Articles

Boa parte das empresas no Brasil possuem "políticas de segurança". A questão a ser discutida é: Por que os colabordores não respeitam as políticas das empresas ? Existem algumas características que levam a esse desrespeito, entre elas podemos citar: 

  • cultura em segurança da Informação; 
  • estratégia para definição e adoção das políticas;
  • comprometimento da organização e colaboradores;
  • envolvimento de outras áreas além da TI.

A imposição de regras e políticas nunca foram bem aceitas pelo ser humano que acaba sempre buscando um alternativa (brecha ou jeitinho). O objetivo deste texto não é o de indicar culpados, mas o de promover a discussão do assunto para que tanto a empresa como os colaboradores ganhem com a adoção de políticas de segurança.

 

Historicamente as definições de uso de recursos de informática nas organizações sempre foi realizada pela TI, assim como é a TI que estabelece regras, procedimentos e implementa ferramentas que envolvam o controle da segurança da informação. Os demais colaboradores tem apenas a função de obedecer e respeitar. Neste contexto, os principais conflitos que acontecem indicam que as políticas não atendem as especificidades das demais áreas da empresa, assim como acabam não tendo o apoio dos gestores.

 

Um bom exemplo desta situação é quando a TI bloqueia acesso a Internet, permitindo somente via autoriação dos gerentes das áreas. Todos acabam criticando a falta de bom senso, a quebra da produtividade, a falta de agilidade e outras tantas reclamações. O que faltou para que isso não acontecesse?

 

A resposta é bem simples: Comprometimento, Apoio e Explicação.

 

Comprometimento: O primeiro passo é a criação de comitê que defina, avalia e publica as políticas de segurança. Este comitê deve ser formado por pessoas de diversas áreas da organização e não apenas por pessoas da TI. Esse comprometimento na elaboração das políticas e principalmente na discussão das mesmas é fundamental para que as demais áreas entendam os motivos e objetivos das políticas. Além disso, a TI não fica exclusivamente com o peso das proibições apenas para si.

 

Apoio: As políticas de segurança geradas pelo comitê acaba tendo, pela natureza do comitê, um apoio maior na organização, pois além da TI, as demais áreas participam na "cobrança" das políticas por todos os seus colaboradores. Além disso, as áreas conseguem entender melhor os efeitos das políticas de segurança, e olham para a organização como um todo.

 

Explicação: Uma das melhores formas de apresentar as políticas de segurança é através de workshops, e não por email ou circulares. Mostrar para os colaboradores os motivos de cada política, sua abrangência e seus resultados é vital para que todos não se sintam "podados" ou "punidos". A cultura de aproximar as pessoas das políticas, funciona como o compartilhamento das decisões. Todos acabam visualizando um pouco de si mesmo em cada ação e política de segurança, sentindo que está fazendo parte de um todo.