Gestão
A lição do furto na Petrobras
Segurança é um processo que vai além de normas e tecnologias. Envolve pessoas e interesses
Marina Pita
Publicada em 20 de fevereiro de 2008 às 17h39
O furto dos computadores da Petrobras coloca mais uma vez em evidência a necessidade de uma política de segurança mais complexa do que a simples publicação de normas.
Para Pedro Bicudo, da Consultoria TGT, é hora de entender que essa politica vai além de cuidado com senhas, identificação digital ou qualquer outra tecnologia que proteja o disco rígido e anti-vírus.
“Cada vez mais, as informações estão armazenadas em computadores em poder dos funcionários, mas também em poder de terceirizados e sub-contratados. Toda a gerência e disseminação da informação deve ser regulamentada. Os contratos de prestação de serviços podem e devem, por exemplo, incluir clausulas de indenização,” afirma Bicudo.
A gestão de segurança de TI melhorou muito desde 2001 até hoje, segundo Bicudo, por conta do aumento do número de multinacionais e da internacionalização de empresas brasileiras, que precisam se adaptar às regras internacionais – muito mais severas que as domésticas.
A maioria das companhias, no entanto, ainda não entende a segurança como um processo. “Muitas ainda restringem essa tarefa à publicação de normas de segurança. Mas essa é uma medida preventiva, insuficiente para garantir a segurança de dados e informações valiosos.”
De acordo com o consultor, as empresas que ainda se mantêm nesse patamar precisam reavaliar sua política com urgência. “Espionagem industrial existe e é cada vez mais comum. É preciso conhecer as vulnerabilidades para prevenir-se contra essa e outras ameaças mais simples, como o roubo de dados pessoais.”
O processo de segurança de TI, de acordo com a TGT, inclui três passos (ver figura no final da página). O primeiro deles é avaliar quais são as ameaças e criar normas para evitá-las. É a parte legislativa do processo e requer a divulgação da política de prevenção da forma mais clara possível para que seja executada.
Em segundo, é preciso estabelecer uma rotina para reavaliar as normas. “Monitorar e corrigir as normas, pratica já menos comum entre as empresas,” aponta Bicudo. Em terceiro lugar, a TI precisa verificar a aplicação das normas. “É preciso que se faça não só uma auditoria dos equipamentos, mas também das pessoas. E para completar, a auditoria das normas.”
De acordo com Bicudo, no dia-a-dia é comum que as pessoas minimizem as necessidades de segurança. “Digamos que uma informação só pode ser acessada com a identificação biométrica de duas pessoas. Elas podem ficar cansadas de repetir aquela operação no dia-a-dia e simplesmente burlar a norma,” admite.
Figura:
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
Channelworld | CIO | Computerworld | Macworld | Digital Age 2.0 | Eventos | IDG Now! | Now!Digital | PC World
Copyright 2009 Now!Digital Business Ltda. Todos os direitos reservados.
A reprodução total ou parcial de qualquer meio ou forma sem expressa autorização por escrito da Now!Digital Business Ltda. é proibida. CIO é uma propriedade da International Data Group, Inc., licenciado pela Now!Digital Business Ltda.
Estados Unidos: IDG.com | IDG Connect | IDG Knowledge Hub | IDG TechNetwork | CIO | CSO | Computerworld | Infoworld | Macworld | Network World | PC World
