Estamos preparados para garantir a segurança da informação?

Comunicação Ietec

Até 2010, profissionais das áreas de TI, mais especificamente aqueles relacionados à segurança da informação nas organizações, terão um grande desafio pela frente: gerenciar cerca de 980 exabytes de informação que irão percorrer redes, data centers, sites de hospedagens, centrais telefônicas, Internet e sistemas de backups.

Para que seja possível garantir a segurança, a privacidade, a confiabilidade e a adequação regulatória deste imenso volume de informação, é necessária a cooperação mútua de três elementos essenciais: tecnologia, processos e pessoa. No entanto, é justamente este último elemento que menos recebe investimentos, seja em forma de orientação, educação corporativa ou treinamentos.

É o que afirma o gerente de tecnologia da informação da Siemens, Franco Anderson Souza. “Na realidade, tem-se investido cada vez mais em tecnologias de segurança quando o principal e mais vulnerável elo da corrente, o ser humano, não conhece as regras da empresa, ou não se importa com o impacto do furo de segurança, na empresa e, conseqüentemente, no seu emprego”, ressalta.

De acordo com o consultor nas áreas de desenvolvimento de produtos e inovação empresarial, Ralph Linhares, empresas brasileiras investem aproximadamente 5% do seu faturamento bruto em segurança da informação. Mas de nada valerá tanto investimento se o colaborador não estiver também integrado a esta política de segurança.

Esta é a conclusão da pesquisa realizada pela Ponemon Institute que mostra que nos últimos meses o índice de roubo de informações corporativas por parte de funcionários demitidos ou que deixaram seus empregos foi de 69%. A pesquisa ouviu 945 pessoas demitidas recentemente.

A facilidade com que estas informações têm sido desviadas das organizações encontra amparo na própria organização. De acordo com Ralph Linhares, que também é instrutor do Ietec, quando um colaborador ganha status de gestor ou responsável por uma área ou projeto, ele passa a ser detentor de poderes como o acesso à rede de dados corporativos com níveis de permissões variáveis. Esta simples situação deixa qualquer estratégia de segurança à mercê da ética e honestidade de cada indivíduo.

“Ferramentas de segurança não são emocionais a ponto de saber quem está ou não sendo ético. O número apresentado por esta pesquisa tende a se manter ou até mesmo subir, e a tecnologia, por si só, não vai resolver este problema”, garante Linhares.

No Brasil, a Siemens investe cerca de 2,5% do seu faturamento em projetos de segurança da informação. “A política da empresa é investir seriamente em segurança, visto que a espionagem industrial é um fato”, afirma Souza.

Os projetos de segurança da informação na Simens começa com a entrada do novo colaborador, com a assinatura do código de conduta, do uso de cartilhas orientativas, e treinamentos sobre as diretrizes da empresa.

Frederico Coutinho, coordenador de TI da TIM, lembra que “investir em segurança da informação pode ser bem mais econômico do que reparar os estragos ocasionados pelo vazamento de informações sigilosas”. Para ele, uma boa política de segurança passa pela criação de uma cultura organizacional e a conscientização é uma das técnicas utilizadas para isto.

Um exemplo de segurança eficiente

O projeto de integração do ERP da Siemens é citado por Franco Anderson Souza, como uma política de segurança bem sucedida que utilizou o SAP com plataforma a fim de tornar transparentes os processos, além de atender a auditorias e ao Sarbanes Oxley.

Neste projeto foi criado um front end mundial, denominad Spiridon, que alinhou todos os processos internos da empresa, desde a entrada de pedidos até o faturamento, passando por módulos de RH, logística, financeiro e contábil.

O projeto foi composto por três macro processos: unificação da base mundial de clientes e fornecedores, o registro de todos os colaboradores em ferramenta web, e a segregação de funções entre os colaboradores. A partir daí, uma série de ferramentas em um único módulo que monitora todos os processos e transações, chamado de CCM – Continuous Controlling Monitoring ou controle mínimo.

“Desta forma, a empresa consegue atender a todas as auditorias internas e externas, suprir todas as regras de Sarbanes Oxley, o que elevou o índice de confiabilidade e tornou a Siemens uma empresa segura para se investir, de acordo com o report de mercado de capitais e a bolsa de valores”, afirma Franco.