O elemento humano na segurança de TI

A indústria de entrega expressa, como muitos outros negócios, tem modificado rapidamente a forma como ela serve seus consumidores nos últimos anos, através da adoção agressiva de tecnologia da informação (TI). A FedEx gasta mais de 1 bilhão de dólares todos os anos em TI. Frederick W Smith, fundador da FedEx, uma vez disse que “a informação sobre o pacote é tão importante quanto o pacote em si”.

Mas esses avanços têm um preço: a necessidade de proteção do sistema contra vírus, violação de informação e ataques deliberados. A violação de informação pode começar de forma muito pessoal – durante uma reunião de amigos em um café onde funcionários vão com um PC da empresa, surfam na rede e acessam e-mails pessoais. Muitos de nós temos familiaridade com a tecnologia que forma um lado da figura, incluindo firewalls, senhas e certificados digitais. No entanto, a política que a suporta é igualmente importante.

Está se tornando vital para qualquer negócio de sucesso global ter não só uma excelente política de segurança no escritório, mas também assegurar que a política é priorizada e comunicada de forma eficiente e que faça sentido.

Uma ferramenta de proteção efetiva

Nos últimos seis meses nos Estados Unidos, cerca de 40% das firmas da Associação da Indústria da Tecnologia da Computação reportou violações de segurança na área de TI. Quantos deles poderiam ter sido prevenidos apenas considerando o elemento humano do ambiente de trabalho? Muitos provenientes da perda de um laptop, Blackberry, ou dispositivo móvel; funcionários utilizando redes desprotegidas em casa para conduzir os negócios da empresa; ou funcionários downloading softwares não-autorizados na rede da companhia. Uma política de segurança efetiva é, em resumo, uma ferramenta de proteção vital para qualquer tipo de empresa.

O paradoxo é que políticas de segurança geralmente não fazem parte do radar de gerenciamento até que ocorra um grave acidente. Mas a política mais efetiva não é aquela desenvolvida durante a crise, mas antes, uma que é desenvolvida, atualizada e comunicada continuamente depois de revisões sistemáticas das necessidades de segurança.

A questão então começa em como são desenvolvidas as melhores políticas? Grandes companhias e aquelas com maior capacidade de investimento têm destinado gordos recursos para a área. A FedEx movimenta mais de 3,3 milhões de pacotes diariamente assim como a informação de cada um deles, por isso compreende o significado de uma sólida segurança de TI – não somente no server room, mas também no boardroom.

O caminho para uma política

Em uma corporação global, uma política de segurança é mais efetiva quando está alinhada com as estratégias de negócio da empresa tanto na matriz como no nível regional. De outro lado, questões como variação do nível de tolerância a riscos entre unidades de negócio e diferenças culturais entre os campos jurídicos e de negócio podem surgir. Uma política de segurança também requer um custo efetivo e ser comunicada constantemente. Todos na companhia precisam ser responsáveis pela segurança de TI – não só o departamento.

Primeiro passo – Obediência legal
Olhe para as áreas em que você é obrigado, legalmente, a ter políticas de segurança. Obedecer leis relevantes significará que você tem os controles certos em cada lugar antes que a empresa seja auditada ou enfrente ameaças cibernéticas.

Segundo Passo – Priorize informações
Olhe para a informação usada para a tomada de uma decisão crítica na organização e pelos clientes. Priorize a informação que é mais crítica ou sensata para o negócio. Áreas obvias incluem informações financeiras atualizadas, informação de clientes ou informação da empresa que precisa de maior segurança, como informações de cartão de crédito usadas para pagar as contas. Dados sensíveis ou sistemas usados por clientes ou vendedores também são pontos chaves.

Terceiro passo – Identificando links fracos
Identifique os links mais fracos de sua empresa. Políticas que parecem simples podem ter conseqüências significativas. Um exemplo pode ser a freqüência com que insistimos para que mudem as senhas de acesso. Trazer “hackers do bem” para sua empresa pode ser útil para descobrir onde você está mais vulnerável. Eles encontram debilidades em todas as áreas da empresa, como nas convenções usadas para dados ou senhas de acesso que podem ser identificadas facilmente, para apontar alguns exemplos.

Quarto Passo – Escolha responsáveis
Escolha pessoas que entenderão e irão se focar na implementação da política. É crucial incluir pessoas que não são da área de TI: jurídica, recursos humanos, auditoria e, é claro, vários grupos de usuários. Você precisa que gerentes seniores comprem a idéia para faze-la acontecer e gerentes seniores precisam ser educados sobre a importância da segurança da informaçãoe sobre os riscos de não ter aplicada uma política agressiva.

Na FedEx, nosso Conselho de Segurança da Corporação cumpre essa função. Ele é dirigido pela matriz nos estados Unidos, com a participação de representantes regionais do mundo inteiro. Esse grupo continua a validar e expandir nossas políticas de segurança para garantir que a informação esteja bem guardada em todos os momentos. Essas pessoas também agem como elo com outros gerentes de projeto da organização para pré-testar a política.

Quinto passo – desenvolva processos claros
Finalmente, decida-se por processos claros de desenvolvimento de processos. Um dos maiores erros da empresas é tentar fazer tudo ao mesmo tempo, sem traçar um período de transição, e sem definir os recursos que serão inclusos. Datas de conclusão irreais e expectativas altas resultam somente em resistência. A revisão da política e sua atualização são parte vital do desenvolvimento de processos – não é possível dar um passo para a  emergência de novas fórmulas sem que as anteriores tenham sido revistas e renegociadas. É importante repassar e esclarecer as políticas em todos os níveis e divisões da companhia, de forma que os bons hábitos se tornem rotina e sua importância não seja questionada. Pessoas que possuem e entendem boas políticas de segurança são também a melhor arma na promoção da segurança corporativa.

Linda Brigance é a CIO da divisão da Ásia-Pacífico da FedEx.