Dados e informações se tornaram um dos bens mais valiosos que uma empresa possui, dúvida? Sugiro a leitura destes dois artigos: 1 e 2. Em alguns casos, os dados são mais importantes que os próprios produtos ou serviços que a empresa fornece aos seus consumidores.
Na era da transformação digital, em que estamos passando neste momento, é possível conseguir diversos dados pela internet nas redes sociais ou até mesmo por vazamento de informações, onde inúmeros dados de organizações de diversas partes do mundo já foram expostos na rede mundial de computadores.
Em um relatório publicado pela empresa Avast em seu Blog, podemos observar que o vazamento de informações já ocorreram em empresas de diversos ramos de atividades em todo o mundo.
Sabendo que os dados são valiosos, algumas empresas começaram a se preocupar com os dados que já possuem, dados estes muitas vezes produzidos por anos. Isso tanto é um fato que diversas certificações relacionadas a segurança da informação estão cada vez mais em evidência.
Na minha visão, aqui no Brasil somente as empresas que precisam atender alguma norma ou decreto se preocupam com questões ligadas à segurança da informação. Isso é um bom sinal, pois há um horizonte que precisa pode ser explorado pelas empresas e quem é especialista nesta área tem muito trabalho pela frente.
Mas, voltando ao tema deste artigo, uma vez que as empresas possuem a real necessidade de se preocuparem com a segurança da informação, estas criam equipes relacionadas a este tema, onde o principal objetivo acaba sendo por simplesmente dizer o que não pode ser feito, isto em muitos casos acontece por alguns motivos:
- Equipes reduzidas;
- Falta de conhecimento em tecnologia;
- Muito conhecimento na norma ou decreto que precisa ser atendido;
- Falta de conhecimento do negócio;
- Algum outro motivo.
Raras, são as equipes que conseguem analisar as demandas de negócio, e que diariamente mudam, e propor soluções seguras, que não infrinjam as normas e que possam atender às necessidades do negócio da empresa.
E a pergunta, quem vigia o vigia? É para estas equipes, que em muitos casos são falsamente "superiores", no sentido de "dar carteirada", e que vigiam, em alguns casos de forma ilícita, quem as vigiam?
Empresas que partem para este tipo de conduta, ter uma equipe que atua na base da "carteirada" na segurança da informação, correm um alto risco. Não quer dizer que as pessoas que determinam como será esta monitoração em cima dos seus funcionários, muitas vezes esquece de monitorar quem monitora.
A segurança da informação na empresa, precisa ir além do que normas descrevem. Precisam conscientizar todos os colaboradores da organização, do mais alto cargo até o cargo mais simples da empresa. Precisam descer do pedestal e criar programas de conscientização, forum de discussão e soluções de problemas e por aí vai.
Buscando informações para melhor detalhar este tema, encontrei (https://en.wikipedia.org/wiki/Information_security) a imagem abaixo, que refere-se aos:
"Atributos de Segurança da Informação: ou qualidades, ou seja, Confidencialidade, Integridade e Disponibilidade (CIA). Os Sistemas de Informação são compostos em três partes principais, hardware, software e comunicações, com o objetivo de ajudar a identificar e aplicar padrões de segurança da informação, como mecanismos de proteção e prevenção, em três níveis ou camadas: física, pessoal e organizacional. Essencialmente, procedimentos ou políticas são implementados para dizer aos administradores, usuários e operadores como usar produtos para garantir a segurança das informações dentro das organizações."
Ainda com base no conteúdo da (https://en.wikipedia.org/wiki/Information_security), também concordo que é necessário criar uma "Cultura de segurança da informação".
Descrevendo mais do que simplesmente como os funcionários conscientes da segurança são, a cultura de segurança da informação são as idéias, os costumes e os comportamentos sociais de uma organização que impactam a segurança da informação de maneiras positivas e negativas. Os conceitos culturais podem ajudar diferentes segmentos da organização a trabalhar de forma eficaz ou trabalhar contra a eficácia em relação à segurança da informação dentro de uma organização. A maneira como os funcionários pensam e sentem a segurança e as ações que executam podem ter um grande impacto na segurança da informação nas organizações. Roer & Petric (2017) identificam sete dimensões centrais da cultura de segurança da informação nas organizações:
- Atitudes: sentimentos e emoções dos funcionários sobre as várias atividades relacionadas à segurança organizacional da informação.
- Comportamentos: Atividades reais ou pretendidas e ações de tomada de risco de funcionários que tenham impacto direto ou indireto na segurança da informação.
- Cognição: Consciência dos funcionários, conhecimento verificável e crenças sobre práticas, atividades e relação de autoeficácia relacionadas à segurança da informação.
- Comunicação: os funcionários se comunicam entre si, o sentimento de pertencer, o suporte para questões de segurança e os relatórios de incidentes.
- Conformidade: Aderência às políticas de segurança organizacional, conscientização sobre a existência de tais políticas e a capacidade de recordar a substância de tais políticas.
- Normas: Percepções de conduta e práticas organizacionais relacionadas à segurança que são informalmente consideradas normais ou desviantes pelos funcionários e seus pares, por exemplo. expectativas ocultas em relação a comportamentos de segurança e regras não escritas referentes a usos de tecnologias de comunicação de informação.
- Responsabilidades: O entendimento dos funcionários sobre os papéis e responsabilidades que eles têm como fator crítico para sustentar ou colocar em risco a segurança das informações e, portanto, a organização.
O que sua empresa faz para garantir a segurança da informação?