(*) Daniel Gobbi Costa
As pessoas são chave para o funcionamento dos sistemas estabelecidos pelas empresas, onde a segurança da informação não é uma exceção. Neste cenário os riscos são gerados por ações ou omissões e um acompanhamento através de indicadores básicos poderá servir para que as empresas determinem uma política interna de segurança, garantindo maior conformidade aos processos.
Um recente estudo realizado pela empresa CISCO no ano de 2015, com 12.048 pessoas de diversos setores da economia, demonstrou o comportamento dos usuários frente à segurança da informação, tanto dentro quanto fora das empresas, enfocando-se especialmente no “nível de aderência às políticas de segurança corporativa e no conhecimento ou desconhecimento das principais ameaças”.
Dentro do estudo acima apresentado e nas principais conclusões apontadas como ameaças internas para as empresas, foram citados primeiramente o relacionamento entre as pessoas como sendo um elo fraco dentro da cadeia de segurança da informação, convertendo-se em um risco cada dia mais crescente, ainda mais quando existe a falta de consciência ou desconhecimento das ameaças, seguido sem segundo lugar pelas tentativas de acessos de terceiros (hackers).
Ainda no resultado apresentado por esse estudo, foi percebido que as pessoas (usuários) esperam que os mecanismos implementados pela empresa se ocupem de garantir plenamente a segurança no processo. Neste cenário foi verificado que muitas empresas não possuíam políticas de segurança com o rigor necessário, e assim como consequência, algumas pessoas decidem, pela falta de controle, por não cumprir com tais políticas, e utilizam de forma frequente as redes corporativas para a realização de transações pessoais, como gestão de contas bancárias, compras on-line, reservas de viagens ou ainda pelo uso de redes sociais, facilitando desta maneira o acesso às diversas portas de entradas e corrompendo em muitos casos os dados corporativos confidenciais.
Bem, independentemente de serem internas ou externas, todas as ameaças causam riscos para as empresas e estas podem ser apresentadas de várias formas, desde um compartilhamento de senha, da espionagem, do uso da tecnologia para obtenção de informação confidencial que resulta em furto de informação ou ainda em processos não intencionais como um simples erro no uso de um aplicativo ou ferramenta até uma maior ruptura na estrutura de segurança da informação, como a má configuração dos servidores ou falta de programas de segurança dos dados.
O necessário é que as empresas efetuem um rigoroso controle dos recursos, como está definido pelo Sistema de Gestão de Segurança ABNT NBR ISO/IEC 27001:2013, que deveria de ser utilizado como diretriz para todas as empresas (das pequenas às grandes) e ainda com a realização frequentes auditorias internas/externas nas estruturas e sistemas de informação.
Salientamos ainda que a segurança da informação não deve ser considerada como uma perturbação ou ser demasiadamente onerosa para a empresa, pois existem casos em que os custos se tornam maiores que as ameaças. Uma decisão deve ser tomada e fundamentada mediante analises qualitativas de riscos. Somente então a funcionalidade e a eficácia das medidas preventivas e corretivas poderão ser avaliadas para a redução, transferência, aceitação ou eliminação dos riscosno processo.
O custo para manutenção do processo de segurança da informação é efetivamente alto, porém o não investimento poderá acarretar um custo ainda maior, com a ruptura do processo onde resulte na perda de negócios e reputação. Assim a prudência diz para as empresas investirem em segurança.
Por fim, como as pessoas são também um dos maiores riscos para o processo, recomendamos o treinamento e a conscientização das pessoas, o que poderá resultar no melhor investimento para a empresa – porém cabe registrar que este deverá ocorrer desde a formação básica dos usuários até a qualificação do pessoal de informática em tecnologias preventivas.
(*) Daniel Gobbi Costa (dgobbi@allcompliance.com.br). Graduado em Administração de Empresas e habilitação em Comércio Exterior, com especialização nas áreas de Logística, Qualidade e Gerenciamento de Projetos. Atua desde 2007 em atividades de Auditoria e Consultoria nas áreas Logística e de Comércio Exterior participando de projetos de implementação e manutenção de controles internos, agora como Sócio/Responsável nas empresas Alliance Consultoria e Treinamento Empresarial (www.allcompliance.com.br) e Innova Consultoria Empresarial e Qualificação Executiva (www.innova-bpc.com.br). Professor da Devry do Brasil, unidade Metrocamp de Campinas.