O papel da área não é “vigiar” as pessoas, mas “os dados”, uma vez que a proteção da informação envolve a proteção do próprio negócio, do patrimônio e da reputação da empresa.
Uma coisa é investir em usabilidade e em ensinar o usuário a usar tecnologia do jeito certo, outra é ter de “cuidar das pessoas”. Essa perda de foco pode gerar riscos. O foco da Tecnologia da Informação (TI) tem de ser a INFORMAÇÃO! O papel da proteção da informação envolve na verdade a proteção do próprio negócio, do patrimônio e da reputação da instituição. No entanto, nos últimos anos, a TI passou a ter como papel “criação de cultura interna”, o que sempre foi da área de Recursos Humanos (cuidar do capital humano).
Quando o foco é a informação, é legítimo ir atrás da informação onde ela estiver. Não se está “vigiando” as pessoas, mas sim “os dados”. A melhor prática não é monitorar pessoas, e sim as informações. Logo, quando isso está claro evita-se uma série de problemas relacionados a monitoramento e privacidade. Ainda mais com o desafio que a TI tem atualmente de inovar e permitir cada vez mais disponibilidade dos dados em novos ambientes, de cloud computing a uso de tablets.
Um dos principais objetivos da TI é a disponibilidade. São requisitos, para que ela ocorra, permitir acesso aos dados de qualquer lugar, a qualquer tempo, por qualquer pessoa autorizada para tanto. É importante destacar a questão do “acesso”, pois acessar não é o mesmo que “portar”. A portabilidade de dados traz muito mais riscos de segurança da informação, não apenas no sentido do vazamento, mas também na perda absoluta dos dados (falta de backup por exemplo).
Ou seja, conforme se evolui em soluções que permitem mais acesso, pode-se obter ganho de segurança e não o contrário. Isso porque havendo um bom controle de autenticação (que tem de ser forte) e de confidencialidade (aplicar criptografia, por exemplo), o ideal é uma pessoa que precise ter uma informação consiga obtê-la. O maior risco para as empresas ainda é, na era da Sociedade da Informação, precisar de uma informação e não a conseguir no prazo necessário.
Por certo que se a informação parar nas mãos erradas gera riscos, assim como ocorre com qualquer outro ativo (tangível ou intangível), mas um dos princípios do direito de propriedade é a capacidade de exercer o usufruto do bem. Não dá para guardar tudo no cofre e ninguém poder acessar!
A TI precisa assumir, de uma vez por todas, que a Sociedade Digital exige três requisitos: perda de materialidade (independência de suporte físico), instantaneidade (capacidade de acesso e respostas em tempo real) e proteção de ativos intangíveis (processos fortes de proteção de propriedade intelectual que exigem contratos e SLAs mais blindados, principalmente para deixar claro quem é o “dono” do conteúdo, da base de dados).
Se a missão é a proteção do patrimônio que está em informações, então a TI precisa urgentemente implementar de verdade o Plano de Contingência e Continuidade (PCN). Não dá mais para aceitar que não há redundância e disaster recover.
O CIO é hoje um gestor de riscos, gestor de tecnologias, gestor de informações, gestor de ativos intangíveis!
E, além disso, um gestor de contratos devido ao crescimento da terceirização (ainda mais com a tendência de virtualização que atende completamente aos três requisitos da Sociedade Digital já mencionados).
Os contratos da área de TI, que hoje envolvem além de tecnologia, também telecomunicações, dados, uso de novos recursos (até redes sociais), precisam ser bem feitos. Um contrato blindadado tem: a) propósito claro; b) gestão de expectativas X custos; c) delimitação de responsabilidade; d) identificação de riscos invisíveis; e) padrão de nível de serviço com metodologia de medição e penalidades; f) cláusulas específicas de segurança da informação e de direitos autorais.
Não tem como uma empresa inovar e liderar um mercado sem assumir a mobilidade e as redes sociais. Hoje, já há uma medição do “social capital”, ou seja, do valor de presença da empresa em redes sociais (quantitativo e qualitativo). A TI tem de estar aderente ao negócio e permitir que o mesmo ocorra com o menor risco possível de disponibilidade, autenticidade, integridade, confidencialidade e legalidade.
Por isso, cada vez mais a proteção de dados exige implementar soluções que envolvam uso de Data Loss Prevention (DLP), softwares que fazem varredura em equipamentos espetados na rede (de terceiros), e nos que acessam a VPN (quando conecta, é feita a verificação do fluxo de informação para fora e para dentro e se o equipamento tem vírus, por exemplo), bem como também as próprias redes sociais.
Na questão das redes sociais, é essencial que a em- CIO presa realize monitoramento permanente, até pela necessidade de saber quais informações estão lá (e não que pessoas estão lá). O foco nas pessoas tem a ver com conscientização de usuários, e educação no hábito da segurança, e não com vigiar as mesmas. O que deve ser monitorado são os dados, onde quer que eles estejam e independentemente de quem os acesse.
A mobilidade passou a exigir também esse acompanhamento maior, ainda mais com disseminação barata de smartphones (em geral, os profissionais possuem o próprio, mesmo que a empresa não os forneça e estão portando e acessando dados que necessitam ser protegidos).
Mas também temos visto o crescimento de informações confidenciais em dispositivos de eReaders e ultimamente no iPad. Se aprendemos a ter pasta segura e senha no notebook, depois no celular, imagina então no iPad!
Interessante observamos que toda a preocupação em proteger notebooks não está sendo aplicada em proteger tablets, por quê? É bonito ver o alto escalão, que detém as informações mais sensíveis, confidenciais, restritas em reuniões com iPads e iPhones. Onde está o compromisso com a segurança do negócio?
A governança em TI está baseada em três pilares fundamentais: transparência, controles e sustentabilidade. E é claro que a TI tem de estar em conformidade legal! Por isso, a TI tem de voltar à sua origem, e os CIOs focarem nas informações e na integração com as demais áreas.
Precisamos de melhores contratos de infraestrutura para evitar o apagão digital (este sim trará mais prejuízo do que a fraude eletrônica). Não há como realizar o negócio sem isso em um mundo plano.
Autora: Patricia Peck Pinheiro / Fonte: CIO
ITIL.Pro 