política de segurança da informação x comportamento humano

• 1. Poltica de Segurana da Informao x Comportamento Humano As empresas esto investindo cada vez mais em segurana da informao na parte tecnolgica, seja firewall, antivrus, IPS, filtros de bloqueio de sites, AntiSpam, a fim de controlar as situaes vivenciadas no ambiente de trabalho, reduzindo o risco de infeco por pragas virtuais (trojan, vrus, worm, phishing, entre outros) e aumentando a produtividade dos funcionrios, limitando o mesmo para acessar somente situaes relevantes para o trabalho. Esta realidade necessria para manter o ambiente seguro, em funcionamento e com desempenho favorvel. Porm, somente recursos tecnolgicos no tero sucesso nesta tarefa. Quase todos os colaboradores de uma organizao possuem algum tipo de dispositivo pessoal, seja tablet, smartphone, celular, entre outros, que so levados para o ambiente de trabalho e neste ponto que as organizaes esto estudando qual a melhor prtica a ser adotada para controlar, evitar, aceitar ou mitigar os riscos envolvidos, visto que, se algum determinado site, por exemplo, est bloqueado nas estaes de trabalho, o funcionrio pode acessar via dispositivo pessoal e ficar horas nesta situao. A Poltica de Segurana da Informao (PSI) est sendo adotada pelas organizaes tambm para situaes em que a tecnologia no consegue atender, visto que muitos casos so relacionados aos comportamentos humanos. A PSI um instrumento de trabalho no qual ir nortear os colaboradores das diretrizes e controles criados pela organizao e que precisam ser seguidos e respeitados. A elaborao de uma PSI tem o intuito de criar um ambiente homogneo perante s situaes tecnolgicas e comportamentais. muito comum empresas adotarem dois pesos e duas medidas para tratarem a mesma situao, ou seja, para um funcionrio, redes sociais esto liberadas para uso pessoal, enquanto para outros no. O uso de e-mail particular est liberado para tal setor e para outros no. Est realidade gera insatisfao para maioria dos colaboradores, pelo fato de no existirem critrios para o que permitido e de que forma permitido. Com a criao de uma PSI, os controles so estabelecidos e devem ser respeitados por todos os colaboradores da organizao, sem distino de cargo ou setor. Como exemplo, se a rea de Marketing precisa das redes sociais para efetuar os trabalhos, na PSI deve conter a exceo de uso das redes sociais do perfil corporativo pela rea de Marketing, ou seja, todas as excees de utilizao de dispositivos pessoais, poltica do uso de USB, poltica de download, acesso aos recursos da rede, armazenamento na rede, backup devem estar descritas na PSI de forma clara e objetiva. O intuito deste artigo no apresentar como deve ser criada uma PSI e as melhores prticas adotadas, e sim, apresentar que a PSI pode ser uma ferramenta muito interessante para conseguir eliminar alguns conflitos que ocorrem diariamente no ambiente de trabalho e apresentar a viso clara da empresa perante vrios fatores.

2. No existe o certo ou errado na elaborao de uma PSI. A definio dos controles, diretrizes e o que ser permitido, ou no, devem ser definido pelos gestores, normalmente envolvendo a rea de recursos humanos, TI e jurdica para a definio. muito importante para o sucesso de uma PSI o comprometimento de todos os envolvidos e principalmente uma conscientizao e treinamento para os funcionrios. necessrio realizar um trabalho de conscientizao com palestras e eventos para os funcionrios, no qual atravs de exemplos, situaes, definies, casos reais, importncia dos controles aplicados, ser possvel obter xito e aplicabilidade da PSI. Para finalizar o artigo, muito importante a rea jurdica da empresa validar a PSI para no existir nenhum controle em no conformidade s legislaes ou regulamentos governamentais, j que a PSI possui valor jurdico e deve ser utilizada pelo RH para advertir ou gerar sanses administrativas em caso de descumprimento da mesma. Todos os colaboradores devem assinar o termo de responsabilidade da PSI, comprometendo-se a respeitar os controles definidos. Como exemplo, um usurio que passava horas no trabalho tentando encontrar um jeito de acessar um site bloqueado, seja atravs de proxy, softwares de tnel, pesquisas no Google, com a PSI, o mesmo pode ser advertido por tentar burlar as normas estabelecidas pela organizao. Fonte:http://www.profissionaisti.com.br/ - Gustavo Rafael