Por que algumas medidas de segurança criam mais problemas do que resolvem?

Por que algumas medidas de segurança criam mais problemas do que resolvem?

Quando os dirigentes de uma empresa passam a considerar a segurança como um investimento, é hora de implementar controles e medidas de segurança e fazer bom uso do orçamento.

Quando os dirigentes de uma empresa passam a considerar a segurança como um investimento, é hora de implementar controles e medidas de segurança e fazer bom uso do orçamento.

Durante vários anos, os especialistas em segurança da informação quebraram a cabeça para conscientizar os diretores das empresas sobre o valor de suas informações e como é importante protegê-las.

Falamos inúmeras vezes sobre os pilares da segurança da informação: privacidade, confidencialidade, integridade; listamos os riscos aos quais estavam expostos e os problemas gerados por um vazamento de informações; mostramos os prejuízos que um ciberataque pode causar, tanto ao funcionamento quanto à imagem da empresa, e como é extremamente caro recuperar-se desse tipo de incidente.

Felizmente, nos últimos anos, o investimento em segurança da informação cresceu e essas questões passaram a ter um lugar na agenda da maioria das empresas.

Então, agora que finalmente conseguimos fazer com que os diretores das empresas deixem de considerar as questões de segurança como uma despesa, passando a ver essas estratégias como um investimento, é hora de dar o próximo passo: implementar controles e medidas de segurança e fazer bom uso desse investimento.

Existem inúmeras normas, padrões e ferramentas que podem ser seguidas para proteger as informações e cada empresa deve avaliar qual é a que melhor se adapta ao negócio. No entanto, independentemente das medidas implementadas, há uma série de erros recorrentes que muitas vezes ocorrem devido a problemas não contemplados e que acabam gerando muitas dores de cabeça, sem falar nas brechas de segurança que podem ser piores do que o problema original.

A seguir, veremos alguns desses erros, com o objetivo de identificá-los e preveni-los.

Considere todos os papéis e/ou usuários igualmente

Aqui não estou falando de desigualdade, mas de diversidade. As necessidades e o conhecimento dos usuários nem sempre são os mesmos. Além disso, as informações que eles administram não são as mesmas. Claro, isso ocorre porque os papéis dos colaboradores não são os mesmos dentro de uma empresa.

Um exemplo clássico é a implementação de uma nova ferramenta com a mesma configuração para todos os usuários de uma organização. Suponhamos o caso de um novo firewall para o controle de acesso à Internet, em uma empresa onde os usuários estão fazendo mau uso da rede, baixando desde aplicativos suspeitos até arquivos protegidos por direitos autorais, que, entre outros problemas, satura a conexão. O novo firewall é implementado com uma única política de navegação, que restringe todas essas conexões e, além disso, limita o acesso a redes sociais, páginas com informações potencialmente perigosas e uma série de outros sites.

Se os diferentes perfis de usuário ou as ferramentas exigidas por cada área não forem levados em conta, pode acontecer que, por exemplo, pessoas da área de Recursos Humanos não possam acessar as redes sociais para buscar os perfis dos candidatos para possíveis “vagas que estejam em aberto”, que os técnicos não possam usar ferramentas de conexão remota para resolver problemas, que a conexão VPN de um consultor com o cliente não funcione, sem falar em muitos outros problemas.

Na hora de implementar uma ferramenta que afetará os serviços de toda a empresa, é importante ter em conta as necessidades de cada área da organização.

Algo parecido ocorre quando se planeja um palestra de conscientização, ou treinamentos de introdução corporativa que ocorrem em muitas empresas, sendo muito comum que grupos sejam reunidos com pessoas de diferentes áreas.

Pode acontecer que, se você misturar profissionais de perfil técnico com outros de áreas administrativas, os profissionais de perfil administrativo “se perdam” ou não entendam todo o conteúdo. Do contrário, se o encontro estiver focada naqueles que não são técnicos, é muito provável que os profissionais desse perfil fiquem entediados e parem de prestar atenção.

Apesar de ser ideal separar e agrupar as participações de acordo com o nível técnico dos colaboradores, a realidade é que isso muitas vezes não acontece ou não é possível, e cabe ao responsável pelo encontro levar essa diversidade em consideração para poder se adaptar ao público.

Não há uma única solução. É melhor investir um pouco mais de tempo para ter em conta e conhecer as diferentes áreas e necessidades da empresa, em vez de gerar bloqueios, desconforto ou perda de tempo.

Discussão