Arquivo da tag: kiss

Faça de forma simples a segurança da informação

Fonte: Edison Fontes/IMasters

KISS – Keep it simple, stupid! => Faça simples, estúpido!

Há muito tempo, ouvi essa brincadeira, que, apesar de ser brincadeira, tem uma mensagem excelente: “faça as coisas de uma maneira simples”. E fazer as coisas de uma maneira simples exige muito conhecimento, experiência e visão prática, mesmo baseada em uma teoria complicada.

Assistindo ao telejornal, um pesquisador da EMBRAPA falou mais ou menos isto: o problema acerca da água é complexo, mas precisamos de soluções simples. Cada vez mais, estou seguindo linha de pensamento: se algo merece ser feito, merece ser bem feito e também merece ser feito de forma simples.

No assunto segurança da informação, entendo que existem várias armadilhas nas quais costumamos cair e que tornam as soluções complexas. Gostaria de compartilhar algumas:

Tratar a segurança sem escopo, limites e cenários

A segurança da informação envolve muitos aspectos – desde os mais técnicos até os relacionados à pessoa humana. Qualquer projeto ou conjunto de ações em segurança da informação precisa ser desenvolvido considerando um ambiente: escopo, limites e cenários. É necessário ficar claro que as atividades previstas e os objetivos definidos são válidos para o ambiente considerado. Na medida em que a organização aumenta sua maturidade em segurança, ela pode expandir e aumentar a complexidade desse ambiente.

Uma coisa é uma coisa, outra coisa é outra coisa

Brincadeiras à parte, somos facilmente levados a querer consertar a organização por causa do processo de segurança da informação. Um exemplo: se a organização tem um péssimo clima organizacional, evidentemente isso vai dificultar o processo de segurança, e o gestor de segurança deve estar atento. Porém, não é responsabilidade da área de segurança da informação cuidar do clima organizacional. Isso é um problema de Recursos Humanos. A gestão da organização é ruim? Que chato! E isso vai dificultar o processo de segurança da informação, mas esse é um problema organizacional, é um problema do gestor maior da organização.

O foco deve ser os objetivos da organização

A segurança da informação existe para que a organização funcione adequadamente no que diz respeito à informação e aos recursos de informação. Não se faz recuperação de energia pela recuperação da energia. Se faz a recuperação de energia porque a organização precisa acessar a informação que está em recursos de informação, que para funcionar precisam de energia elétrica. Todos, e eu digo todos, os projetos e os conjuntos de ações só devem existir para possibilitar o funcionamento da organização.

Comunicação simples

A comunicação da segurança da informação realizada por políticas, normas, procedimentos e material de conscientização precisa ser simples, direta e de fácil entendimento. Aquilo que for obrigatório tem que ser colocado como mandatório. Não podemos ter frases como: O guarda prendeu o ladrão na casa dele. Na casa do guarda, ou na casa do ladrão?

Se a Organização não quer segurança, não teremos segurança

Esta é a parte mais difícil para os gestores de segurança, que são funcionários da organização. Muitas organizações não querem levar a segurança a sério, não querem gastar recursos e passam, por exemplo, dez anos com uma cadeira de brinquedo do parque de diversão quebrada e não tomam providencia. Ou como no desastre da Estação Brasileira na Antártida: vamos ver se os pesquisadores tinham cópia de segurança nos seus notebooks. Essas empresas ou projetos não levam a segurança a sério, e essa é uma responsabilidade da gestão executiva. Para o gestor de segurança, fica uma situação muito difícil. O que você pode fazer é deixar essa organização, porque, no momento dos problemas, vão querer incriminá-lo.

Existem muitas armadilhas, cuidado! Uma das estratégias que sigo e com a qual obtenho bons resultados é fazer as coisas de forma simples, mas com muito conhecimento.

Lembre-se: KISS!