Por RODRIGO AFONSO, DA COMPUTERWORLD

Em poucos anos, a área de segurança, no contexto da tecnologia da informação, sofreu grandes alterações. Boa parte delas foi forçada pela mudança de comportamento dos hackers, que deixaram de realizar invasões apenas para obter vantagem financeira. Outra transformação foi a consciência de que gestão de segurança passa também pelo treinamento das pessoas, não só pela implementação de soluções.

Com as novas tendências, as empresas começaram a perceber que devem priorizar a questão comportamental para uma política de segurança bem-sucedida. E a melhor forma de começar é levar os funcionários para o centro das decisões. A simples imposição de regras pode prejudicar o ambiente da empresa e fazer com que a política seja incompreendida pelos funcionários.

De acordo com o engenheiro sênior de sistemas para a América Latina da companhia da área de segurança Websense, Fernando Fontão, o diálogo com os funcionários evitam dois erros: além de manter um bom clima organizacional, ainda impede que os profissionais da área de tecnologia determinem regras que acabem prejudicando o dia-a-dia da companhia.

“Algumas vezes, as regras e os bloqueios na rede podem não atrapalhar a atividade profissional, mas cria o sentimento de que a empresa estaria cerceando a liberdade. Em outros casos, as regras chegam a atrapalhar, o que causa ainda mais aborrecimento”, afirma.

Para o especialista de segurança da informação da Epsec, Denny Roger, cada área da empresa deve ser representada por uma pessoa-chave, que entenda do negócio e tenha respaldo em seu meio. Essa pessoa seria a responsável por esclarecer as regras para seus colegas e, por participar da elaboração. Dessa forma, ela viraria um defensor da política de segurança. “Sem a participação desses usuários, qualquer medida de segurança tende a ser um fracasso”.

Segundo Roger, a nova atitude colaborativa das empresas faz parte de uma segunda fase, que é a governança da segurança da informação, encarada como um dos vetores da governança corporativa. Ele alerta, no entanto, que a alta gestão não pode ficar de fora dos trabalhos. “Quando as políticas são formuladas sem a participação dos principais executivos, os funcionários acabam não aderindo, mesmo que haja treinamentos”, ressalta.

Como começar?

Se a empresa está sentindo dificuldades em implantar uma política de segurança e não sabe por onde começar, a forma mais simples, segundo Fontão, é buscar referências no mercado. “É muito importante que os profissionais da área de tecnologia se baseiem em padrões reconhecidos e aprovados mundo afora. Os maiores problemas ocorrem quando esses profissionais inventam regras da própria cabeça.

Uma vez criada, a política deve ser detalhadamente explicada. Todas as regras devem estar relacionadas aos negócios e os funcionários devem entender que elas têm o objetivo de garantir a prosperidade da empresa.

É importante observar, também, se a atitude dos próprios profissionais de tecnologia são impositivas. “Essa é uma questão bem complicada de lidar, pois envolve egos. Há pessoas que, quando entram no comando, gostam de mandar sem muitas interferências”, diz Fontão. Com isso, a própria empresa tem que reavaliar sua cultura e pensar que tipo de profissional se encaixa.

Segundo Fontão, algumas grandes empresas que possuem estratégias bem sucedidas podem ser referência para as demais. “Na América Latina, muitas companhias de grande porte já possuem alto grau de maturidade em suas práticas de governança, o que inclui as políticas de segurança. Algumas de suas práticas podem orientar o mercado”.

Fonte: http://computerworld.uol.com.br/seguranca/2009/12/21/politica-de-seguranca-deve-ser-colaborativa/