20 IDEIAS EM GESTÃO

João Batista Ribas de Moura

O Brasil vive a maior expansão

econômica dos últimos

anos e o profissional mais

bem preparado para responder

aos desafios desse crescimento

deve compreender economia,

informática, psicologia, contabilidade,

direito, inteligência competitiva,

marketing, logística, além de outras

disciplinas que fazem parte do rol de

conhecimentos adquiridos em um

curso superior de Administração.

Não somente na iniciativa privada,

naturalmente competitiva e ansiosa

pelo alcance da excelência, a

prosperidade também exige gestores

públicos cada vez mais capazes de

conduzirem ações estratégicas de

governo com eficiência, eficácia e

efetividade.

O desenvolvimento de um país eleva

naturalmente o nível das Tecnologias

da Informação e Comunicações (TIC)

utilizadas e traz consigo, além das visíveis

vantagens, fragilidades e perigos não tão

óbvios. Ouve-se falar de invasões em

sistemas computacionais, vazamentos

de informações, quebras de segurança

e outras tantas ameaças que devem ser

evitadas para a continuidade do negócio

do pequeno ao grande empreendedor

e dos governos. Todos concordam

que os sistemas de informação

adquirem importância estratégica

para a organização, na medida em que

aumentam sua eficiência, mas poucos

veem a segurança da informação sob

o enfoque de gestão, imaginando que

somente investimentos em tecnologia são

suficientes.

Gestão da Informação

21FACULDADE AIEC

De acordo com a Norma ABNT NBR

ISO/IEC 27002:2005, a “Informação é

um ativo que, como qualquer outro

ativo para os negócios, tem valor para

a organização e consequentemente

necessita ser adequadamente

protegida”. A segurança dos ativos de

informação é fator crítico para o alcance

das metas empresariais. Na esfera

pública, indispensável à manutenção

da soberania nacional, cujo princípio

mais elementar é a defesa territorial ou,

no caso da informação, do território

cibernético, que vem do grego –

kibernetiké -, e quer dizer timoneiro,

aquele que dirige, guia, governa, enfi m,

administra sistemas. Garantir a defesa

do espaço cibernético nas instituições

civis e militares é um processo a

ser gerido por administradores

competentes e preparados.

Ingenuidade humana

A necessidade de “criação,

desenvolvimento e manutenção

de mentalidade de segurança da

informação”, é citada no inciso V, do art.

1º, do Decreto Presidencial nº 3.505, de

13 de junho de 2000, como pressuposto

básico da Política de Segurança da

Informação na Administração Pública

Federal. Os profi ssionais de segurança da

informação sabem que o fator humano

é o elo mais frágil a ser trabalhado.

Kevin Mitnick – um dos mais conhecidos

cibercriminosos da história dos EUA –

invadia sistemas computacionais com

uso da “Engenharia Social”, jargão do

mundo tecnológico usado para descrever

a arte de explorar o desconhecimento e

a ingenuidade humana para obtenção de

informações e acessos restritos.

Quantos gestores preocupam-se, por

exemplo, em treinar seu pessoal a não

fornecerem informações por telefone,

por mais convincente e legítima que a

outra parte pareça ser?

Para auxiliar o administrador na

gestão da segurança da informação,

a Associação Brasileira de Normas

Técnicas (ABNT) publica normas da

família NBR ISO/IEC 27000, voltadas

à segurança da informação. O

Tribunal de Contas da União (TCU)

disponibiliza a Cartilha de Boas

Práticas em Segurança da Informação.

O Departamento de Segurança da

Informação e Comunicações do

Gabinete de Segurança Institucional

da Presidência da República (DSIC/

GSIPR) estabelece normas que

“declaram o comprometimento

da alta direção organizacional com

vistas a prover diretrizes estratégicas,

responsabilidades, competências e

o apoio para implementar a gestão

de segurança da informação e

comunicações nos órgãos ou entidades

da Administração Pública Federal,

direta e indireta”. Observa-se a

crescente normatização indicando

o caminho das melhores práticas

de gestão. Mas toda essa gama de

informações estanque nos livros e

sistemas de nada serve se não for

transformada em conhecimento e

posta em prática pelo gestor.

“

”

22 IDEIAS EM GESTÃO

O administrador deve alinhar a gestão

da tecnologia da informação à visão

e missão para o atingimento dos

objetivos estratégicos. Em outras

palavras, ser o principal responsável

pela governança de segurança da

informação. Essa responsabilidade

deve começar no nível estratégico,

com acompanhamento de ações,

visando à sensibilização e prevenção

contra falhas humanas e não somente

tecnológicas. Um exemplo disso foi a

completa reestruturação das formas

de gerir os processos de segurança nas

agências governamentais nos Estados

Unidos, após os atentados terroristas

de 11 de setembro. Não era um

problema de tecnologia, mas de gestão.

A Norma ISO/IEC 27002 é um

código de prática para gestão da

segurança da informação, criada a

partir das melhores experiências

em segurança, tornando-se uma

metodologia estruturada e reconhecida

internacionalmente para avaliar,

implementar, manter e gerenciar a

segurança da informação. Ela também

ajuda o gestor a mensurar o custo

com a queda na produtividade, com

a perda de credibilidade ou com o

comprometimento da imagem da

organização, quando não consegue

entregar produtos e serviços por falhas

na disponibilidade, integridade ou

confi dencialidade da informação. Ainda

trata da Gestão de Riscos, de Incidentes

e de Continuidade do Negócio.

Gestão de Riscos

Uma ameaça é algo real e pode ser de

dois tipos: humanas e não humanas.

Ameaças humanas podem ser do tipo

intencional como, por exemplo, o uso

da Engenharia Social para obtenção

de informações confi denciais; ou não

intencional como quando alguém, sem

querer, derrama café em cima de um

equipamento. Ameaças não humanas são,

por exemplo, as inundações ou incêndios.

A análise de risco deve produzir uma

lista de ameaças com sua importância

relativa ao negócio, procurando medidas

que possam impedir ou reduzir a

probabilidade de se materializarem.

Uma ameaça não reduzida torna-se um

risco. A Gestão de Risco é responsável

pelo processo contínuo de identifi cação,

análise e redução dos riscos a níveis

aceitáveis. Utiliza-se das seguintes

medidas: prevenção para neutralizar

a ameaça; detecção para garantir que

cada incidente seja conhecido o mais

rapidamente possível; repreensão para

minimizar as consequências de um

incidente e correção para recuperação

do que restou e não foi salvo pelas

medidas repreensivas.

Gestão de Incidentes

O principal objetivo da Gestão de

Incidentes é garantir que os incidentes

ou fragilidades no Sistema de Informação

possam ser apropriadamente reportados

para que medidas corretivas sejam

aplicadas.

“

”

23FACULDADE AIEC

Todos os funcionários devem saber

a quem e como relatar qualquer

anormalidade: nome do responsável,

telefone, sistema, formulário, etc.

Medidas corretivas devem ser tomadas

no menor tempo possível, gerando

aprendizagem com os erros presentes

a fi m de impedir reincidências.

Esse processo faz parte do ciclo de

melhorias contínuas – PDCA (Plan,

Do, Check, Act) –, ou seja, planejar,

executar, checar e agir corretivamente.

Gestão de Continuidade do Negócio

A Gestão de Continuidade visa garantir

a ininterrupção das atividades mais

importantes da organização ou,

em último caso, o rápido retorno

à normalidade. Para isso, são

desenvolvidos o Plano de Continuidade

do Negócio e o Plano para Recuperação

de Desastres.

Mudança de paradigma

Como a educação pode materializar

o processo de aprendizagem e levar

o conhecimento sobre essa forma

de gestão na formação de gestores,

independentemente da distância e do

tamanho das organizações? A própria

evolução tecnológica e a melhoria da

infraestrutura das redes computacionais

apontam para a disseminação da

Educação a Distância (EaD). Ao

contrário do que muitos ainda imaginam,

o aluno de EaD aprende mais porque, no

ambiente virtual de aprendizagem (AVA),

é envolvido em um nível superior de

interatividade, concentração e resposta

a estímulos visuais, sonoros

e motores.

Quantos alunos presenciais perdem a

concentração em divagações quando

o pensamento voa para longe da sala

de aula bem diante do professor?

Ao contrário, o aluno de EaD precisa

ver, ouvir, interagir, clicar, arrastar e

soltar elementos interativos na tela,

participar ativamente das discussões

em fóruns virtuais, mantendo a mente

naturalmente focada nos estudos.

A EaD é uma mudança de paradigma

porque destrói velhas barreiras,

respeitando a liberdade do aluno,

permitindo que ele escolha no tempo

(melhor horário) e no espaço (em

qualquer lugar com acesso à internet)

o que aprender, em ritmo próprio,

sem perder o contato com colegas e

professores.

Se segurança da informação é um

processo de gestão e não apenas

um processo tecnológico, então

o investimento em educação para

gestão torna-se importante elemento

de sucesso empresarial, de serviço

público de qualidade e de manutenção

da soberania nacional. Além das já

existentes iniciativas envolvendo EaD

no Brasil, é necessária a contínua

formação de massa crítica e de

gestores altamente qualifi cados para

conduzir nossas organizações públicas

e privadas com segurança no caminho

do desenvolvimento contínuo.

“

”

João Batista Ribas de MouraAnalista-Tributário da Receita Federal

do Brasil. Bacharel em Administração

pela Faculdade AIEC, Especialista em

Educação a Distância (UnB), Certifi cado

Information Security Foundation Based

on ISO/IEC 27002 (Exin), Microsoft

Certifi ed Technology Specialist, Axur

Computer Forensics Certifi ed.

apontam para a disseminação da

Educação a Distância (EaD). Ao

contrário do que muitos ainda imaginam,

o aluno de EaD aprende mais porque, no

ambiente virtual de aprendizagem (AVA),

é envolvido em um nível superior de

interatividade, concentração e resposta

a estímulos visuais, sonoros

conduzir nossas organizações públicas

e privadas com segurança no caminho

do desenvolvimento contínuo.