QUEM VIGIA O VIGIA?

Publicado em 01/05/2019 por Bruno Russo

Dados e informações se tornaram um dos bens mais valiosos que uma empresa possui, dúvida? Sugiro a leitura destes dois artigos: 1 e 2. Em alguns casos, os dados são mais importantes que os próprios produtos ou serviços que a empresa fornece aos seus consumidores.

Na era da transformação digital, em que estamos passando neste momento, é possível conseguir diversos dados pela internet nas redes sociais ou até mesmo por vazamento de informações, onde inúmeros dados de organizações de diversas partes do mundo já foram expostos na rede mundial de computadores.

Em um relatório publicado pela empresa Avast em seu Blog, podemos observar que o vazamento de informações já ocorreram em empresas de diversos ramos de atividades em todo o mundo.

Sabendo que os dados são valiosos, algumas empresas começaram a se preocupar com os dados que já possuem, dados estes muitas vezes produzidos por anos. Isso tanto é um fato que diversas certificações relacionadas a segurança da informação estão cada vez mais em evidência.

Na minha visão, aqui no Brasil somente as empresas que precisam atender alguma norma ou decreto se preocupam com questões ligadas à segurança da informação. Isso é um bom sinal, pois há um horizonte que precisa pode ser explorado pelas empresas e quem é especialista nesta área tem muito trabalho pela frente.

Mas, voltando ao tema deste artigo, uma vez que as empresas possuem a real necessidade de se preocuparem com a segurança da informação, estas criam equipes relacionadas a este tema, onde o principal objetivo acaba sendo por simplesmente dizer o que não pode ser feito, isto em muitos casos acontece por alguns motivos:

Raras, são as equipes que conseguem analisar as demandas de negócio, e que diariamente mudam, e propor soluções seguras, que não infrinjam as normas e que possam atender às necessidades do negócio da empresa.

E a pergunta, quem vigia o vigia? É para estas equipes, que em muitos casos são falsamente "superiores", no sentido de "dar carteirada", e que vigiam, em alguns casos de forma ilícita, quem as vigiam?

Empresas que partem para este tipo de conduta, ter uma equipe que atua na base da "carteirada" na segurança da informação, correm um alto risco. Não quer dizer que as pessoas que determinam como será esta monitoração em cima dos seus funcionários, muitas vezes esquece de monitorar quem monitora.

A segurança da informação na empresa, precisa ir além do que normas descrevem. Precisam conscientizar todos os colaboradores da organização, do mais alto cargo até o cargo mais simples da empresa. Precisam descer do pedestal e criar programas de conscientização, forum de discussão e soluções de problemas e por aí vai.

Buscando informações para melhor detalhar este tema, encontrei (https://en.wikipedia.org/wiki/Information_security) a imagem abaixo, que refere-se aos:

"Atributos de Segurança da Informação: ou qualidades, ou seja, Confidencialidade, Integridade e Disponibilidade (CIA). Os Sistemas de Informação são compostos em três partes principais, hardware, software e comunicações, com o objetivo de ajudar a identificar e aplicar padrões de segurança da informação, como mecanismos de proteção e prevenção, em três níveis ou camadas: física, pessoal e organizacional. Essencialmente, procedimentos ou políticas são implementados para dizer aos administradores, usuários e operadores como usar produtos para garantir a segurança das informações dentro das organizações."

Description: The Information Security triad: CIA. Second version.

Ainda com base no conteúdo da (https://en.wikipedia.org/wiki/Information_security), também concordo que é necessário criar uma "Cultura de segurança da informação".

Descrevendo mais do que simplesmente como os funcionários conscientes da segurança são, a cultura de segurança da informação são as idéias, os costumes e os comportamentos sociais de uma organização que impactam a segurança da informação de maneiras positivas e negativas. Os conceitos culturais podem ajudar diferentes segmentos da organização a trabalhar de forma eficaz ou trabalhar contra a eficácia em relação à segurança da informação dentro de uma organização. A maneira como os funcionários pensam e sentem a segurança e as ações que executam podem ter um grande impacto na segurança da informação nas organizações. Roer & Petric (2017) identificam sete dimensões centrais da cultura de segurança da informação nas organizações:

O que sua empresa faz para garantir a segurança da informação?