O homem de segurança da informação precisará, fatalmente, incomodar seus colegas com aspectos “desconfortáveis” da segurança de TI e do comportamento das equipes.
Por Rodrigo Fragola – Diretor Adjunto de Defesa da ASSESPRO-DF e Presidente da Aker
Apesar de toda a resistência interna nos diversos departamentos empresariais, a segurança da informação está cada vez mais deixando de ser um assunto exclusivo do CIO, ou do profissional especialista da área, para ser também um típico problema de gestão de pessoas que tem impacto sobre a organização inteira.
A propósito dessa tendência, a literatura especializada oferece uma gama de frameworks e referências para tentar auxiliar os gestores. Merece atenção, em especial, a série de normas NBR ISO/IEC 27000, que não deixa dúvidas sobre a necessidade de controle do RH como aspecto imprescindível para minimizar o risco de vazamento de informação, bem como sobre a importância de se atentar para a questão do ambiente cibernético.
A ISO 27002 contempla de forma detalhada uma lista de recomendações que abrangem desde os cuidados na contratação de funcionários até a descrição de alguns processos disciplinares que se tornam imprescindíveis para a segurança da informação no ambiente corporativo.Daí que, de um jeito ou de outro, os responsáveis pela TI e demais envolvidos diretos em políticas de segurança terão que, cedo ou tarde, acionar seus colegas – gerentes, diretores, presidentes, coordenadores de equipe – para tratar da conscientização para a segurança da informação e da importância das normas de conduta no uso da informação e dos recursos eletrônicos na empresa.
Assunto para muitos “cansativo” e de ROI nem sempre muito considerado, a conscientização (ou, como alguns preferem, a imposição de regras rigorosas) para a segurança da informação costuma ser também considerada uma “chateação” para o ambiente de concordância que sempre se busca nas empresas. Além de também “tomar o tempo de pessoas que poderiam estar vendendo e fazendo a roda girar”. Daí a sua difícil aceitação em certo âmbito nas empresas.
Mas, como eu dizia mais acima, a consciência desse fato – de que a gestão de pessoas é crucial para a segurança – começa a assumir novos contornos para cúpula empresarial à medida em que alguns fatos conjugados vão se tornando mais nítidos aos olhos do dono do negócio:
1-As normas para garantir conformidade estão cada vez mais endereçando as vulnerabilidades decorrentes da ação de usuários, internos ou externos, e cuja ocorrência certamente acarretará prejuízo.
2-Com a enorme abundância de meios de acesso à rede, praticamente todos os funcionários, clientes remotos e usuários externos acessam bases de informação que podem conter informações críticas de negócio. E certamente tais conexões facilitam a ação de um agente mal-intencionado.
3-Esta mesma abundância de acesso, com excelentes taxas de velocidade de navegação, e toda uma infraestrutura tecnológica para negócio tende a transformar, na cabeça do colaborador, a estrutura digital da empresa em um “jeito melhor” de acessar o Facebook ou o WhatsApp. Então, a linha que separa o lazer e o trabalho pode às vezes ficar muito tênue, um fato que faz acender aquele brilhante cifrão interrogatório nos olhos do empresário.
4-Não bastasse a banalização do acesso, através dos computadores da empresa, há ainda o fenômeno dos smartphones e tablets pessoais consumindo de forma considerável o canal Wi-Fi empresarial e potencializando a situação de descontrole e exposição ao risco.
5-Sem querer completar a lista de problemas – que seria realmente muito grande – vale lembrar que a superexposição dos funcionários em seus perfis de redes sociais acrescenta um nível de vulnerabilidade até recentemente impensável para a segurança dos negócios. E isto, especialmente nesses tempos em que o cibercrime já detém domínios que vão da engenharia social a sofisticadas técnicas de espionagem.
Portanto, a necessidade de solução para o fator “gente” como um dos elos mais vulneráveis e mais críticos da política de segurança já não é exatamente uma novidade.
Em fóruns de discussão, seminários e encontros do setor, já é comum encontrarmos especialistas em segurança (e em direito digital) que recomendam a criação de “manuais de segurança” que são, em grande medida, documentos de prévia e explícita advertência para que o funcionário tenha – e ateste ter – ciência sobre seus limites de uso dos recursos de rede e de TI da empresa e sobre suas responsabilidades – incluindo ônus judiciais – para os casos de uso inadequado.
Para a advogada Patrícia Peck, especialista na área do direito digital, toda segurança jurídica da empresa está em risco se ela não tiver documentos de “ciência”, assinados pelos funcionários, que as ajude em futuras querelas sobre o monitoramento defensivo do e-mail corporativo e outras informações sobre navegação na Internet utilizando os recursos da empresa.
Acontece também que, embora ainda haja muitos embates sobre este tipo de monitoramento, a prática de mercado já pacificou que eles são legítimos nos canais estritamente institucionais do negócio e que as empresas necessitam fazê-lo em defesa de seus dados e até de dados de terceiros que estejam sob sua custódia.
Mas, uma vez definida esta prática como um padrão atinente aos costumes e aos marcos regulatórios (sejam eles do direito ou da indústria) retornamos a questão novamente ao CIO, ou ao homem da segurança, ao qual caberá não só o papel de coordenar esta mudança comportamental no ambiente das corporações, mas também promovê-la.
É que, para que tais mudanças se efetivem, será preciso que os sistemas de controle também estejam adequados, por exemplo, para avisar o funcionário (e também alertar o controlador) que ele deixe de acessar aquela rede social em que está navegando, e na qual nada existe de pertinente ao seu trabalho.
Sem uma central de controle unificado (normalmente sintetizada através de um Firewall UTM), é inviável a uma empresa estabelecer o monitoramento necessário para a implementação de políticas de tráfego, acesso à informação e uso de recursos de rede.
Da mesma forma, a análise posterior dos logs e da ação de cada usuário, para o caso de elucidação de incidentes envolvendo a segurança ou privacidade do negócio, irá depender de rastreamentos somente viáveis a partir de recursos disponíveis em uma central de monitoramento deste tipo.
A grande maioria das empresas, entretanto – e aí se incluem algumas de porte até razoável – ainda credita a segurança à ação de providências bem mais simples, como a instalação de “poderosos antivírus”, o bloqueio de sites recreativos e o envio de e-mails genéricos de advertência para que as equipes não se dispersem no Instagram ou no Facebook.
Pois este é outro assunto “chato” a ser levado aos colegas pelo homem de segurança. Ativos estratégicos do negócio continuarão em alto risco enquanto as empresas não entenderem que o investimento em segurança é mais do que um gasto indesejável, mas uma proteção de todo o negócio em si. É preciso investir no melhor do controle de proteção até para se ter mais produtividade e sustentabilidade a longo prazo.
De preferência, não baixe ferramentas gratuitas da Internet para uso na segurança e controle do seu negócio. Também procure saber se o Firewall UTM que pretende instalar atende as exigências da norma ISO 27002 e, se possível, busque encontrar material referencial em universidades, órgãos governamentais de segurança e defesa ou empresas de pesquisa como o Gartner.
A moral da história, se é que existe uma, poderia ser a seguinte: investir em segurança é mesmo bem pouco excitante. Mas sem sombra de dúvida muito melhor é apostar em redução de riscos do que em contenção de danos.