela organização. Tal qual o Mestre que passou a maior parte do tempo amolando o seu machado antes de realizar o corte da árvore.

Destacamos os requisitos mais importantes que devemos considerar. Sendo assim, a solução deve:

a) Atender ao negócio

A solução para controlar o que deve ou não deve entrar na empresa pela internet deve considerar o negócio e suas características. A maturidade de presença na internet (real e desejada) da organização vai direcionar a sofisticação da solução de controle a ser adotada. Uma classificação de maturidade de presença na internet, pode ser nos seguintes níveis:

(1) Presença institucional

(2) Pedidos e consultas on-line

(3) Integração básica em tempo real com o negócio

(4) Integração avançada em tempo real com o negócio

(5) Comércio virtual exclusivo

A identificação desse nível de maturidade é relativamente simples e de grande valia para direcionar a sofisticação da proteção. Qual o nível de maturidade da sua organização?

b) Não possibilitar a entrada de perigo no ambiente

A informação que entra através da internet não deve trazer perigo ao ambiente computacional da organizacional. Neste item consideramos o código malicioso. Só devem ser executados na máquina da organização programas que não executem ou não tragam embutido código malicioso que venham prejudicar esse ambiente.

c) Ter a possibilidade de autenticar a informação que chega

É necessário saber quem (pessoa ou elemento) está enviando a informação para o nosso ambiente. Ao termos aplicações em Web Servers precisamos autenticar os usuários e os demais servidores para evitar que um recurso pirata converse com o nosso ambiente e insira informação indevida.

d) Garantir a legalidadedo ambiente computacional

Não é desejável que o ambiente computacional seja contaminado com informação que coloque a organização em situação delicada perante a lei. A descoberta de arquivos de música, dados ou de programas adquiridos de forma ilegal pode acarretar impacto de imagem ou impacto financeiro da organização.

e) Garantir a privacidade das pessoas

Informações confidenciais dos usuários não podem ser roubadas do ambiente computacional por um código malicioso e enviadas pela internet.

f) Possibilitar o atendimento de necessidades

Certa vez identifiquei uma recomendação de segurança: “Não abra emails de remetente desconhecido!” Essa não pode ser uma regra válida para usuários de comunicação com o público. Neste caso teremos que abrir mensagens eletrônicas de desconhecidos. O que devemos ter é solução para que o simples abrir, não coloque em risco a informação e o ambiente computacional da organização.

g) Manter a performance aceitável

A implantação de soluções não pode, ou melhor não deve, comprometer a performance do ambiente computacional de forma que prejudique o andamento do negócio.

h) Considerar as boas práticas de liberação e acesso à informação

Gestor da informação: é fundamental que o conceito de gestor da informação seja implementado e seguido. É o gestor quem autoriza ou nega o pedido de acesso para a informação.

Identificação e autenticação: devem ser de uso simples e de preferência única para todos os ambientes.

Registro de acessos: o log do que foi realizado deve existir para possibilitar auditorias e consultas.

Em termos estratégicos essas são os principais aspectos que devemos considerar. A partir daí podemos procurar e implementar a solução que melhor atende às necessidades da organização.