Em tempos de Delação, qual o Valor de uma Informação?

26 de abril de 2017 enigma.consultoria Sem categoria Leave a comment  

(*) Mário Sérgio Ribeiro

 

A justiça brasileira “descobriu” que valorizando o Valor da informação em conjunto com o que indivíduo mais preza, sua liberdade, conseguiria engendrar o maior combate à corrupção nesse país e uma das maiores já realizadas no planeta. A partir da prática da Delação premiada, a justiça obtém Informação de elevado Valor para derrubar o castelo da corrupção erguido nesse país. Quebra o pilar da Confidencialidade da Informação e consegue com isso, acelerar sua investigação em busca dos culpados, para tentar acabar com esse câncer instalado em nossa sociedade chamado Corrupção.

 A operação Lava Jato e outras dão um exemplo inequívoco a todos que a Informação tem inúmeras características e Valor e, desde que sejam devidamente reconhecidos, pode trazer inúmeros benefícios. Interessante aqui alinhar que as operações engendradas no combate à corrupção utilizam das duas tipologias básicas da informação: a estruturada e a não estruturada.

 Explicando rapidamente. A informação estruturada é aquela que encontramos, por exemplo, em sistemas informáticos. Tem uma estrutura de dados, campos, sistematizada, padronizada, etc. A não estruturada é a informação que circula de boca em boca, de um guardanapo rabiscado, em uma planilha eletrônica, etc. A estruturada atravessa obrigatoriamente todo o ciclo da informação, a não estrutura não.

Vamos aproveitar esse momento em que a Informação é a bola da vez e fazer uma reflexão sobre o seu Valor, como valorá-la, trazendo essa reflexão para o ambiente empresarial. Vamos fazer em duas vertentes: a da Tomada de Decisão e da Segurança da Informação.

Precisamos entender que a Informação possui três características que são fundamentais para qualquer sistema de informação que alimente tomada de decisão. Essas características são: ser Relevante, Confiável e Oportuna.

A Relevância diz respeito a importância, ao quanto de valor a informação tem para o contexto em que está sendo avaliada. Já a Confiabilidade diz respeito ao quanto se pode confiar, acreditar que a informação é correta, verídica, assertiva. E por último a Informação ser Oportuna, diz respeito a aparecer no momento certo, em um momento que se permita tomar uma ação assertiva, sem ter impactos por conta de uma informação que “chegou tarde demais”.

Então, vemos que o ideal em qualquer sistema de informação que alimente tomadas de decisão e escolhas acertadas, a Informação deve ser relevante, confiável e oportuna. Em diversos momentos da Operação Lava Jato, envolvidos que estavam presos, desejavam fazer a Delação que pudesse premiá-los com alguma redução de pena, por exemplo. Mesmo assim, o juiz responsável pela operação, Sérgio Moro, não aceitou o depoimento, dizendo que a Informação já não era Relevante e Oportuna. Isso é explicado porque o Valor daquilo que desejavam falar era baixo para o processo, em função de outras informações bem mais relevantes já terem sido fornecidas por outros delatores, perdendo a oportunidade, e daí a delação proposta deixou de ser oportuna.

Isso também ocorre no ambiente empresarial. Sistemas de Informação para Tomada de Decisão necessitam ter essas três características atuando em completa sinergia. Uma informação relevante e confiável, mas sem ser oportuna, chegando atrasada, pode trazer uma decisão absolutamente equivocada, com perdas financeiras; idem para qualquer outra combinação, em que uma das três características falte.

Uma parcela significativa de executivos, para não dizer que quase a sua totalidade, utilizam e muito para suas decisões a informação não estruturada. Essa informação não está em nenhum sistema informático estruturado. Ela está na “cabeça” dos executivos, coletadas em reuniões informais, sociais, jogos de tênis, golfe, almoços, jantares, etc. São informações de cunho normalmente estratégico, de elevado Valor, dada a sua Relevância. Muita tomada de decisão é baseada nessas informações, com suporte, na maioria das vezes, de informações estruturadas em sistemas da empresa. A Lava Jato tem se utilizado e muito desse tipo de informação não estruturada para suas investigações.

Essas informações não estruturadas, no máximo, vão parar em uma planilha eletrônica, caixas de entrada do sistema de correio eletrônico ou semelhantes. Certamente não estão nos sistemas informáticos estruturados da empresa, custodiados pela TI, em função de seu elevado Valor estratégico e do alto grau de sigilo que deva ter. No máximo em planilhas eletrônicas como a TV vem mostrando sistematicamente com a delação da Odebrecht. O medo de quem as tem é a quebra do pilar da Confidencialidade de tal informação.

A outra parcela das informações da empresa está em sistemas informáticos estruturados, custodiadas pela TI da mesma. São informações que assumem diversas classificações de valor, onde as características de relevância, confiabilidade e oportunidade somam-se às características relacionadas à segurança das mesmas: Confidencialidade, Integridade e Disponibilidade (CID).

Sob a ótica da segurança da informação, para se conhecer o real Valor de uma informação corporativa necessitamos, independentemente do tamanho da empresa, conhecer o grau de sensibilidade da CID. Qualquer informação estruturada de uma empresa deve ter uma classificação quanto a sua CID.

Ok, mas por que isso? Qual a importância?

No artigo passado abordei a questão do Acesso Lógico e de seu controle, onde comentamos sobre metodologias e outros. Fazendo um link com esse artigo devemos entender que só é possível fornecer acesso a sistemas informáticos, como disse, sistemas estruturados de informação, se conhecemos o Valor da informação a ser fornecido o acesso. Ao saber o valor da informação eu posso criar mecanismos de controle para melhor proteger, por exemplo, as que tem maior valor.

Normalmente o que ocorre na grande maioria das empresas nacionais é que esse acesso à informação é autorizado pelo que se convencionou chamar de “dono da informação”. Geralmente esse dono é o gestor de uma dada área que deve ou deveria saber o Valor da Informação para fornecer ou não o acesso devido. Acreditamos que feito isso, bingo, resolvemos o problema de concessão de acesso a sistemas informáticos. Será?

Assume-se que tais donos estabelecem critérios próprios e que esses supostamente são suficientes para matar a questão. O que ocorre de fato e que deveria ocorrer é que não são estabelecidos critérios padronizados para que esses donos da informação possam valorizar uma dada informação e, então saber se certo usuário ou função pode ou não ter acesso a determinada informação. Normalmente o que se tem, quando se tem, é uma Norma de Classificação da Informação, mas sem os detalhes necessários para se fazer essa valoração, aliás, passa longe

Na prática, esse dono da informação verifica a função que o usuário deve exercer e com isso autoriza o mesmo a acessar sistema A, B …etc. Infelizmente, na grande maioria dos casos, essa prática invoca excesso de privilégios, o que pode causar incidentes intencionais ou não intencionais no futuro, geralmente desconhecidos por quem fornece ou não tal acesso.

Nos ambientes onde temos estabelecido metodologias de acesso a sistemas informáticos como o RBAC (abordado no artigo anterior) essa situação não se estabelece dessa forma. Os acessos a sistemas informáticos com o processo do RBAC mapeado e implantado olha para a função e estabelece o perfil de acesso a partir daí, até chegar no nível de atividades/tarefas/transações que a função deva exercer, sem excessos de privilégios. Claro, desde que se cumpra o processo correto de desenho do RBAC.

Para auxiliar tanto o RBAC ou mesmo o dono da informação no formato no qual citei, em que a maioria das empresas estabelece o acesso lógico, medir o grau de sensibilidade da Confidencialidade, Integridade e Disponibilidade (CID) da Informação é de suma importância para que se mitigue riscos financeiros e de imagem e reputação, por conta da possibilidade da quebra de um dos três pilares.

Esse Grau de Sensibilidade é tão maior quanto os impactos financeiros e de imagem o forem. O valor da informação acompanha o grau de sensibilidade da CID. Os incidentes relacionados a CID podem ser capazes de descontinuar um negócio e a estatística de ocorrência hoje em dia nas empresas é algo assustador.

Valorar a Informação sob a ótica da segurança da informação para informações estruturadas ou não estruturadas não é uma tarefa simples, quando olhando grandes empresas, com inúmeros sistemas, mas deve ser realizado.

Deixar para cada dono da informação decidir de acordo com critérios que ele julga serem importantes, quem pode o que, por certo não é a melhor solução. Agora, estabelecer critérios e métodos par auxiliar o dono da informação a fazê-lo, aí sim, eu tenho um padrão, até para medir se a coisa está correta, se precisa melhorar, etc.

O critério aqui apresentado, medindo o Grau de Sensibilidade da CID, já utilizei em diversos projetos, de acordo com metodologia própria que desenvolvemos. Os resultados foram excelentes. Conseguimos fazer os donos da informação entenderem de fato o Valor de uma Informação, e os prejuízos que a empresa possa ter se a coisa não for realizada de forma criteriosa.

Fica o recado!

Até a próxima!

 

_______________________________________________________________

(*) 57 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Add a Comment