De nada adianta gastar uma fortuna em tecnologia se os funcionários não estão treinados e conscientizados para agir com segurança. O fator humano sempre é o elo mais vulnerável e pode comprometer todo o investimento realizado. Este foi o teor da palestra "Plano de Segurança Além da TI", proferido pelo CSO da Promon Tecnologia, Rodrigo Hiroshi R. Suzuki, no seminário TI no Apoio à Segurança e Normas Internacionais, promovido ontem em São Paulo pelo jornal COMPUTERWORLD.

Responsável pela aderência da Promon aos requisitos da norma BS7799, Suzuki dividiu com os participantes a sua experiência na implementação da política de segurança na empresa, mostrando caminhos que se mostraram eficientes. "Faça uma política simples e curta, com uma linguagem de fácil compreensão, evitando termos muito técnicos. Essa política deve caber em uma folha e ser do conhecimento de todos. Os processos e procedimentos podem ser explicitados em outros documentos, adaptados para cada departamento", comentou, acrescentando que uma política complexa sempre enfrenta a resistência do usuário.

Na sua opinião, conscientizar o funcionário é mais importante do que criar regras muito rígidas, pois o usuário sempre vai criar uma forma de burlar o sistema, até como desafio. "Já vi casos em que foi bloqueado o acesso a algum web site e o funcionário usou uma VPN com o micro de casa para continuar a acessar a página", disse. "A empresa deve criar campanhas, treinamentos e eventos que estimulem a prática de segurança, revisar e reforçar a política periodicamente e dar dicas por meio da intranet, explicando os riscos de algumas atitudes".

Por outro lado, o CSO desaconselha punições sumárias aos empregados e a criação de campanhas terroristas, que instalem o pânico na empresa. "O funcionário deve ser um parceiro e não um inimigo". Também é importante que haja uma aderência da direção da empresa no processo e que sejam feitas auditorias, com implantação de métricas, para que se avalie o resultado.

Carlos Ossamu, especial para o COMPUTERWORLD