Por Fernanda K. Ângelo, do COMPUTERWORLD

O vice-presidente da IDC na América Latina, Eric Prothero, alertou executivos para mitos que podem mandar por água todo o trabalho de gestão de segurança da informação em uma corporação.

Durante a abertura da "IDC Brasil IT Security & Business Continuity Conference 2006", que acontece nesta terça-feira (14/03), na sede da Amcham, em São Paulo, Prothero destacou que a segurança em TI está, aos poucos, evoluindo para o gerenciamento de riscos. "E conforme surgem leis, regulamentações e padrões para a área de tecnologia, a questão da segurança ganha um nível executivo", completa o vice-presidente da IDC.

Falando a profissionais da área, ele detalhou alguns mitos capazes de destruir todo o trabalho de gestão de riscos em uma organização.

O primeiro deles diz que violar regulamentações é um problema pouco relevante do ponto de vista do usuário dos sistemas corporativos. "Os funcionários muitas vezes sequer têm idéia de que estão praticando uma ação que infringe regulamentações", afirma Prothero, lembrando que o cargo do alto-executivo responsável pela segurança da informação pode ser comprometido conforme o nível de importância da informação que um de seus profissionais deixa vazar.

Como exemplos ele cita e-mails enviados ao destinatário errado e a publicação indevida de dados confidenciais de clientes. PCs infectados, que acabam por dar acesso a dados confidenciais a criminosos, é mais um tema que deve ser considerado. Daí a necessidade de conscientizar os usuários antes mesmo de implantar tecnologias que visem atender às regulamentações vigentes.

Outro erro do gestor de TI, conforme apontou Prothero, é acreditar que cada regulamentação exige uma solução diferente. "Isso resulta em gastos desnecessários", diz. "É preciso entender o que cada aplicação faz de fato", aconselha o especialista. Segundo ele, é possível utilizar um mesmo aplicativo para diversas atividades, como auditoria, armazenamento e gestão de documentos, entre outras. "Por conta disso, é importante manter processos integrados sustentáveis capazes de serem utilizados e adaptados a novas aplicações", destaca.

Da mesma forma, é um equívoco acreditar no mito que diz que não há como utilizar uma infra-estrutura comum para cumprir de maneira efetiva e sem gastos extras as inúmeras exigências de regulamentações.

O último mito citado por Prothero parte do usuário. "Do ponto de vista do usuário, as soluções são todas as mesmas", diz. Mas isso não chega a ser um problema, a menos que o gestor de TI também acredite nisso. Ao contrário, pode servir de estímulo para que ele reduza os custos administrativos de TI. Um dos caminhos é maximizar a eficiência das ferramentas de gerenciamento de identidade. "Ao invés de aplicar penalidades para eventuais violações de regulamentações, é mais válido adotar uma plataforma que pro-ativamente advirta sobre a quebra de alguma regra", sugere o especialista da IDC.

Prothero ainda acredita que uma estratégia de regulamentação flexível permite mudanças contínuas visando as diversas políticas, sejam elas internas ou externas.

Para finalizar seu discurso, o executivo cita alguns fatores que devem ser considerados pelo gestor de TI na hora de escolher a melhor solução para as exigências e garantia de continuidade dos negócios de sua empresa. É fundamental ter certeza que a solução é compatível com a infra-estrutura já existente. Entre outras tantas perguntas a se fazer, Prothero destaca o questionamento sobre como e quanto essa solução reduzirá o tempo gasto pela equipe de TI  a questão a que ela se propõe.