Desafios tecnológicos e organizacionais
Entender a cabeça e os pensamentos de um analista de segurança da informação, gestor de S.I e áreas afins, voltadas para este setor que provem a segurança das informações da empresa, não é uma tarefa simples, como fazer e ser aceito por todos de forma simultânea?Pensando nos três pilares que se voltam para sustentação deste mundo (Integridade, disponibilidade, confidencialidade) vamos aos desafios cotidianos:
Integridade: Como manter as informações integras, ou seja, da mesma forma que foram dispostas, ou sem distorções, ou alterações indevidas, e ainda sim sem falsificações?
- É amigos, do ponto de vista tecnológico não teríamos tantos problemas não acham? Restringir tal informação dando acesso apenas a quem a criou, guardando todos os Logs de acesso seria uma ótima saída, porém será que a necessidade de acesso a tal informação por outro membro da direção, por exemplo, ou para algum acionista, ou até então por fins de auditoria seria agradável a dependência de seu criador? Eis um conflito a ser resolvido em conjunto com a alta direção da empresa em que você trabalha.
Disponibilidade: Manter a informação sempre disponível, sempre acessível para quem a tiver direito, sem interrupções para o negócio da empresa, e justificar junto à direção investimento de tempo, esforço e custo, e que sejamos bem sinceros, do ponto de vista financeiro não é tão amigável, eis outro desafio.
- Desde sempre tenho ouvido de vários lados que T.I é um mal necessário dentro de algumas empresas, T.I é de onde se vem os maiores gastos, T.I apenas gera custo, meu Deus, como fazer para justificar investimento em T.I para manter a disponibilidade e a continuidade do negócio? Um bom profissional e gestor também deve ter um belo jogo de cintura para "driblar" tais situações como esta, visando sempre a clareza das informações, mantendo documentações e buscando argumentos de negócio da empresa para conseguir os investimentos necessários, implantações de site backup, redundância em dispositivos de funcionamento crítico (Firewall, STORAGES, SWITCHES... entre outros), são alguns itens que devem ser levados em consideração.
Confidencialidade: Vamos a este pilar que ficou por último, não por ser menos importante, e sim, em minha opinião, por ser o mais custoso e delicado de se tratar, não por sua fragilidade e sim por depender de fatores que saem da esfera tecnológica. Manter as informações que previamente precisam ser classificadas quanto a sua importância, relevância e níveis (publica, interna, confidencial, secreta).
- Entenda que de nada adiantaria uma proteção por senha, uma codificação para tais informações se uma boa e bem desenhada política de segurança da informação não fosse aplicada dentro dessa organização. Controlar, restringir ou até mesmo proibir o que sai da boca, ou de um e-mail, ou de uma conversa informal de um colaborador é algo muito difícil de fazer, e que pode trazer um prejuízo seja ele moral, ético, ou crucial para uma empresa. Tendo em vista que as informações dependendo do seu nível são cruciais para tomadas de decisão de um gestor ou presidente.
Desafios são muitos, rotinas difíceis, bons argumentos, mostrar resultados e indicadores de sucesso, participar junto à direção/gestão da empresa de reuniões periódicas, visando sempre estar ligado com o plano de negócio da mesma, são situações rotineiras que se não estão devem estar no dia a dia de um gestor ou profissional de S.I.