As organizações estão cada vez mais se aprimorando e tentando, às vezes de todas as formas, seguir normas e boas práticas. Mas elas estão esquecendo que o principal objetivo é manter seu "core business" com boa saúde. Muitas das iniciativas que são vistas pelo mercado afora geram mais confusão e rejeição do que resultados positivos. A Segurança da Informação é muito mais conscientização, cultura e processo do que ferramenta e norma dentro das empresas.
Um dos principais pontos que necessitam ser tratados é a real necessidade da organização e o que o “negócio” exige como requisito de segurança. Existem as soluções de aplicação imediata, muito parecidas com remédios para dor de cabeça, pois não tratam a causa raiz dos problemas e, dependendo da combinação, podem ter sérios efeitos colaterais. Por outro lado temos a adoção de longos processos de diagnóstico, análises e propostas de solução, que em algumas vezes são apenas “blá, blá blá”. Que caminho seguir então?
A principal proposta deve ser entender bem o negócio da organização e suas relações internas e externas. A partir deste ponto e apoiado por uma avaliação de cenário atual de risco torna-se muito mais fácil a definição do que e quanto de segurança a organização precisa. A partir deste ponto já podemos entender o caminho a ser seguido. Mas como conhecer o negócio? Como avaliar com critério as necessidades? Como enfrentar a falta de cultura da organização? E finalmente, como fazer segurança com pouco investimento?
Muitas das ações de Segurança da Informação são totalmente dependentes da atuação das pessoas na organização. Muitas vezes podemos comparar esta situação com o nosso dia a dia, como cidadãos. Nossas cidades estão sendo gradativamente populadas com radares eletrônicos de velocidades (conhecidos como pardais). Estes radares são os controles utilizados para fazer valer as normas (leis de trânsito). Todos nós sabemos que é necessário diminuir a velocidade ao passar pelo radar ou lombada eletrônica, ou uma multa será aplicada. Esta situação já denota que “estamos” descumprindo a norma, pois o simples fato de diminuir a velocidade já indica que estávamos acima do permitido, em outras palavras, não estávamos seguindo as normas. Esta simples extrapolação é um dos melhores exemplos que podemos ter para reforçar a idéia de que é necessário tratar com muita atenção o “fator humano” dentro da organização.
O fator humano deve ser constantemente treinado, capacitado e principalmente reciclado e avaliado. Um simples treinamento no momento da admissão não é suficiente para “manter a ordem”. Uma das funções do gerente de Segurança da Informação é justamente manter um programa de treinamento contínuo. As pessoas estão na organização com outro objetivo e função, então as questões secundárias devem ser constantemente tratadas, como o programa de conscientização em Segurança da Informação.
Outro ponto relevante é a penalidade. O ser humano tem uma tendência muito forte a reagir a penalizações, castigos, multas. Esta reação é importante para manter a ordem. As pessoas têm muito mais medo de serem multadas por falar ao celular dirigindo ou de estar sem cinto de segurança do que ser flagrado em alta velocidade, por quê? Porque os radares são fixos (poucos casos eles são móveis), então os pontos de controle são conhecidos e devidamente mapeados na mente humana. Já os policiais ou agentes de trânsito podem estar em qualquer esquina (desprovidos de radares), prontos para aplicar as multas mais simples que necessitam apenas de observação (por falar ao celular dirigindo ou de estar sem cinto de segurança).
Dentro de nossas organizações precisamos de soluções e ferramentas que mudem a cultura, conscientize, alerte e por fim penalize (de verdade). Estas ações devem estar dentro do contexto da empresa, alinhadas com o objetivo comum (do negócio). Este conjunto de diretrizes, quando apoiado pela alta direção, surte mais efeito, por mais tempo e mais contínuo.