O processo de segurança da informação possui vários inimigos. Esses meliantes impedem que a organização atinja o seu nível adequado de proteção da informação. Mas, precisamos entender que esses inimigos não são necessariamente pessoas externas ou trata-se da conspiração do Cosmos contra a nossa organização. Muitas vezes são atitudes da empresa cristalizadas através de pessoas da própria organização. Outra característica desses inimigos é que apesar de comentarmos deles em uma ordem, não necessariamente exista uma ordem de prioridade. Evidentemente quando vamos analisar esta questão em uma organização específica alguns inimigos podem ser mais fluentes do que outros naquela organização.
O primeiro inimigo que citaremos é:
=> A direção da organização não trata a segurança da informação de maneira profissional.
Tratar a segurança de maneira profissional é desenvolver e implantar um processo de segurança da informação, criar e manter uma gestão de risco e ter uma função com um nível hierárquico adequado e ter um profissional experiente e conhecedor do assunto.
Muitas organizações tratam a segurança de uma maneira amadora ou pior: de uma maneira irresponsável. Alguns segmentos estão obrigados a cumprir uma série de regulamentos. Nestes casos, normalmente, a segurança é tratada com mais seriedade. Em organizações que não estão sob uma regulamentação/leis muitas vezes a segurança é deixada de lado. Esquecem (será que esquecem mesmo?) esses executivos não protegem adequadamente a informação. Como existe uma maior probabilidade de grandes problemas não acontecerem, os executivos vão levando. Inclusive levando seus bônus. O problema é que se acontece um problema sério que afeta a imagem ou acarreta um grande impacto financeiro e/ou da participação da empresa no mercado, o executivo pode até ser dispensado, mas os acionistas é quem pagarão a conta.
Em se tratando de problemas de menor impacto (imediato) para o negócio da organização os executivos ouvem a música cantada pelo Zeca Pagodinho (Deixa a vida me levar) e adaptam para a segurança da informação. Quantas empresas (pense na sua) têm sua base de dados de clientes roubadas e entregues a concorrentes e não se dão conta? Só vão saber muitos anos depois (se o concorrente contar) ou nunca vão saber.
Tratar a proteção da informação de maneira profissional é combater o primeiro inimigo da segurança. Faça a sua parte!
Autor:
Edison Fontes – CISA, CISM