Comportamento: Proteção para o Elo + Forte – As Pessoas

“É uma grande infelicidade perder por causa do nosso caráter os direitos que os nossos talentos nos concedem na sociedade” Chamfort

Ainda sou surpreendido quando ouço um velho paradigma nos corredores de algumas empresas, que não se limitam a continuar amplificando que as “Pessoas” são o elo mais fraco da corrente e quando o tema é a proteção das informações, o cuidado deve ser dobrado.

Na perspectiva que não trataremos aqui, da Ética, que pela sua relevância requer um artigo só seu, o foco será na visão do comportamento desejado não apenas pelas empresas, mas também pelas pessoas que lá trabalham ou interagem com a empresa.

Na visão das empresas, na maioria das vezes o que se encontra, é uma expectativa de que seus dados, informações e conhecimentos gerados, estejam protegidos. De tal forma que seja, garantida a competitividade do negócio, e a certeza de que isto lhe trará melhores e maiores resultados.

Neste caminho, a atenção está concentrada apenas ao “tangível”, ou seja, aos processos, às tecnologias, aos ambientes e seus perímetros, deixando de lado, quando o assunto é cultura, comportamento, educação, treinamento e conscientização.

Segurança para Crescer

Precisamos quebrar um velho paradigma, onde, ainda algumas organizações tratam as pessoas como o “elo mais fraco da segurança”. Defendo que as pessoas são o ELO + FORTE, pois depende delas todo o esforço produtivo e, sem dúvida, o da proteção do próprio negócio.

Desta forma, devemos tratar com zelo e sermos incansáveis na busca por ferramentas, sejam tecnologias, processos ou ações de conscientização, de tal forma que o desenvolvimento da maturidade e cultura de proteção das informações sejam alcançados. 

Na visão das “Pessoas”, na maioria das vezes, apesar do comprometimento com os resultados, com as funções e responsabilidades que são requeridas de cada um, existe a percepção que é generalizada a falta orientação, de acompanhamento e, acima de tudo, da demonstração efetiva do valor que cada indivíduo tem no papel de proteger as informações, implicando em muitos casos de erros, involuntários, podendo trazer grande impacto para a organização.

“O que “Sou” já “Sou”, então me ensine o que posso fazer diferente para tornar a realidade de “insegurança” em um ambiente seguro, que seja ainda melhor para se trabalhar e produzir, onde as ações sejam internalizadas no meu dia a dia de tal modo que façam parte de mim, onde não me vejam como importante e forte, o bastante para cuidar de mim e não ao contrário, como forte e duvidoso.” (usuário anônimo)

Começar este processo com uma abordagem positiva é de extrema importância para o futuro das ações que se deseja, tendo como objetivo comum, a gestão efetiva dos riscos, que estão inerentes a qualquer que seja o ativo (podemos entender ativo como qualquer componente seja humano, tecnológico, software, ambiente ou etc,). Tais ativos possuem valor para a empresa e desta forma devem ser “persistentemente” protegidos.

Não se limitando a outras ações possíveis, formas e métodos, gostaria de apresentar no meu ponto de vista, pelo menos 8 (oito) passos que recomendo, para serem avaliados quando tratarmos de como estimular a mitigação de riscos, relacionados  ao “comportamento desejado”. Em outra oportunidade, trarei com maiores detalhes. Assim, os passos recomendados, são:

1. Desenvolver a estratégia de segurança, alinhada com a estratégia do negócio pois, ao estarem conectadas ao negócio, as ações de segurança saltam em probabilidade de êxito, tornando seu papel diretamente vinculado ao resultado da organização.
2. Obter apoio da alta direção no sentido de suportar e motivar os investimentos necessários, como também à quebra de velhos paradigmas.
3. Desenvolver uma relação sólida com as áreas da organização no sentido de cooperação, apoio e desejo de elevar o nível de maturidade em segurança.
4. Realizar a análise de risco focada em pessoas, visando identificar, no aspecto comportamento desejado, os que estão distantes e precisam ser direcionados ao nível adequado. Vale lembrar que justifica realizar tal análise de forma segmentada, conforme a estrutura da organização. Como exemplo, questões voltadas ao corpo executivo, gerencial e operacional, podendo também ser estendido aos fornecedores e/ou parceiros de negócios críticos e/ou alta relevância, que um eventual incidente de segurança coloca em risco a própria a organização.
5. Realizar avaliação dos resultados, de forma ordenada. Este é um momento muito importante pela sua característica, pois sendo bem avaliado, certamente servirão de base consistente para elaboração de uma estratégia de mitigação de risco vencedora, caso contrário, sendo avaliado com uma visão limitada sobre a abrangência do tema, levará a investir recursos “que já são por natureza, limitados” e que não só trará desperdício de orçamento como também a “não crença” por parte dos colaboradores. Lembre-se de que não estamos falando do “elo + fraco” e sim do “ELO + FORTE”. Trate-o como tal, no nível adequado.
6. Desenvolver e implementar plano de ação. Agora que já temos a visibilidades dos riscos associados ao que chamamos aqui de “comportamento desejado”, organizar as ações e definir prioridades fazem do plano um instrumento essencial para colocar em prática o que se deseja, no tempo que se dispõe e com o apelo orçamentário transparente. Recomendo que dilua as ações no decorrer do ano, de forma que possa estar presente na vida dos colaboradores, fornecedores ou parceiros,. Lembre-se de que um passo para internalizar uma nova cultura é estar em contato constante com o que se deseja mudar.
7. Elaborar indicadores e métricas é indispensável para quem busca um modelo de governança maduro e sustentável. Desenvolver mecanismos qualitativos e/ou quantitativos justifica de forma “sensata” a realidade encontrada, as ações planejadas e os investimentos necessários, bem como a definição de metas, relacionadas ao nível de segurança a ser alcançado pela organização, pelas diretorias, pelas gerencias e, quem sabe um dia, até mesmo pelo indivíduo, inferindo diretamente na sua nota de avaliação de desempenho.
8. Já me deparei com empresas que de fato realizaram um grande investimento, em proteger suas informações, empresas que desenvolveram ações de mudança de cultura, dignas de “prêmio – show business”, e que não passaram de um “flash”, não havendo esforço comum para a continuidade, se perdendo no tempo e no espaço, até ser “acordada” com um novo incidente de segurança.

Talvez um dos grandes desafios seja continuar defendendo internamente que segurança da informação é um processo, que é cíclico e contínuo e que, em se tratando de “pessoas”, apenas aumenta a complexidade, visto que a organização é dinâmica, com pessoas entrando e saindo o tempo todo, além de contar com novos fornecedores e parceiros, relação que requer atenção na mesma proporção.

Desta forma, esteja atento a manter uma revisão periódica das análises, verifique a evolução dos indicadores, fique de olho na estratégia da organização. A segurança deve estar alinhada e propor ações que vão de encontro e qualquer mudança brusca vai requerer uma nova visão dos riscos e quais ações de mitigação serão necessárias. E, acima de tudo, a segurança da informação deve sempre se posicionar como viabilizador de negócios, trazendo à luz as condições necessárias para a tomada de decisão por parte da organização.