É interessante observar como o apelo da mídia em torno de acontecimentos espetaculares envolvendo fraudes, espionagens, hackers, worms, cavalos de tróia, vírus eletrônicos e outros bichos, tem causado impacto no comportamento de executivos da maioria das organizações atualmente. A preocupação com a segurança das informações, entrou para a ordem do dia de instituições como bancos, empresas de informática, cadeias de supermercados, orgãos governamentais, entre outras. A informação surge, finalmente, como o mais valioso ativo da nossa sociedade pós industrial.
É claro que o foco dado as conseqüências do problema, ajudam na conscientização: algo precisa ser feito, e rápido. No entanto, a ansiedade para se resolver a questão, está levando muitas companhias desesperadas a adotarem o que vou chamar de “analgésicos tecnológicos”, que de forma similar aos utilizados na medicina, atuam somente na dor, que na verdade é somente um sintoma da doença. Aplicando-se a alegoria ao caso específico da segurança, dar importância excessiva à questão de tecnologia e/ou abusar de ações de restrição de acesso descordenadas sem o suporte de uma metodologia, não atingem a raiz do problema e, consequentemente, não o resolvem. O pior é que algumas ações equivocadas acabam por mascarar pontos críticos dando margem a um falso sentimento de segurança, que na verdade é pior do que a insegurança constatada.
A grande dificuldade de se implementar qualquer sistema que vise a mudança cultural é que o trabalho deve ser cíclico, contínuo e persistente. Os verdadeiros resultados aparecem somente de médio a longo prazo. Não existem fórmulas mágicas de efeito rápido. É primordial considerar que de forma análoga a uma corrente, uma boa estratégica para se abordar a problemática da segurança da informação, passa, invariavelmente por sua visão holística, ou seja, pelo cuidado com todos os seus pilares fundamentais:
Pessoas, Processos e Tecnologia:
Pessoas
São parte integrante e o elo fraco de qualquer sistema de segurança: Será necessário muito trabalho para a conscientização, treinamento e educação dos colaboradores.
Processos
Adoção de melhores práticas descritas em normas como a ISO 17799, COBIT entre outras: Indispensável para definição dos processos que vão balizar os requisitos adequados para a companhia avaliar sua operação sob o ponto de vista da segurança dos seus ativos de informação.
Tecnologia
Utilização e configuração adequada das ferramentas de proteção e dos ativos de informação: Esses ativos (servidores, banco de dados, sistemas operacionais, etc.) suportam os negócios da companhia, seu uso deve considerar políticas consistentes previamente definidas.
Agora você já sabe, quando solicitarem sua atuação em questões que abordem segurança da informação, lembre-se de ir a "raiz do problema" e não ficar por aí só arrancando as “folhas” geradas por ele.
De uma forma ou de outra, elas sempre voltarão na próxima estação...
Por: Carlos Santanna - Security Officer - carlos.santanna@internativa.com.br
Nenhum comentário:
Postar um comentário