Por Carlos Paiva,
O autor alerta para os riscos empresariais a partir dos sistemas de informações e registros de dados nas organizações.
“Quem ama o perigo, nele perece!” (Miguel de Cervantes)
Os perigos e riscos são inerentes a atividade empresarial.Nada mais arriscado há do que colocar seu capital sujeito a normas externas e ações humanas diversas.
Não há como “eliminar” o risco.A prevenção consiste em estuda-lo e manipula-lo de forma a com o uso de instrumental adequado faze-lo aceito, tolerado, gerenciado ou contido em níveis aceitáveis.
A “Política de Segurança Empresarial” da organização é o instrumento adequado para disseminar e criar aderência às normas de segurança. Os recentes acontecimentos que envolvem empresas a partir de redes sociais e de correio eletrônico pelo uso de seus colaboradores devem servir de alerta para a tomada de medidas preventivas, além de estabelecer uma rigorosa política de controle, estribada em fatores legais que permitam a redução dos riscos.
Conceituamos hoje que principal ativo das organizações são as informações, dados e registros. Informações operadas e guardadas em sistemas informáticos são recursos sob constante perigo e ameaças, tanto para a manutenção do negócio quanto para a tomada de decisões e o planejamento estratégico da empresa. A segurança da informação é, um indicativo de continuidade de negócio nas organizações, e que deve agora ser priorizada visando os processos de Governança Corporativa que alcançam as empresas.
Entendendo-se essa complexidade como um sistema estratégico para a empresa, é possível avaliar-se sua necessidade e entender suas estruturas. Inicialmente, deve-se entender que a Segurança das Informações não deve estar restrita a sistemas de segurança de hardware e segurança de software, uma visão simplória de apenas configurar esses dois subsistemas num ambiente de segurança em TI, é manter o risco, já que existem outros fatores físicos, ambientais e humanos que interferem e interagem sobre o problema, sendo exatamente aí que residem as maiores dificuldades em segurança na proteção das informações, dados e registros.
Como não poderia deixar de ser, “pessoas fazem a diferença” e haja diferença nisso. Na maioria das vezes, a segurança das informações é uma proposta discutida, elaborada e implantada em nível vertical, com uma proposta emergencial e que envolve quase sempre a aplicação imediata e irrestrita de seus dogmas e normas, cabendo aos atores humanos, agregarem-se aos novos ditames. Mudanças e novas regras são determinadas e colocadas em ação, como um sistema perfeito e acabado como que dependesse apenas das máquinas, infalível e exato e até um pouco “épico”, numa visão salvadora da coletividade, a partir de alguns bravos e um pouco de arroubo, cujo mote é quase sempre a segurança em primeiro lugar…
Não há como abrir mão de treinamento sobre a matéria.Treinamento em sua acepção mais ampla, servindo-se dos modelos da andragogia e de ensino-aprendizagem.O assunto é por demais importante para ficar restrito a palestras ou a comunicados pela intranet ! É preciso habilitar pessoas para enfrentamento aos desafios da insegurança que identifiquem, conheçam e saibam de todos os riscos envolvidos no sistema de informações da organização.
Agressões, ataques, fraudes, paralisações, sabotagens, danos e riscos operacionais em sua grande maioria são incrementados dentro das organizações. Esse conjunto inclui desde os insatisfeitos e desajustados, passando por pessoal cooptado ou infiltrado por concorrentes, pessoas que representam o maior risco que um sistema pode enfrentar. Presentemente já se fala nos “webmercenários”, criminosos contratados para invadir, suprimir ou alterar dados em sistemas de concorrentes…
A resistência as normas de segurança se dá em novas formas e precisa ser avaliada, visando o encadeamento de uma filosofia de segurança que perceba o risco e busque as intervenções necessárias. Isso significa entender que as propostas de segurança para Segurança das Informações passam pelo aceite e pelo comprometimento da mão-de-obra em todos os níveis da organização, devendo estarem envolvidos os setores de Recursos Humanos e Jurídico dando feições legais as normas, inclusive com Instrumentos de gestão e auditorias.
Nada mais engraçado (e até cômico) do que estabelecermos todo um sistema de segurança da informação no interior da empresa, enquanto equipamentos em “palms” ,“Notes” Laps“,”Nets” ,”Tablets” e Smathfones, vivem sendo perdidos, furtados, roubados e extraviados nas ruas, aeroportos, veículos de empregados e restaurantes, carregados de informações e dados, que permitem através da engenharia reversa, não só buscar os dados ali contidos , mas também obter um “perfil” indireto para novos ataques.Vale aqui lembrar uma exemplo ocorrido há quase duas décadas quando a Marinha Britânica fez venda de seus micros, e pasmem acreditou que os registros dos HDs estavam “limpos”, o que não era verdade possibilitando o acesso a informações militares por seus novos usuários.
Tais fatos derivam de uma concepção tecnicista da segurança, que na visão de seus autores pode funcionar com um amontoado de normas escritas e uma grande dose da vontade de acertar, porém ignorando conceitos estratégicos para a implantação e funcionamento real de um programa de segurança, que não raro, está até mesmo distanciado ou não inserido no conjunto da segurança empresarial, ou seja, programas, projetos e normas de segurança que não se comunicam muitas vezes se sobrepõem e até conflitam entre si, fazendo funcionar numa mesma organização “duas seguranças”!
A segurança das informações suportada em T.I. representa hoje uma verdadeira necessidade para a continuidade dos negócios e imagem da empresa, sendo que os serviços informatizados, quando sujeitos a fraudes e operações criminosas internas e/ou externas, acabam por levar a empresa ao descrédito, além da possibilidade de procedimentos administrativos, cíveis e criminais contra as organizações, seus dirigentes e a agentes que por ação ou “omissão” deram origem ao fato, gerando danos irreparáveis e de custo elevado para a recuperação de danos e clientes, devendo assim merecer uma atenção especial quanto a sua efetiva funcionalidade e atendimento as necessidades que se pretende atingir, sem perder de vista propostas de integração horizontal na área de segurança, bem como, a concepção de que existe a necessidade de ações de sensibilização, supervisão e monitoração de pessoas na organização que possam por em risco a segurança das informações.
A Segurança Empresarial é antes de tudo meio de prevenção, estruturada num conceito de proteção de pessoas, bens e instalações que visa à continuidade do negócio e a sobrevivência da atividade econômica.