Gestão do Conhecimento para Segurança de Informações
28 de junho de 2016A informação e seu gerenciamento sempre foram temas recorrentes de pesquisa em diversas áreas do conhecimento
Por Deivison Pinheiro Franco*
Desde a segunda metade do século XX tem crescido bastante o número de estudos relacionados ao tema, principalmente motivados pela crescente utilização de tecnologias da informação (TI) e de sua segurança. Nesse sentido, a gestão do conhecimento vem para auxiliar a segurança de informações no tratamento das informações a fim de torná-las mais seguras e acessíveis apenas a quem de direito, garantindo assim a continuidade do negócio, minimizar os riscos e maximizar o retorno sobre os investimentos. Dessa forma, este artigo apresenta o tratamento da Segurança de Informações através da Gestão do Conhecimento.
1. Introdução
Na sociedade da informação e do conhecimento, a gestão da informação tem papel fundamental para o fornecimento e manutenção do fluxo contínuo das informações nas organizações. Para isso, as organizações têm à sua disposição toda uma gama de ferramentas, técnicas e procedimentos para garantir sua segurança. Contudo, os processos de gestão da informação vão além do aparato tecnológico.
A simples ação de gerenciar implica em uma série de atividades e para realizá-las é necessário ter habilidades e conhecimentos específicos de métodos e técnicas. Esse cenário torna-se ainda mais complexo à medida que a sociedade do conhecimento e da informação evidencia a necessidade de gerenciar habilidades e conhecimentos contidos nos indivíduos e nas organizações, por meio dos processos de gestão do conhecimento.
Nesse cenário, a informação surge como o ativo cada vez mais valioso das organizações, tendo impacto direto na continuidade do negócio e na sua credibilidade. Por conta disso, aqueles que dependem da informação têm buscado soluções para mitigar os riscos, estabelecendo um conjunto de boas práticas. Possuir uma política de segurança rígida e calculista está longe de ser considerada a solução única e definitiva para garantir a continuidade e operabilidade do negócio, é necessário pensar em todos os ativos e riscos inerentes a cada um deles.
2. Gestão do Conhecimento
O conceito de gestão do conhecimento parte da premissa de que todo o conhecimento existente na empresa, na cabeça das pessoas, nas veias dos processos e no coração dos departamentos, pertence também à organização. Em contrapartida, todos os colaboradores que contribuem para esse sistema podem usufruir de todo o conhecimento presente na organização.
É nesse contexto que a gestão do conhecimento se transforma em um valioso recurso estratégico para a vida das pessoas e das empresas. Não é de hoje que o conhecimento desempenha papel fundamental na história. Sua aquisição e aplicação sempre representaram estímulo para as conquistas de inúmeras civilizações. No entanto, apenas “saber muito” sobre alguma coisa não proporciona, por si só, maior poder de competição para uma organização. É quando aliado a sua gestão que ele faz diferença.
A criação e a implantação de processos que gerem, armazenem, gerenciem e disseminem o conhecimento representam o mais novo desafio a ser enfrentado pelas empresas. Termos como “capital intelectual”, “capital humano”, “capacidade inovadora”, “ativos intangíveis” ou “inteligência empresarial” já fazem parte do dia-a-dia de muitos executivos.
A investigação na área da gestão do conhecimento está ligada a várias disciplinas, entre as quais, a gestão estratégica, a teoria das organizações, os sistemas de informação, a gestão da tecnologia e inovação, o marketing, a economia, a psicologia, a sociologia, etc..
A principal preocupação dos investigadores na área da gestão do conhecimento reside na busca da melhoria de desempenho das organizações através de condições organizacionais favoráveis, processos de localização, extração, partilha e criação de conhecimento, assim como através das ferramentas e tecnologias de informação e comunicação.
De forma geral, acredita-se que uma boa prática de gestão do conhecimento influencia direta e indiretamente o bom desempenho organizacional e financeiro de uma organização, possuindo o objetivo de controlar, facilitar o acesso e manter um gerenciamento integrado sobre as informações em seus diversos meios. Entende-se por conhecimento a informação interpretada, ou seja, o que cada informação significa e que impactos no meio cada informação pode causar de modo que a informação possa ser utilizada para piores ações e tomadas de decisões.
Sabendo como o meio reage às informações, pode-se antever as mudanças e se posicionar de forma a obter vantagens e ser bem sucedido nos objetivos a que se propõe. Em uma definição resumida pode-se dizer que Gestão do Conhecimento é um processo sistemático, articulado e intencional, apoiado na geração, codificação, disseminação e apropriação de conhecimentos, com o propósito de atingir a excelência organizacional. A Figura 1, a seguir, ilustra o fluxo da Gestão do Conhecimento.
Figura 1 – Fluxo da Gestão do Conhecimento.
3. Gestão de Segurança dE Informações
A segurança de informações é uma característica que tem merecido crescente atenção por parte das organizações, dadas as vulnerabilidades proporcionadas pelo crescente uso da tecnologia e já é uma realidade para todos e motivo de grande preocupação nas empresas. Seu conceito é baseado na preservação da confidencialidade, integridade e disponibilidade da informação.
A confidencialidade é a garantia de que a informação é acessível somente por pessoas devidamente autorizadas, a integridade é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento, enquanto a disponibilidade é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
Diante do exposto, observa-se que vários elementos compõem a gestão de segurança de informações. Esses elementos permitem a realização de análises de risco, definição de controles e a melhoria contínua do ambiente, sendo seu elemento essencial o ativo de informação, isto é, qualquer informação que possua valor para a organização, bem como qualquer outro elemento de infraestrutura que forneça suporte a esta informação, como: hardwares, softwares e ambientes físicos.
Explicando de uma forma bem simples, pode-se falar então que a segurança de informações é responsável pela proteção da informação de vários tipos de ameaças e possui o objetivo de garantir a continuidade do negócio, minimizar os riscos, bem como maximizar o retorno sobre os investimentos.
Proteger informações consideradas críticas é um fator de grande relevância nestes processos e pode ser considerado um dos principais riscos a serem considerados, assim deve ser reconhecido como fator crucial para o sucesso.
Cabe ressaltar que mesmo diante de tais conceitos e preocupações ainda é de difícil compreensão por parte de diretores e executivos quanto a sua real necessidade e os profissionais de segurança de informações se vêm em uma situação em que cada vez mais precisam justificar de todas as formas possíveis que medidas, procedimentos, processos e ferramentas propostas são definitivamente importantes e que aquilo irá proporcionar maior tranquilidade e garantias quanto aos negócios empresariais.
Uma boa gestão da segurança de informações não é fácil de ser alcançada. De fato é muito mais simples propor a compra de uma solução completa de segurança de qualquer tipo do que mudar a cultura das pessoas. O caminho é árduo, mas provê muitos benefícios para os que se aventurarem neste campo e trabalharem duro, além disso, com certeza irá constituir um diferencial competitivo para a organização.
Para que a governança da segurança de informações seja eficaz, deve-se estabelecer um framework, ou modelo, que irá guiar seu desenvolvimento e manutenção. Sendo que a formação deste modelo deve consistir de:
- Metodologia para gestão de riscos;
- Estratégia de segurança de informações relacionada aos objetivos de negócios e tecnologia da informação;
- Estrutura de segurança organizacional eficaz;
- Estratégia de segurança que fala sobre o valor da informação protegida e disponibilizada;
- Políticas de segurança que abordam cada aspecto das estratégias adotadas, controles e regulamentações;
- Conjunto de normas de segurança para cada política desenvolvida a fim de se garantir que os procedimentos e orientações estejam em conformidade com as políticas;
- Processos de monitoramento para garantir que tudo esteja em conformidade e fornecer feedback sobre a eficácia do projeto e mitigação dos riscos existentes;
- Processo para validação e atualização periódica das políticas de segurança, normas, procedimentos, dentre outros.
Uma exemplificação gráfica deste modelo pode ser ilustrada como na Figura 2 a seguir:
Figura 2 – Modelo para Gestão de Segurança de Informações.
4. Gestão do Conhecimento para Segurança de Informações
A “informação” pode ser interpretada e/ou vista como uma ponte entre dados brutos e conhecimento que eventualmente possa se obter. Além disso, argumenta que em uma perspectiva histórica os “dados” sempre foram referenciados como “informação”, provocando a utilização mais recente do termo “conhecimento” para referenciar o que é na realidade “informação”. Por serem conceitos amplos, subjetivos e ainda não totalmente comuns à sociedade em geral e à comunidade acadêmica em particular, torna-se muito difícil distinguir, na prática, os 3 conceitos.
No entanto, estas definições podem permitir às organizações uma melhor compreensão de como devem investir sua energia em tecnologia da informação, ao questionar a real utilização dos dados gerados por seus processos, o sentido das hipóteses de estruturação da informação e os verdadeiros resultados alcançados pelos investimentos em TI.
É praxe que a gestão de segurança de informações seja realizada por consultores internos ou externos em uma organização com o objetivo de identificar o grau de segurança de um ambiente corporativo e propor controles tecnológicos ou administrativos para a redução dos riscos de incidentes neste ambiente.
Geralmente o conhecimento necessário para a realização de um projeto de gestão de segurança de informações está descrito em normas técnicas, como a ISO 27001 (conhecimento explícito), ou internalizado na mente de seus consultores (conhecimento tático), sendo que neste segundo caso a qualidade depende da experiência e prática do consultor. Este fator torna-se um problema na medida em que empresas de consultoria não conseguem manter a mesma qualidade de atendimento em todo o seu corpo de consultores, ou seja, um consultor com mais experiência ou conhecimentos específicos poderá desempenhar um trabalho diferenciado frente a outros consultores.
Considerando também o problema da dispersão de conhecimento (em diversas normas técnicas, políticas, boas práticas e na mente dos consultores) nas organizações de consultoria em gestão de segurança de informações, a construção de uma especificação explícita e formal para o gerenciamento deste conhecimento seria um grande avanço rumo à gestão do conhecimento nestas organizações.
É comum se observar em muitas empresas de TI o papel do profissional “faz tudo”, “o indispensável”, “o cara”, “o tal que sabe tudo”, ou seja, aquele que realmente conhece todo o processo técnico e organizacional de uma empresa, o funcionário a quem todos recorrem nos períodos de crise, de desespero, da solução que faltava para um determinado projeto decolar.
Nota-se que muitos gestores e dirigentes de companhias não intervêm nesse comportamento no mínimo arriscado para a continuidade de negócios dessa organização e para o crescimento e sucesso dos demais colaboradores.
Antes de tudo é importante frisar a relevância da competência técnica e o autoconhecimento que esse profissional possui e aprendeu a desenvolver ao longo de sua carreira. Um profissional com esse nível de destaque merece o reconhecimento pelo seu perfil de busca do aprendizado próprio, do desenvolvimento contínuo de suas competências e habilidades que lhe permite a posição destacada e o crescimento dentro da carreira. Dessa forma, o sucesso será garantido apenas até a permanência desse profissional dentro da companhia ou até o momento em que o mesmo conseguir resolver todos os problemas ao mesmo tempo sem impactar na entrega do serviço ou produto.
Aos olhos dos gestores esse papel é fundamental, pois até então os resultados estão sendo atingidos e dentro do esperado. Porém eles não percebem que estão criando para si mesmos uma bomba que pode explodir a qualquer momento e que poderá colocar a empresa numa situação difícil, aumentando seus custos e reduzindo suas receitas. Assim sendo, identifica-se o clássico caso da não difusão do conhecimento dos processos técnicos e o aumento da dependência do profissional “faz tudo” para resolver todos os problemas de TI. Entretanto, depositar tanta confiança e responsabilidade em uma única pessoa não é o caminho mais seguro, pois em algum momento o revés pode acontecer e colocar em risco não somente a gestão da TI, mas a organização como um todo.
O que acontece é que em torno desse profissional “faz tudo”, os demais são apenas coadjuvantes limitados no seu crescimento por falta de uma gestão eficiente que o permita evoluir e infelizmente não progridem e nem avançam nos conhecimentos técnicos do negócio da companhia e acabam se vendo numa situação desesperadora, pois desconhecendo o caminho para as soluções dos problemas mais críticos, acabam não entregando os resultados esperados e impactando na visão da empresa para os clientes que provavelmente começarão a questionar a qualidade dos produtos e/ou serviços que outrora eram oferecidos dentro de um patamar elevado.
O que se propõe não é novidade alguma: ratificar a necessidade dos gestores de conhecerem a importância que as áreas de conhecimentos técnicos bem como sua difusão têm para a continuidade do seu negócio com sucesso, principalmente quando a relevância de TI é alta dentro do contexto da organização.
A implementação da gestão do conhecimento para segurança de informações requer muito trabalho, dedicação e apoio de todos para o sucesso do projeto. O esforço inicial, o trabalho bem feito de organização das informações e o acompanhamento contínuo das áreas de conhecimento trarão o retorno mais cedo do que se espera e, para isso, o apoio da alta administração é imprescindível para o sucesso desse projeto. Além disso, é necessário, também, que o profissional de TI identifique a importância e a relevância do seu papel para a empresa e esse retorno é obtido quando seus gestores estão acompanhando e alimentando de informações necessárias para o desenvolvimento da sua carreira profissional.
O próximo passo é registrar todos os processos executados pelos profissionais e documenta-los dentro um sistema onde todos possam ter acesso. Redigir os processos trará mais conforto e certeza na execução das atividades, pois não será mais algo do conhecimento de um único profissional a quem todos recorrem para buscar o entendimento. O bom profissional descobrirá que sabendo onde está pisando lhe trará mais segurança para desenvolver seu trabalho, abrindo novas portas e oportunidades de crescimento contínuo. Tão importante quanto a criação dos processos é também a revisão periódica dos mesmos a fim de que estejam sempre atualizados e fiéis ao que está sendo executado por todos.
Nesse momento atinge-se o ponto de excelência do conhecimento do negócio, pois a empresa não dependerá mais de um profissional, mas sim todos terão participação na execução e crescimento da empresa com relevância e tendo sempre a oportunidade de desenvolver cada vez mais suas habilidades dentro da área ou até mesmo fora dela, atuando como um possível gestor da empresa.
Um terceiro ponto importante é mapear todas as áreas de conhecimento que compõem a parte técnica dos processos. Esse ponto é com certeza o detalhe do detalhe, pois o gestor terá em suas mãos o mapa completo de suficiência ou fraqueza de uma habilidade ou competência de componente técnico que é vital para a operação dos seus processos ao mesmo tempo em que aumenta a capacidade e o deslumbramento dos funcionários de crescimento dentro da carreira técnica.
A gestão que prioriza o planejamento das áreas de conhecimento fortalece o que de mais importante agrega valor para um negócio ou para uma empresa: as pessoas. Pessoas motivadas conhecem os processos, são cientes das suas responsabilidades, reconhecem as perspectivas de crescimento profissional e tem o apoio dos seus gestores. O sucesso da empresa será factível e previsível neste cenário de assertividade.
Para isso, os gestores devem mapear as áreas macros que compõem o seu negócio de TI e relacionar cada um dos funcionários e associá-los dentro de uma escala de conhecimento e habilidade para cada uma dessas áreas. No fim, eles terão um mapa completo de todas as áreas de conhecimento técnico, sua relevância e criticidade para o negócio e a relação dos profissionais que possuem tal conhecimento e habilidade para cada área. Dessa forma, haverá um trabalho de acompanhamento contínuo que promoverá o crescimento das áreas onde possui mais escassez de profissional ao mesmo tempo em que se difunde o conhecimento a todos.
Diante do exposto, observa-se que caberá aos gestores acionarem a alta diretoria da empresa com o planejamento de treinamento para todos os seus funcionários designando assim os devidos conhecimentos para cada funcionário de forma que todas as áreas de conhecimento técnico estejam completas. Daí para frente, a difusão de conhecimento passa a acontecer internamente de forma que cada profissional passe o seu conhecimento para os demais aumentando e fortalecendo a base técnica e operacional de TI desta empresa promovendo também o autoconhecimento, a inovação e a cooperação.
A Figura 3 ilustra o processo de Gestão do Conhecimento para Segurança de Informações.
Figura 3 – Processo de Gestão do Conhecimento para Segurança de Informações.
5. Considerações finais
É notório que todo o processo de elaboração e implantação de um projeto de governança em segurança não seja simples de ser realizado. Todavia, projetos bem sucedidos apresentam grandes benefícios para toda a organização. Empresas que possuem este framework implementado possuem menos incertezas quanto a seus negócios, podem prever situações que as coloquem em risco além de prepará-las para possíveis incidentes e, mesmo que estes venham a ocorrer, possuem planos de continuidade dos negócios que farão com que a organização continue a funcionar de forma satisfatória ou se recupere no menor tempo possível.
Os processos relacionados ao negócio serão otimizados e haverá uma melhor gestão dos riscos e dos recursos de segurança o que com certeza irá contribuir para o sucesso nas operações. Sendo que também haverá um tratamento adequado das informações que passarão a ser mais confiáveis e estratégicas. Estes elementos, devidamente gerenciados e protegidos, se tornam um grande diferencial competitivo perante seus concorrentes de mercado, fornecendo a devida garantia de que decisões críticas não se baseiam em informações incorretas ou manipuladas.
Com a Gestão do Conhecimento para a Segurança de Informações, as organizações podem se sentir mais seguras quanto às informações críticas, de acesso restrito ou secreto, pois estarão certas de que possuem o nível de segurança e gestão mais seguro e adequado, ficando também respaldadas contra possíveis responsabilidades legais que poderão incidir sobre sua utilização ou vazamento.
Diante do exposto, observa-se que a gestão de conhecimento para segurança das informações promove o aumento do valor agregado de produtos e serviços, melhorando a confiança dos clientes em relação à empresa, protege sua imagem e a eleva a um patamar superior a de seus concorrentes, trazendo um aumento significativo em suas ações, o que resultará em retorno financeiro, justificando o desenvolvimento da governança da segurança de informações.
6. Referências
- ISO/IEC 27001. Tecnologia da informação – Técnicas de Segurança – Sistemas de Gestão de Segurança da Informação – Requisitos. Rio de Janeiro: ABNT NBR, 2006.
- ISO/IEC 27002. Tecnologia da informação – Técnicas de Segurança – Código de Prática para a Gestão de Segurança da Informação. Rio de Janeiro: ABNT NBR, 2005.
- CAIXETA, Thiago Fernandes Gaspar. Gestão de Segurança da Informação. Revista Segurança Digital, n.7, p.29-33. Brasília: Revista Segurança Digital, 2012.
- CAMPOS, André L. N. Sistemas de Segurança da Informação: Controlando os Riscos. São Paulo: Visual Books, 2007.
- FONTES, Edison. Praticando a Segurança da Informação. 1ª Edição. Rio de Janeiro: Brasport, 2008.
- GUIMARÃES, Leonardo Pereira. Conhecimento é Motivação. Revista Segurança Digital, n.7, p.23-25. Brasília: Revista Segurança Digital, 2012.
- KIM, Sung-kwan. IT for KM in the Management Consulting Industry. J. Knowledge Management 11(3): 145-155, 2007.
- KROGH, George Von. Facilitando a Criação do Conhecimento. Rio de Janeiro: Campus, 2002.
- RAMOS, Anderson et al. Security Officer – Guia Oficial para Formação de Gestores em Segurança da Informação. 1ª Edição. Porto Alegre: Zouk, 2008.
- TEMPONI, Francisco. Governança de Segurança da Informação. Belo-Horizonte: Fumec, 2011.
- DANTAS, Marcus Leal. Segurança da Informação – Uma Abordagem Focada em Gestão de Riscos. 1ª Edição. Recife: Livro Rápido – Elógica, 2011.
* Deivison Pinheiro Franco
Mestre em Ciência da Computação e em Inovação Tecnológica;
Especialista em Ciências Forenses, em Suporte a Redes de Computadores e em Redes de Computadores;
Graduado em Processamento de Dados;
Técnico Científico de TI – Analista Sênior do Banco da Amazônia;
Professor de graduações e pós-graduações;
Perito Judicial em Forense Computacional, Auditor de TI e Pentester;
Membro do IEEE Information Forensics and Security Technical Committee;
Membro da Sociedade Brasileira de Ciências Forenses;
Colunista das Revistas Segurança Digital, Hakin9 e eForensics Magazine;
CEH, CHFI, DSFE e ISO 27002 Advanced.
LinkedIn: https://www.linkedin.com/in/deivison-pinheiro-franco-749a97119
- Lattes: http://lattes.cnpq.br/8503927561098292
- eForensics: https://eforensicsmag.com/deivison-franco
- E-mail: deivison.pfranco@gmail.com