“É uma grande infelicidade perder por causa do nosso caráter os direitos que os nossos talentos nos concedem na sociedade” Chamfort
Ainda sou surpreendido quando ouço um velho paradigma nos corredores de algumas empresas, que não se limitam a continuar amplificando que as “Pessoas” são o elo mais fraco da corrente e quando o tema é a proteção das informações, o cuidado deve ser dobrado.
Na perspectiva que não trataremos aqui, da Ética, que pela sua relevância requer um artigo só seu, o foco será na visão do comportamento desejado não apenas pelas empresas, mas também pelas pessoas que lá trabalham ou interagem com a empresa.
Na visão das empresas, na maioria das vezes o que se encontra, é uma expectativa de que seus dados, informações e conhecimentos gerados, estejam protegidos. De tal forma que seja, garantida a competitividade do negócio, e a certeza de que isto lhe trará melhores e maiores resultados.
Neste caminho, a atenção está concentrada apenas ao “tangível”, ou seja, aos processos, às tecnologias, aos ambientes e seus perímetros, deixando de lado, quando o assunto é cultura, comportamento, educação, treinamento e conscientização.
Precisamos quebrar um velho paradigma, onde, ainda algumas organizações tratam as pessoas como o “elo mais fraco da segurança”. Defendo que as pessoas são o ELO + FORTE, pois depende delas todo o esforço produtivo e, sem dúvida, o da proteção do próprio negócio.
Desta forma, devemos tratar com zelo e sermos incansáveis na busca por ferramentas, sejam tecnologias, processos ou ações de conscientização, de tal forma que o desenvolvimento da maturidade e cultura de proteção das informações sejam alcançados.
Na visão das “Pessoas”, na maioria das vezes, apesar do comprometimento com os resultados, com as funções e responsabilidades que são requeridas de cada um, existe a percepção que é generalizada a falta orientação, de acompanhamento e, acima de tudo, da demonstração efetiva do valor que cada indivíduo tem no papel de proteger as informações, implicando em muitos casos de erros, involuntários, podendo trazer grande impacto para a organização.
“O que “Sou” já “Sou”, então me ensine o que posso fazer diferente para tornar a realidade de “insegurança” em um ambiente seguro, que seja ainda melhor para se trabalhar e produzir, onde as ações sejam internalizadas no meu dia a dia de tal modo que façam parte de mim, onde não me vejam como importante e forte, o bastante para cuidar de mim e não ao contrário, como forte e duvidoso.” (usuário anônimo)
Começar este processo com uma abordagem positiva é de extrema importância para o futuro das ações que se deseja, tendo como objetivo comum, a gestão efetiva dos riscos, que estão inerentes a qualquer que seja o ativo (podemos entender ativo como qualquer componente seja humano, tecnológico, software, ambiente ou etc,). Tais ativos possuem valor para a empresa e desta forma devem ser “persistentemente” protegidos.
Não se limitando a outras ações possíveis, formas e métodos, gostaria de apresentar no meu ponto de vista, pelo menos 8 (oito) passos que recomendo, para serem avaliados quando tratarmos de como estimular a mitigação de riscos, relacionados ao “comportamento desejado”. Em outra oportunidade, trarei com maiores detalhes. Assim, os passos recomendados, são:
Talvez um dos grandes desafios seja continuar defendendo internamente que segurança da informação é um processo, que é cíclico e contínuo e que, em se tratando de “pessoas”, apenas aumenta a complexidade, visto que a organização é dinâmica, com pessoas entrando e saindo o tempo todo, além de contar com novos fornecedores e parceiros, relação que requer atenção na mesma proporção.
Desta forma, esteja atento a manter uma revisão periódica das análises, verifique a evolução dos indicadores, fique de olho na estratégia da organização. A segurança deve estar alinhada e propor ações que vão de encontro e qualquer mudança brusca vai requerer uma nova visão dos riscos e quais ações de mitigação serão necessárias. E, acima de tudo, a segurança da informação deve sempre se posicionar como viabilizador de negócios, trazendo à luz as condições necessárias para a tomada de decisão por parte da organização.
You must be logged in to post a comment.