Logomarca IETEC

Buscar no TecHoje

Preencha o campo abaixo para realizar sua busca

Gestão e Tecnologia Industrial

Segurança da Informação - Tem vida longa sem apoio da alta gestão?

RALPH LINHARES LAGE

Consultor e instrutor empresarial nas áreas de TI, Telecom, Segurança da Informação, Inovação, P&D e desenvolvimento de produtos e serviços. Professor do Ietec.

Ao longo do tempo, sobretudo a partir dos anos 90, com a entrada digamos “formal” e continuada da Internet na vida das empresas, os gestores vêm se preocupando com a questão da segurança de seus dados confidenciais e, cada vez mais, instalam ferramentas de combate a vírus, contra-ataques e tentativas de invasão em seus ambientes de dados. Programas Antivírus, Firewall, de controle de conteúdo à Web, dentre outros, são vistos com facilidade e a maioria das empresas, desde pequenas até grandes corporações, utilizam tais instrumentos de proteção.

Entretanto, quando falamos de um modelo de gestão de segurança da informação, com regras claras e disseminadas dentro da organização, criando uma cultura segura, construída ao longo dos anos, a questão torna-se mais complexa e, ainda hoje, com tanta informação disponível sobre o assunto, são poucas as empresas que possuem um forte programa implementado e em constante revisão e controle.
Tenho escutado pessoas dizendo que, na empresa onde trabalham, até possuem uma política de segurança da informação ou alguns planos de contingência para sistemas críticos, mas que tais instrumentos não são utilizados plenamente e que as regras e procedimentos anteriormente estabelecidos e aprovados não são seguidos por todos os colaboradores ou que quando um plano precisa ser executado, ele esbarra em algum tipo de falha, comprometendo sua eficiência.

Os motivos e justificativas são os mais variados, desde falta de tempo da equipe de TI na revisão das rotinas, falta de atualização de hardware e software, falta de incidentes anteriores, que justificassem novos investimentos em segurança e um que particularmente considero o grande vilão do insucesso na implantação de modelo de gestão em segurança da informação: achar que as regras e normas só valem para os colaboradores de nível operacional, não cabendo tais práticas no nível diretivo da empresa.
A exceção à regra, ou a consideração de que regras foram feitas apenas para alguns, em segurança da informação, é um dos erros clássicos de fracasso e as organizações só se dão conta disso quando afetadas por um incidente de segurança, que leva a um prejuízo em montante considerável. Aí é um “Deus nos acuda”, relatórios de todos os tipos e todos saem correndo igual “barata tonta” buscando a melhor solução que, sabidamente, não vem de imediato.

Nenhum projeto em segurança da informação será sustentável por muito tempo se não houver apoio incondicional da alta gestão, dos sócios e diretores. A organização coerente, que investe em recursos humanos e materiais nesta área, não deixa brecha para ser afetada e trata o tema como estratégico, que trás vantagem competitiva. É muito melhor fazer negócios com parceiros que se prezam pela preocupação com a continuidade de seus negócios, do que com outros que, ao serem afetados por um incidente de segurança, deixam claro o despreparo em sua capacidade de recuperação. A falta de visão ou preocupação empresarial, neste aspecto, muitas vezes só se desvenda, quando acontece um fato perturbador e neste momento já é tarde e os danos podem ser irreparáveis, sobretudo quando se trata da reputação da empresa.

Se os funcionários não percebem seus dirigentes agindo de forma segura e coerente com as práticas que assinaram e aprovaram, apoiando as iniciativas, aprovando recursos compatíveis com aquilo que está determinado na diretriz de segurança da informação, exigindo que cada pessoa se comprometa e dando exemplo, de maneira alguma levarão os procedimentos a sério por muito tempo e as políticas ficarão jogadas dentro das gavetas ou dentro dos servidores corporativos.

Com o modelo de oferta de serviços por Outsourcing, cada dia mais presente entre as empresas, faz-se muito importante ter parceiros sólidos, que conseguem prestar serviços de forma continuada e que demonstram ter atitudes seguras na condução de seu negócio. Esta visão segura só é possível quando todos na organização, sem exceção, levam o assunto com seriedade, prioridade e de forma permanente. A alta gestão nas empresas é normalmente observada como modelo de referência de conduta. Em se tratando de melhores práticas em segurança da informação o exemplo sempre deve vir de cima para baixo.

Indique este artigo a um amigo

Indique o artigo