Por COMPUTERWORLD

Os custos das brechas de acesso às informações podem levar à demissão de profissionais de TI que são responsáveis pela queda da segurança das informações corporativas.

O CSO da AOL foi surpreendentemente demitido nesta semana devido a conseqüências que a companhia teve, depois de ver dados de pesquisa sobre 650 mil assinantes online publicamente divulgados. A AOL também demitiu dois funcionários da divisão de pesquisas que foram responsabilizados pelo vazamento de dados e que foram fiscalizados pelo atual CTO, Maureen Govern.

Essa foi a segunda vez em agosto que a queda no nível de gerenciamento de tecnologia e a evasão de dados levou à demissão de funcionários. No começo do mês, a Ohio University anunciou que demitiu dois de seus altos executivos de TI por uma seqüência de falhas que foram descobertas entre março e maio deste ano.

Além disso, o CIO da universidade, William Sams, afirmou em julho que pediria demissão se alguém o realocasse, dizendo que isso tornaria claro para ele que um novo nível de energia e habilidade seria necessário para permitir que a organização percebesse o potencial da TI. Sams ainda está no cargo. Entretanto, escreveu um termo para a demissão dos dois gerentes.

“Os gerentes de TI devem esperar mais demissões e outras difíceis ações disciplinares para tornar mais comum o modo como as companhias encaram a pressão pública de quebra de dados que sofrem”, acreditam Robert Scott, sócio gerente da empresa jurídica Scott & Scott LLP.

“Empresas que possuem posição de crédito no mercado estão tendo que explicar publicamente o que tem que ser feito em relação a esse assunto”, afirma Scott. O risco que as companhias encaram quando ocorre uma falha, segundo ele, são o endividamento e a reputação. “Quando isso acontece, não é somente preciso segurar as finanças, mas cabeças precisam rolar”, diz.

Essa responsabilidade forçada é no mínimo parte do resultado de um exame detalhado que as quebras de dados recebem atualmente. “A atenção aumentou com a inquietação pública e deixou muitas pessoas preocupadas”, acredita o diretor de TI da Universidade de Baylor, no Texas (EUA).

Tim O´Pry, CTO do grupo financeiro The Henssler, disse que responsabilização é necessária e que é razoável esperar que as pessoas percam seus trabalhos em companhias em que houve negligência. Para ele, o problema é que muitas vezes os funcionários responsáveis por quebras de segurança estão somente seguindo o que até então foi aceito como prática nas empresas. E eles podem não ter responsabilidade ou autoridade pela mudança dessas práticas.

“Como as organizações encaram pressão como ‘não façam nada’, o resto geralmente significa rebaixamento de posto, demissões ou outras ações pessoais”, aponta O´Pry. A abordagem é parte de uma tendência maior de assuntos de segurança de dados que as corporações estão oficialmente seguindo nessa base reativa, adiciona o executivo.

“Alguém tem que receber a culpa pelas quebras de segurança”, ressalta Lloyd Hession, CSO da BT Radianz, uma empresa de New York que oferece serviços de telecomunicações para a indústria financeira. “A questão real é, entretanto, se é a cabeça dos caras certos que está rolando”, pondera.

Endurecer ainda mais nas auditorias é a chave para a sobrevivência nesse ambiente, adverte Hession. “Se você pensa que está envolvido em um caso semelhante, vá para a auditoria e converse sobre isso.” Se o grupo concordar que o problema de segurança existe, poderá ser mais fácil de encontrar as soluções para a articulação desse caso que sugere que os profissionais estão ignorando a segurança de dados e misturando prioridades, o que representa um bilhete de entrada para um desastre.

Além disso, os incidentes que envolveram a AOL e a Universidade de Ohio, a massiva quebra de segurança descoberta pelo Departamento de Veteranos de Guerra dos EUA em maio resultou em um largo alcance que incluiu a resignação de profissionais de segurança (CSOs).

Mas os departamentos de CISO (do inglês, comunicação e segurança) estão próximos de ser dirigidos pela frustração das decisões organizacionais, que tradicionalmente colocado em posição oposta a maioria dos executivos de TI e os responsáveis por segurança dentro das divisões de operações.