Mário Sérgio Ribeiro (*)
Se você parou para pensar e refletir um pouco sobre o que vem acontecendo no dia a dia deve ter notado o quanto as relações e comportamentos das pessoas têm mudado e a velocidade que isso tem acontecido. É fato! A Tecnologia da informação e comunicação tem patrocinado mudanças significativas no modo de as pessoas se relacionarem, se comunicarem. Essas mudanças criam novos hábitos, comportamentos, muda a forma de as pessoas se relacionarem com o mundo exterior. Nesse contexto eu pergunto: como as empresas, que têm como principal ativo Pessoas, tem percebido e encarado essas transformações? Como essas mudanças podem afetar o ambiente corporativo e colocar em risco o outro ativo, o segundo em importância, as informações corporativas.
A tecnologia e comunicação nos últimos dez anos se tornou o principal catalisador na mudança de hábitos e comportamentos das pessoas. Celular que virou computador com internet e máquina fotográfica, velocidade maior pela rede, meios instantâneos de se comunicar, como o falecido Orkut, o viciante facebook, instagram, twitter, o mais novo e conquistador com o nome de WhatsApp, ou zap zap como brasileiro gosta de chamar. Alguns têm falado que o tal e-mail já coisa do passado, é para Tiozão!!!
Enquanto escrevia esse artigo li uma pesquisa saindo no portal da UOL. A manchete dizia que 75% dos casais brasileiros se comunicavam via WhatsApp, sendo esse o principal meio de comunicação escolhido. As mulheres o utilizam mais do que o homem e muitas falaram que não sabiam dizer quantas vezes o fazem por dia, sabiam apenas que eram muitas, muitas comunicações com seus amados.
Mais uma constatação a uma máxima que eu e você já sabemos: trocamos literalmente a fala, mesmo por telefone, não precisa ser mais aquela olho no olho, pelas palavras. Os casais não se falam mais, imagem os outros. Se já pelo telefone a coisa é fria, imagina por palavras…
O povo brasileiro gosta de se comunicar, de interagir. Hoje temos mais celular do que aparelhos fixos. Alguém poderia imaginar algo assim? Essa gama de dispositivos tecnológicos e de comunicação, aliado às “invenções” para popular esses dispositivos, mudou alguns paradigmas. Por exemplo, que tal pensarmos o que as pessoas fizeram com a sua privacidade?
A partir do lançamento do Orkut e posteriormente do microblog Twitter, até os Instagrams da vida, as pessoas tiveram a possibilidade de se expor, se expuseram, e como vem se expondo!! Se pensarmos que a onda pegou a partir do uso maciço por pessoas públicas (artistas, celebridades e pseudo-celebridades, políticos…) que passaram a utilizar as primeiras redes sociais e o Twitter para se expor, até porque vivem dessa exposição, pessoas comuns gostaram da ideia e foram à luta. Vejam que quase 2 bilhões de pessoas usam o facebook.
O que é fato aqui, é que a tal preservação da privacidade é, em muitos exemplos, banida pela própria pessoa. Quantos e quantos casos tomamos conhecimento pela mídia onde o culpado foi a quebra da privacidade patrocinada pela própria vítima? E pior, vários deles com consequências catastróficas.
Não quero e nem pretendo entrar na discussão psicológica, sociológica e até antropológica do tema, mas é inegável que as pessoas de uma maneira geral estão se expondo e expondo seus familiares, em muitos casos de forma perigosa. Diante de tantos alertas e casos mostrados as pessoas continuam a quebrar sua privacidade se escorando em alicerces pouco seguros como: somente meus amigos me veem, não compartilho com quem não conheço, e por aí vai…De uma vez por todas as pessoas precisam entender que a melhor segurança é aquela que avalia o valor da informação antes de praticar qualquer ato. E esse parece ser um dos Xs da questão.
Quando faço minhas palestras de conscientização em segurança da informação nas empresas e coloco o tema sob a ótica pessoal/familiar e não somente corporativa, as pessoas parecem tomar um clic. E a coisa esquenta quando, por meio de uma dúzia de casos e de situações de risco, demonstro o que a pessoa pode estar fazendo com a sua segurança e de seus próximos.
Parece que definitivamente só se toma consciência quando partimos para um discurso um pouco mais duro, quando mostramos que antes de qualquer coisa avalie-se o VALOR da informação e as consequências de seu compartilhamento antes de tomar qualquer decisão.
Essas mudanças e transformações que vem ocorrendo no modo como as pessoas tem tocado suas vidas, mais uma vez como falei, patrocinado e muito pela tecnologia e comunicação, não há como não fazer uma relação com o ambiente do trabalho. As pessoas estão diferentes do que eram anos atrás com a incorporação desses novos hábitos, costumes e comportamentos querendo e/ou não querendo levando-os para dentro da empresa.
Ninguém sai de casa para trabalhar e diz para seus hábitos, costumes e comportamentos o seguinte: ei, vocês, fiquem quietinhos aí em casa que agora eu vou levar outros hábitos, costumes e comportamentos para ir trabalhar comigo? Alguém faz essa dissociação? Você e sua empresa já pensaram sobre isso?
Para os que não pensaram ou desacreditam nessa questão, poderia listar aqui uma série de ameaças e probabilidades que podem se transformar em impactos indesejáveis para a empresa, e ajudar a mudar de opinião.
Por exemplo, aliado a tais mudanças e o elevado poder dos “celulares” de hoje em dia, podemos pensar em alguém com alguma intenção, bater fotos de tela, de documentos que não deveriam ter acesso e de alguma forma tiveram e bum, em um clic, jogar onde quiser tais informações, inclusive na concorrência.
Para o caso dos não intencionados, alguma foto da equipe de trabalho em uma festinha de aniversário, com tela de computador aberta ao fundo, documentos sobre a mesa, etc.
Comentários públicos da empresa com o intuito de se gabar, tentando aumentar sua escala de valores como uma pessoa importante…É, a lista pode ser imensa.
OK, mas o que e como fazer com a questão?
Em primeiro lugar e de forma clara você precisa entender e aceitar esse novo contexto em nossas vidas. Não há como mudar o curso onde a maioria deseja levar. Em segundo lugar precisa ter em mente que, em se tratando de ambiente de trabalho, na segurança das informações corporativas, são as Pessoas o ativo mais importante. Elas são o agente da ameaça, que é aquele sujeito que perpetra uma ameaça explorando vulnerabilidades existentes.
Entendendo e aceitando essas duas ponderações é necessário arregaçar as mangas e agir. Agir no sentido de reduzir o risco das possíveis consequências. Essa ação demandará identificar e implantar controles que possam levar a um risco residual aceitável para a empresa.
Sei que muito provavelmente vários desses controles você deve tê-lo implantado na empresa. Modelos de contratação que olhem para o SER Políticas, Normas, Códigos, controles de acesso físico, lógico, PLRs, etc. devem fazer parte desse rol de controles. Ok. Mas uma rápida e simples pergunta que faço: eles permanecem operando de forma a deixar o risco residual no patamar que se julgou aceitável? Todo o controle deve ter uma espécie de “memorial descritivo” e será que o tal memorial descritivo continua a ser atendido?
Ainda nessa linha, será que foi pensado nos devidos controles para mitigar o risco Pessoas nesse novo contexto que ponderei? Não faltou ou não falta nada? Digo isso porque normalmente encontro a falta de alguns controles importantes, como o Programa de Conscientização e Educação em Segurança da Informação, Antifraudes e ilícitos semelhantes. O seu programa de conscientização, caso você o tenha e o execute de forma continuada, anda acompanhando essas mudanças e transformações comentadas nesse artigo?
Julgo o Programa de Conscientização um dos controles mais eficazes nessa luta pela mitigação dos riscos com a segurança das informações corporativas e assemelhados. Aumenta sua importância com esses tempos bicudos e de mudanças e transformações citadas. Mas existem limitações em sua eficácia quando não for devidamente planejado e implantado.
É fundamental que um programa desses tenha em seu planejamento a ideia de que ele não é para ser feito uma vez na vida e outro na morte. Um dos atributos de sua eficácia é a sua continuidade. Sua execução deve acontecer ao longo do ano, e não somente com uma palestra e pronto. Isso funciona em pequena escala, não colocando o risco em um patamar residual que desejamos. Pense nisso.
Como conclusão gostaria de deixar uma reflexão. O mundo tem se transformado diariamente e em uma velocidade que não percebemos, que não temos tido tempo para parar e pensar no que está ocorrendo. E nessa linha, são as Pessoas que estão conduzindo essas transformações e vivenciando o que há de bom e também o que há de ruim. Já falado, somos vítimas ou felizardos de nossos atos e também dos outros. As transformações nos hábitos, costumes e comportamentos das Pessoas têm alterado diariamente os riscos associados. Digo isso olhando para todos os lados, e não mais somente para um pequeno pedaço dele que tratei nesse artigo. Que possamos ter sabedoria e paciência para entender o que se passa, e procurar sempre as melhores formas de vivermos felizes e tentar ajudar os outros a também o ser!
Até a próxima!
_______________________________________________________________
(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br
