Não dê sorte ao azar!

O que dizer da queda de um helicóptero em cima de um CPD principal de uma organização de grande porte, azar? Inicialmente podemos pensar assim, mas o que dizer de um site construído exatamente na rota, já conhecida, de um helicóptero? A organização está dando uma ajuda ao azar e o CPD terá um risco maior do que um outro ambiente construído fora do perigo.

Ajudar o azar é fruto de algumas armadilhas que todas as organizações sofrem ao tratar o assunto segurança da informação. Podemos citar algumas:

a) Não colocar a área de segurança em um nível organizacional independente

Quanto mais independência a área de segurança da informação possui, maiores as chances de sucesso! Caso contrário, as ações de segurança poderão ser abafadas por uma chefia superior que tem outros interesses, não deseja mostrar determinada vulnerabilidade ou não pretende gastar o orçamento com o tema.

b) Não garantir a continuidade dos controles

No exemplo do helicóptero, podemos ter um CPD que quando foi construído não existia nada, porém, anos depois, ele é premiado com uma rota. Uma continuidade de controles informa a mudança de nível de risco. No caso, talvez, uma ação empresarial consiga alterar a rota ou iniciar uma mudança de local do CPD. Continuidade de controles significa o cuidado com ações corriqueiras do dia-a-dia. A passagem de programas para o ambiente de produção é um exemplo que deve ser continuamente avaliado.

c) Utilizar novas tecnologias, admitindo que a proteção é adequada

Muitas vezes, o uso de novas tecnologias permite que a organização aumente ou melhore os seus negócios. Mas devemos estar atentos que entre os diversos preços pagos pelo uso de novas tecnologias, um deles é o da vulnerabilidade que deve exigir que os critérios de segurança da informação sejam seguidos. Por exemplo, a comunicação sem fio traz para as empresas uma série de vantagens, porém se não for adequadamente protegida será um risco para os negócios da organização.

d) Não envolver todas as áreas no processo de segurança da informação

O envolvimento, e o posterior comprometimento, das diversas áreas com a segurança da informação permite que situações que dificilmente seriam identificadas possam ser apontadas e avaliadas. A ocorrência de uma situação que a área de segurança da informação não tinha contemplado é menos azar e mais falta de uma abordagem inteligente e estruturada.

Em resumo, a proteção da informação não é uma questão de sorte ou azar. É uma questão de tratar o assunto de forma profissional e com os recursos adequados. Não permita que a sua organização corra riscos desnecessários! Mas isso não acontece de graça!