Pessoas, o principal elemento da segurança da informação.
Neste artigo mostro a importância das pessoas na segurança da informação de uma corporação.
Se pudéssemos dizer quais são os componentes que fazem parte da segurança da informação, poderíamos dizer que são: processos (Procedimentos, Normas e Metodologia), pessoas (Cultura e Capacitação) e ferramentas (Recursos físicos e lógicos).
Se pudéssemos dizer quais são os componentes que fazem parte da segurança da informação, poderíamos dizer que são: processos (Procedimentos, Normas e Metodologia), pessoas (Cultura e Capacitação) e ferramentas (Recursos físicos e lógicos).
Empresas preocupadas com a segurança da informação tentam alcançar o seu objetivo que é proteger a informação e dados da melhor forma, talvez com a implementação de um IDS, IPS, firewall, antivírus, criptografia, política de segurança, processos documentados, entre outros. Todos estes itens são aplicados em um processo contínuo para atingir o objetivo principal, mas às vezes esquecemos do mais importante que em muitos locais podemos considerar que é o elo mais frágil, o qual faz parte da segurança da informação: as pessoas.
Hoje talvez, um dos principais desafios em relação a segurança da informação, seja o serviço de Cloud (“meu servidor de e-mail deve estar na nuvem ou não?"), mas seguindo a linha de raciocínio onde o nível de segurança do seu ambiente é igual a segurança oferecida ao elo mais fraco e percebemos que a parte técnica é boa, a parte de processos é boa, mas a parte com pessoas é fraca, o nível de segurança da sua empresa pode ser considerado fraco.
As pessoas são responsáveis pelo manuseio da informação em um campo onde não podemos ter um controle real se uma determinada informação sigilosa esta sendo repassada de uma forma não ideal, apenas podemos evitar este possível problema com a criação de uma cultura e ferramentas apropriadas. Medidas podem ser adotadas para que este não seja o elo mais fraco, treinamentos constantes com os integrantes, e-mails e jogos educativos, avaliações as quais extraímos indicadores sobre a conscientização dos funcionários e outros. Estes são passos que começam a modelar o que desejamos alcançar por meio de uma capacitação contínua. Abaixo alguns exemplos de indicadores:
Indicador de maturidade sobre política de senha.
Indicador de maturidade da utilização de dispositivos portáteis.
Indicador de maturidade sobre como lhe dar com conteúdo suspeito.
Indicadores de maturidade dos usuários antes e depois o ciclo de conscientização sobre segurança da informação.
A importância deste elo, é que o mesmo está mais vulnerável a ameaças caso não seja adotada nenhuma medida para isto, talvez por meio de engenharia social algum indivíduo mal intencionado tente obter informações privilegiadas por meio de telefonemas, conversas em elevadores e outros.
Um exemplo onde podemos ter uma ideia de que um funcionário esta devidamente treinado para lidar com a segurança da informação é se caso um incidente de segurança ocorrer dentro da empresa, o mesmo esta preparado para reportar tal ocorrência? É de extrema importância que orientemos as pessoas a saber como registrar um incidente de segurança ao setor responsável, por exemplo: alguém repara que possui acesso a uma pasta que não deveria ter acesso, a pessoa esta treinada e conscientizada que a mesma deve reportar imediatamente ao setor de TI.
Recentemente foi publicado uma matéria no jornal “og lobo” onde é citado que 35% dos trabalhadores “vazam” informações secretas de suas empresas. Será que os acordos de confidencialidade estão realmente sendo assinados? Estas empresas investem na capacitação do funcionário em termos de segurança? Caso pesquisarmos na internet sobre artigos do tipo, vamos nos deparar com uma grande quantidade de situações semelhantes. Talvez a sua gestão atual tenha criado uma ótima política de segurança da informação, onde a mesma não passa de dez páginas, o que não a torna maçante de ler e de uma fácil absorção, e com seus procedimentos e rotinas em anexo, mas talvez não saibamos se todos estão cientes sobre o que esta lá, assim evitamos um elefante branco. Resumindo, com estas medidas citadas anteriormente e sempre buscando a criação de uma cultura, tornamos cada vez mais madura a segurança da informação para os integrantes de uma organização.
Mais sobre Segurança da Informação no Portal GSTI:
Mais sobre Segurança da Informação no Portal GSTI: