Por COMPUTERWORLD

As cenas são clássicas. Uma criança com a camiseta lambuzada de chocolate afirma, categórica: “Não fui eu!”. Ou então o telefone toca e a mãe assegura a você: “Não há com o que se preocupar.” Ou ainda um administrador de sistemas que carrega uma caixa de fitas de back up garante: “Em poucos minutos todas as informações estarão recuperadas”. Em alguns casos, as primeiras palavras que você ouve – apesar da distância entre elas e a verdade – são o suficiente para dizer tudo o que se precisa saber.

O mesmo se aplica ao mundo da segurança da informação. Algumas palavras soam reconfortantes, mas sabemos que elas freqüentemente apontam os problemas de segurança interna, de recursos técnicos ou com as pessoas e processos envolvidas na proteção a sistemas.

Conheça a seguir algumas das frases “reveladoras de segredos” que assinalam a iminência de problemas na segurança. E boa sorte...

1. Nós temos uma cultura de segurança
“Não, vocês não tem” é a resposta imediata dos profissionais. Mesmo que apenas mentalmente. Esse é o tipo de frase que surge de empresas que começaram com cinco pessoas – no tradicional modelo familiar de negócios – e, conforme cresceram, num piscar de olhos se viram operando com milhares de pessoas, sem governança ou políticas. Alguns trocados e sua “cultura de segurança” são suficientes para comprar um bom café expresso, em um canto sossegado que permita olhar para o horizonte e descobrir quanto trabalho há pela frente.

O simples fato é que sem diretrizes de suporte ou mecanismos de retorno (feedbacks), a segurança é definida diferentemente por cada um e não é verificada por ninguém. Não existem métricas para adequação com a “cultura” e uma “cultura de segurança” é ocultada por uma prática de “faça o seu trabalho”.

Se existem regras, escreva-as. Se a tecnologia é colocada em ação para implementar ou monitorar as regras, também escreva isso. Se as pessoas quebrarem as regras, cumpra o que ficou estabelecido. Se as regras prejudicarem a legitimidade dos negócios quando cumpridas, mude-as. É simples assim.

2. A segurança de TI é a segurança da informação
A segurança da informação não é a mesma coisa do que a segurança em tecnologia da informação. Se o termo “segurança da informação” é usado da mesma forma que “segurança de TI”, isso invariavelmente significa que ninguém tem tomado decisões fundamentalmente não técnicas de segurança que afetam os departamentos - TI, recursos humanos, jurídico, auditoria e talvez outros da organização. E, portanto, essas áreas estão tentando adivinhar o que os responsáveis querem dizer.

Junte-se àqueles que têm influência sob os departamentos listados acima e decida se a informação (não documentos em papel ou equipamentos) é um ativo da companhia, como os computadores e as mesas. Decida se a empresa autoriza as pessoas a realizarem jobs, acessos lógicos e físicos a informações como indivíduos.

Tome essas decisões políticas em grupo. Depois talvez haverá mais tempo para decidir “como” gerenciar a segurança - ao invés de tentar adivinhar...