O usuário faz a diferença em segurança da informação

Segurança da informação é um processo organizacional que tem como objetivo garantir a realização do negócio no que depende da informação dos recursos de informação. Um recurso de informação é qualquer elemento que armazene, transmita, reproduza ou apresente uma informação. Pode ser um computador ou uma simples folha de papel.

Em um processo de segurança da informação, são desenvolvidos regulamentos, elaborados controles de acesso físico e lógico, criados planos de continuidade, realizadas análises de riscos e implantadas outras ações que estruturam esse processo. É um trabalho de grandes proporções e de uma variedade de ações.

Nesse conjunto de ações, existe um elemento que faz a diferença entre o sucesso e o insucesso da proteção da informação: o usuário! Isto é: você.

A pessoa humana é fator crítico de sucesso. Melhor dizendo, a pessoa humana é o fator decisivo para o sucesso. Mas, para que isso aconteça, o que é necessário? Podemos elencar algumas características que precisam ser consideradas para que o usuário faça a diferença.

a) A organização precisa definir políticas e normas.

É necessário que regulamentos de segurança da informação existam e sejam explicitados para os usuários. A organização precisa dizer como ela deseja que o usuário se comporte em relação ao uso da informação. O usuário precisa saber suas responsabilidades, o que é permitido, o que é proibido, o que fazer em situações de exceção e a quem recorrer quando não souber o que fazer diante de uma determinada situação.

b) A alta direção precisa cumprir as políticas e normas.

Os regulamentos de segurança da informação são obrigatórios para todos. Caso existam situações diferentes, elas devem ser descritas nas políticas e normas. Transparência, seriedade e exemplo da alta administração são fundamentais para o sucesso da segurança da informação.

c) Abordagem profissional para a segurança da informação.

O usuário precisa ser ensinado, treinado e continuamente lembrado que o processo de segurança da informação exige um comportamento profissional para todos. As regras são definidas para a proteção da informação da organização. Não existe nada pessoal contra qualquer usuário. Caso um usuário não necessite de um determinado acesso a uma informação para o desempenho das suas funções na organização, ele não deve ter esse acesso. O usuário precisa entender que a organização não está perdendo a confiança nele. A organização está agindo profissionalmente.

d) A segurança da informação vai impactar as atividades do usuário.

Existe uma relação inversamente proporcional: segurança e facilidade de uso. Quanto mais segurança,

menos facilidade de uso. Quanto mais facilidade de uso, menos segurança. É um fato! A organização precisa ser transparente com esse fato e dizer para o usuário que algumas vezes a facilidade de uso vai ser impactada, porque o tipo de negócio da organização exige uma proteção rígida para a informação.

e) Clima organizacional envolve a segurança.Um bom clima organizacional é bom para a

organização como um todo. A segurança será beneficiada se a organização possuir um bom clima organizacional. Quem trabalhou ou trabalha em organizações com um clima organizacional agradável sabe muito bem que camaradagem, transparência e trabalhos em grupo podem conviver com hierarquia, regras e responsabilidades. Esse conjunto contribui para o sucesso da organização.

f) O usuário pode discordar das regras, mas tem que segui-las.

Quando uma organização explicita suas regras e explica o porquê delas, facilita o entendimento pelos usuários. Isso não quer dizer que os usuários vão concordar com tudo, mas eles precisam entender tudo. Com essa abordagem, os usuários vão ter uma atitude profissional em seguir as regras. Ou, se essa diferença for muito grande, o usuário vai buscar outra organização em que ele se sinta adequado.

g) Mundo virtual.O mundo virtual cada vez mais faz parte da vida das

pessoas. O mundo virtual e o mundo físico compõem o ambiente de vida do usuário. A organização precisa definir para o usuário como, ele sendo um colaborador, deve se comportar em relação às informações da organização. Sem nenhuma má-fé, o usuário pode compartilhar informações da organização que são confidenciais e deveriam ficar restritas internamente.

h) A segurança da informação pessoal do usuário.A organização tem responsabilidade em tratar com

responsabilidade e sigilo os dados dos seus usuários. Mas,

muitas vezes, o próprio usuário não tem esse cuidado. O usuário compartilha suas informações pessoais no mundo virtual. Na maioria das vezes, disponibiliza muitas informações suas nas redes sociais. Essa é uma decisão do usuário, mas ele precisa estar atento que os amigos dos amigos, e os amigos dos amigos dos amigos tomarão conhecimento dos comentários do usuário. Sejam comentários de que está em tal aeroporto, que está no curso de inglês, que odeia o seu chefe ou que não queria estar trabalhando naquela segunda-feira. Principalmente se depois ele mudar de ideia ou ficar constrangido diante do chefe.

Muitas vezes é dito que a pessoa humana é o elo mais fraco da corrente de segurança da informação. Entendo que se a organização tiver uma atitude profissional e honesta no processo de segurança da informação, a pessoa humana também será o elo mais forte na corrente da proteção da informação.

Para que isso aconteça, o usuário precisa estar comprometido com a organização. Algumas pessoas querem apenas estar envolvidas. Não dá! Estar comprometido é mais do que estar envolvido. Não sabe a diferença? Quando comemos ovos com bacon no café da manhã, a galinha está envolvida, mas o porquinho está comprometido.

Boa segurança para todos!

*Edison FontesMestre em Tecnologia, certificado CISM, CISA,

CRISC (Isaca-USA), professor e consultor emsegurança da informação. É autor de cinco livros

sobre proteção da informação na organização.edison@pobox.com.