Sex, 15 de Outubro de 2010 14:28 (IN)
A segurança da informação vem ocupando cada vez mais espaço na agenda das grandes, médias e pequenas corporações. Afinal, na medida em que tempo passa nos tornamos mais dependentes de tecnologia da informação no trabalho. Quantos de nós não estão reféns dos e-mails, por exemplo?
E ainda lembro quando deixava o escritório e os problemas ficavam lá. Hoje, estão comigo o tempo inteiro. E o mais preocupante é que se você não responde aos e-mails, sempre aparecerá alguém nos cobrando. E a nossa segurança da informação, como fica? No fundo, tecnologia acabou com a nossa privacidade.
Quem já não ouviu ou leu alguma informação sobre redes sociais nas empresas, se vale a pena liberar o acesso ou proibir? E sobre a geração Y, como devemos proceder? Acredito que tudo tem limite, por motivos já conhecidos pelos gestores — o abuso da internet durante o expediente de trabalho é notório. Mas como fica a atividade profissional?
Será que a sua empresa já implementou a ISO 27001? E a ISO 27002? Existe uma política de segurança da informação? Se positivo, existe monitoramento e indicadores de riscos? E para acesso físico e lógico? Seus terceiros têm acesso irrestrito, limitado ou gerenciado? Boas questões para pensarmos antes de dormir.
Segundo o CobiT (Control Objectives for Information and related Technology), a garantia da segurança dos sistemas significa “a necessidade de manter a integridade das informações e proteger os ativos de TI, requerendo, no entanto, um processo de gestão da segurança na área. Este processo inclui a implantação e manutenção de papéis e responsabilidades, políticas, padrões e procedimentos da segurança de TI. Gestão da segurança também inclui a execução de monitoramento e testes periódicos de segurança, e a implementação de ações corretivas para as vulnerabilidades e os incidentes de segurança identificados. A gestão efetiva da segurança protege todos os ativos de TI e minimiza o impacto no negócio de vulnerabilidades e incidentes de segurança.”
Os riscos de não possuir uma política de segurança da informação adequada pode causar danos irreparáveis. Mas será que segurança da informação está somente relacionada à tecnologia da informação? Posso dizer que não. Afinal, a informação pode ser repassada, mesmo sem e-mail, internet, sites de relacionamento, Twitter, Orkut, Facebook, entre outros – pode ser em uma conversa no transporte coletivo, no restaurante e no happy hour.
A pergunta que não quer calar é: qual é o limite? Qual é o risco que posso assumir? Estamos preparados para tal liberdade? Acredito que devemos ponderar e avaliar os perigos de termos a segurança da informação violada. São perguntas que necessitam de respostas tempestivas e ponderadas. Entretanto, todos pedem liberdade. Mas quem impede que seja vigiada?
(Marcos Assi é coordenador do MBA Gestão de Riscos e Compliance da Trevisan Escola de Negócios, professor da FIA e Saint Paul Escola de Negócios, autor do livro “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” (Saint Paul Editora). É também consultor de Riscos Financeiros e Compliance da Daryus Consultoria)