Por Denny Roger
A ideia de escrever este artigo nasceu de uma conversa com a minha
esposa, durante as últimas férias de verão, onde nossos filhos
aproveitaram parte do tempo livre para uma visita ao nosso escritório. O
tema “segurança da informação” surgiu quando a minha esposa fez uma
observação curiosa a respeito do conteúdo que o meu filho de apenas 8
anos estava tentando acessar na internet: pornografia.
“Vamos bloquear tudo nos computadores para que ele não tenha acesso a
este tipo de conteúdo”, disse a minha esposa. Na hora lembrei dos
executivos que levam quase tudo na emoção. Por exemplo, a organização
identifica que um colaborador, funcionário ou prestador de serviços,
está burlando a política de segurança da informação ou as normas
internas.
Vamos imaginar que este colaborador realiza acessos,
constantemente, a sites não relacionados aos negócios da empresa – fotos
das musas do carnaval, receitas de culinária, sites de relacionamento
etc. O executivo resolve aplicar uma medida disciplinar para que todos
na organização saibam que este tipo de comportamento não será tolerado.
Porém, o executivo esqueceu que antes de tudo isso é necessário a
implantação de campanhas de conscientização sobre segurança da
informação e o código de conduta.
Expliquei para a minha esposa que essa estratégia do “bloqueia tudo”
não funciona. “Pelas condições atuais, onde as crianças acessam com mais
facilidade qualquer tipo de conteúdo na internet, como você pretende
resolver este problema?”, perguntava ela. Fazendo uma analogia,
expliquei que não adianta colocar um controle sem um processo definido.
Traduzindo para uma linguagem mais simples:
Campanha de conscientização
A primeira etapa era explicar para o nosso filho que é proibido
acessar conteúdo pornográfico antes dos 18 anos (tenho certeza que você
está rindo agora mas é exatamente isso que está descrito nos sites com
conteúdo adulto).
A segunda etapa era comprar um livro sobre educação sexual, com uma
abordagem / linguagem adequada para a idade da criança. Algumas crianças
conversam sobre pornografia com seus colegas na escola, inclusive
utilizam dispositivos móveis (iPhones, Nintendo DS etc) para levar este
tipo de conteúdo para a escola e compartilhar com os amigos.
A terceira etapa é explicar as medidas disciplinares (ficar de
castigo, sem televisão etc) caso o “acesso indevido” venha a ocorrer
novamente.
Repare que até o momento os desafios são os mesmos no ambiente corporativo.
Monitorando os filhos (ou os colaboradores)
Após esclarecermos todas as dúvidas, finalizamos a campanha de
conscientização. Os processos foram definidos, as regras, estabelecidas,
os recursos, disponibilizados (computador com acesso a internet) e o
monitoramento, tornado ativo.
Nos primeiros dias, após a campanha de conscientização, fui
investigar os logs de páginas acessadas pelo meu filho. Nesse momento,
encontrei evidências de tentativas de acesso a conteúdo pornográfico
através de sites de pesquisa. O que pude perceber é que o nosso filho
ainda não sabe como chegar aos sites pornôs. Mas está bem próximo de
conseguir o acesso a este tipo de conteúdo.
É curioso observar como todo o cenário da nossa casa é parecido com o
que acontece nas organizações, justamente aquelas que mais colocam
controles tecnológicos para restringir o acesso à internet. A campanha
de conscientização foi realizada, porém, tudo indica que não estão
levando a sério as diretrizes ou a linguagem utilizada para transmitir a
informação não é de fácil entendimento.
Vamos bloquear tudo!
A ação de bloquear tudo, utilizando recursos tecnológicos, alivia
temporariamente as preocupações de acesso a conteúdo impróprio, mas
instiga o instinto hacker da pessoa. Ou seja, a pessoa irá fazer de tudo
para burlar o controle implementando. E pode apostar que conseguirá
quebrar a segurança tecnológica implementada.
Principalmente as
crianças, que já nascem quase que conectadas na internet e cada vez mais
são autodidatas – perfil de hacker. Vale a pena lembrar que muitas
crianças começam a ter aulas de informática a partir dos 2 anos. Imagine
o conhecimento dessas crianças quando crescerem e estiverem trabalhando
na sua empresa! Isso já está acontecendo.
Conclusão
Conclusão
A política do “bloqueia tudo”, utilizando um verdadeiro arsenal
tecnológico, muitas vezes é ineficiente e o investimento não alinha a TI
aos objetivos do negócio ou da nossa casa.
O esforço focado na mudança comportamental possibilita maior probabilidade de obtenção de sucesso na segurança da informação.
Os computadores não erram, quem erra são as pessoas. Não podemos
esquecer que na maioria dos casos, o maior impacto financeiro em um
demonstrativo de resultados, tanto na empresa como em casa, é a folha de
pagamento. É claro que nossos filhos não recebem salário, porém, temos
despesas com mensalidade escolar, uniforme, alimentação, calçados,
viagens etc. O impacto financeiro que temos em casa é muito semelhante a
folha de pagamento de uma empresa.
É importantíssimo as organizações investirem no exercício da
negociação e de comunicação abordando temas relacionados à segurança da
informação. As campanhas de conscientização são necessárias para que os
colaboradores compreendam as diretrizes de segurança da informação, seus
objetivos e as relações com o mercado. Comece a melhorar o nível de
maturidade em segurança da informação estabelecendo uma linguagem comum
sobre o assunto. Depois estabeleça os processos e, só depois disso,
implemente os controles.
Os desafios que enfrentamos em casa com os nossos filhos são os mesmo que os executivos enfrentam com os seus colaboradores.
Pense nisso!
Fonte: IDGNow
