Se tem um assunto em alta no ano de 2020, é segurança da informação. Foi a pandemia do COVID-19 com a necessidade de mandar colaboradores trabalhar de casa, foi pela LGPD vigorando em agosto desse ano, segurança da informação é um assunto que apareceu na mídia e ganhou mais importância em diversas empresas. Vi vagas de Analista de Segurança de Informação surgirem em tudo quanto é empresa, inclusive aquelas mais conservadoras.
Quando falamos em segurança da informação, logo vem à mente várias ferramentas: antivírus, firewall, anti-phising, CASB, DLP, e toda a sopa de letrinhas possível. Porém, de nada adianta implantar controles de segurança da informação sem um programa de cultura no assunto.
A tirinha acima ilustra o problema da falta de cultura em segurança da informação perfeitamente: o colaborador passa por diversos controles de segurança para ter acesso a uma senha importante e, quando consegue acesso, a divulga de forma pública deixando que todos os colegas da área ouvirem.
Essa tirinha é um excelente exemplo de compartilhamento de senha, onde o colaborador não vê problemas em dividir sua senha com outras pessoas, seja para finalizar um trabalho por falta de acesso de outra pessoa ou ainda para cobrir um colega de férias. Pense assim: você empresta o seu cartão de crédito ou débito para seus amigos? Se a resposta for sim, você precisa urgentemente de uma imersão em cultura de segurança da informação e para isso vou te indicar a assistir minha série de dicas rápidas em segurança da informação no meu canal no Youtube. Seu usuário e senha são pessoais e intransferíveis e isso vale para todos os serviços, sejam eles pessoais ou corporativos. Seus acessos de conta deveriam ser de uso somente seu. Se alguém tiver acesso aos seus dados você pode ser responsabilizado ou ficar sob suspeita por algo que não foi você quem fez. É parecido com a situação que acontece quando seu cartão de crédito é clonado. Você fica um tempo para conseguir provar que aquela compra não foi feita por você.
Tem uma frase que eu gosto muito que diz o seguinte:
"Qualquer sistema que ignorar a natureza humana, falhará".
Consegue identificar o famoso "jeitinho brasileiro" como sendo essa “natureza humana” que mencionei? Somos acostumados a “darmos um jeito” para tudo. Por isso, se você precisa cobrir alguém de férias, peça um encaminhamento de e-mails para a sua caixa, peça acessos necessários para conseguir fazer o trabalho mas não utilize a senha de seus colegas para isso. É claro que aqui os controles podem ajudar muito. Porém, quem nunca viu um gestor pedindo para a TI da empresa resetar a senha de um colaborador de férias? O correto nesses casos é ter uma política interna e treinamentos para que todos os funcionários saibam que esta é uma situação que não deve ocorrer. Deve-se ter um discurso pronto para combater esse “jeitinho brasileiro”, apoiar-se na diretoria e no RH para que situações assim, conhecidas como “a carteirada do gestor”, não acarretem num risco de segurança futuramente.
Fico aqui com a reflexão sobre a importância da cultura em segurança da informação. Até mais! 😉
Nenhum comentário:
Postar um comentário