Infra - Segurança
Como construir uma cultura de segurança da informação?
Este artigo descreve como tratar o elo mais fraco da corrente, quando o assunto é gestão de riscos. Além de examinar os maiores obstáculos enfrentados pelos profissionais de segurança, para tornar a comunidade de usuários mais consciente da segurança da informação.
por Daniel Fabro- Apresentando
- O problema
- E agora?
- É preciso aprender
- Pense nisso
Apresentando
Não tenho aqui, a pretensão de ensinar o método ideal que cada um deve seguir para bem conduzir um programa de segurança da informação, muito menos apresentar uma grande novidade. Quero apenas compartilhar com outras pessoas minhas experiências e descrever o modo como abordo esta questão: Conscientização me parece mais eficiente do que repressão.
Penso que para fazer um progresso real, as empresas devem tratar a segurança da informação, não apenas como uma questão de tecnologia, mas como uma questão de melhores práticas corporativas, abrangendo pessoas, processos e, também, tecnologia. Além disso, os profissionais de segurança devem desenvolver um conjunto de soluções amplamente aplicáveis às operações do negócio.
O problema
Pessoas, sabidamente este é o elo mais fraco da corrente! Potencialmente sem fronteiras, inclui valores não conhecidos, incontrolados e muito menos manuseáveis. Complexas por natureza, as pessoas respondem a muitas variáveis, por isso o comportamento humano dificilmente pode ser previsto, e uma organização não deve esperar que seus colaboradores tenham um comportamento previsível e de acordo com suas expectativas.
Em seu livro “Managing the Human Factor in Information Security”, David Lacey, especialista em segurança com mais de 25 anos de experiência, examina como a sensibilização dos funcionários é fundamental para a segurança. Ele estabelece e aborda os principais desafios, tais como, gestão da política de segurança e o desenvolvimento de programas mais eficazes. Ainda segundo o autor, um comportamento sob controle de contingências pode passar para sob o controle de auto regras.
De fato, você pode realizar avaliações, testes e métricas diferentes, mas é complicado ir contra a natureza humana. Ainda assim, é possível medir um aumento incremental no nível de conscientização através de elaborados programas de treinamento, porém, você dificilmente alcançará um sucesso de 100%.
Porque a repressão não resolve? Muitas empresas alegam ter algum tipo de política que controla e policia o comportamento do usuário, mas estudos afirmam que de maneira geral, penalidades não garantem que os usuários tomem mais cuidados e sigam as regras.
Estas reflexões nos levam ao constrangedor fato de que as organizações não dispõem de mecanismos que lhes permitam medir a vulnerabilidade humana, impedindo que o risco seja precisamente avaliado e que se possa decidir por ações que permitam reverter este quadro e mitigar totalmente os riscos.
E agora?
É preciso afastar as idéias pessimistas, para isso devemos considerar que o cenário geral da (in)segurança da informação é altamente dinâmico, tanto que a necessidade de atualização tecnológica, seja ela de software ou hardware é diária, basta ver a freqüência com que são disponibilizados patches e correções para o universo computacional utilizado pelas organizações.
Igualmente, quando falamos de pessoas, esta necessidade de atualizações constantes na forma de geração e troca de conhecimento, é ainda mais presente, visto que, para que as pessoas interiorizem um conhecimento especifico ou adquiram uma consciência, normalmente são necessárias várias e distintas abordagens.
Alguns anos de vivência neste ambiente me ensinaram que os maiores obstáculos enfrentados pelos profissionais de segurança, para tornar a comunidade de usuários mais consciente da segurança da informação, são:
1- Passar uma mensagem coerente e que faça sentido, do ponto de vista do usuário, sobre a importância e o valor da segurança da informação para o negócio da empresa.
É comum constatar que usuários e profissionais de segurança da informação não têm uma visão convergente sobre o assunto, e ainda, que as pessoas envolvidas com tecnologia tendem a ter uma visão míope da realidade dos usuários. Enxergar a segurança da informação da ótica dos usuários é essencial para que se conquistem aliados em setores estratégicos.
2- Incentivar o usuário a desenvolver e manter hábitos que tornem mais seguro o uso do computador.
Aristóteles disse: “Somos o que fazemos repetidas vezes. A excelência, portanto, não é um ato, mas um hábito.” Porém, conquistar as pessoas é sem dúvida um ponto crítico de sucesso, e desenvolver hábitos é um tanto difícil, principalmente por tratar-se de um público adulto, e com o foco de suas atividades distanciadas da segurança. Precisamente por isso é primordial apresentar o assunto de forma atraente, e com freqüência tal, que este esteja presente nas decisões do dia-a-dia, e torne as ações voltadas à proteção de dados uma rotina.
3- Construir nos usuários um interesse natural por segurança da informação.
O desafio aqui é fazer com que as pessoas se interessem pelo tema e passem a, por iniciativa própria, procurar aproximação com ele. É um passo além da simples leitura de artigos ou informativos que lhes são enviados de maneira compulsória.
4- Desenvolver o tema a um ponto próximo dos valores que norteiam as decisões do dia-a-dia.
O segredo é encontrar uma maneira que a segurança da informação seja considerada em atividades corriqueiras, passando a ocupar um espaço e ser analisada nas decisões mais elementares, mesmo inconsciente.
5- Muitas vezes é preciso formar um diálogo de mão dupla com os usuários.
Pois só assim será possível conhecer suas principais dúvidas e necessidades. Para ouvir a opinião das pessoas, uma idéia é instituir reuniões periódicas entre profissionais de segurança e membros de cada departamento.
É preciso aprender
Quando o assunto é a conscientização do indivíduo com relação aos riscos, os profissionais em segurança devem estar atentos a combinação de arrogância, apatia e ignorância que podem aparecer em alguns usuários. Incontestavelmente temos que reconhecer que uma boa fatia dos colaboradores importa-se mais com o pagamento, avaliações e aumento de salário, do que com a empresa onde trabalha, ignorando que estamos todos no mesmo “barco”.
Contudo, existem situações onde o contexto apresentado está tão distante da percepção de realidade, que a linguagem utilizada torna-se um obstáculo para o entendimento, então, é preciso aprender que em certos casos as pessoas precisam ser resgatadas desta condição para que possam absorver e valorizar o teor do que está sendo discutido. São dois pontos que precisam convergir, as pessoas devem estar capacitadas e interessadas em entender, e o compositor das mensagens deve se preocupar com que sejam entendidas.
No meu entendimento, os usuários devem conhecer sobre as questões de segurança da informação que potencialmente comprometem seu trabalho, sua casa, sua família e eles mesmos. Eles precisam entender as ameaças e os riscos, bem como, os métodos que podem efetivamente usar para se defender contra essas ameaças.
Conheça da melhor maneira possível o elemento humano da equação e use-o para adequar a mensagem de conscientização de segurança para o público que precisa de influência. Somente assim, um programa de segurança da informação atenderá de forma mais ampla e profunda seus objetivos.
Pense nisso
“A falta de vontade institucional é mais destrutiva do que
qualquer outra tecnologia”
“Qualquer sistema de segurança que ignore a natureza humana, falhará”
(Autor desconhecido)
- Segurança em SistemasSegurança
- TMap Next(Test Management Approach) - Processos de Suporte - Parte 8-4Segurança
- TMap Next(Test Management Approach) - Processo de Testes de Desenvolvimento - Parte 8-3Segurança
- TMap Next(Test Management Approach) - Processo Plano de Testes Mestre(MTP) - Planejamento e Con...Segurança
- TMap Next(Test Management Approach) - Processo Plano de Testes Mestre(MTP) - Planejamento e Con...Segurança