Conheça histórias de gestores de segurança e educadores sobre as atitudes preferidas dos funcionários e saiba o que eles fizeram para controlá-las ou minimizar as suas consequências.
Insatisfeito com as restrições de segurança da faculdade, um aluno desenvolveu um software. Chamado U2, o programa permitia o acesso a qualquer porta do computador ao simular a passagem do tráfego pela port 80, de tráfego HTTP.
Em outras palavras, este aluno fazia tudo o que queria – navegava sem restrições, instalava programas e, até, chegou a criar uma rede P2P que funcionava 24 horas por dia.
A história é contada por Nilson Ramalho, instrutor do curso de redes na Impacta e também gerente de suporte técnico da faculdade. Segundo ele, o caso – acontecido 5 meses atrás – foi descoberto por conta do consumo na banda e gerou mudanças na estratégia de defesa. “Depois disso, adotamos gestão de identidade e acesso (IAM) para evitar problemas”, conta.
Vários outros incidentes deste tipo acontecem a todo o momento em universidades e empresas. Acostumados a navegar e usar o computador livremente em suas casas, os funcionários muitas vezes colocam as informações da empresa e a própria corporação em risco por conta dos seus hábitos.
Sites maliciosos, pornografia, programas desconhecidos, correntes de e-mail com ppts, pastas no servidor com mp3 e vídeos, portas abertas no computador, etc, etc... A lista de comportamento hostil para segurança poderia seguir indefinidamente.
Estratégia de defesa
O que o gestor de segurança ou o profissional de TI responsável pela proteção pode fazer para contornar esses comportamentos?
Álvaro Teófilo, superintendente do Centro de Operações de Segurança da Produban, empresa de Tecnologia do Grupo Santander Brasil, conta a iniciativa do grupo para o controle do vazamento de informações. A estratégia do banco pode ser encarada como uma maneira de estabelecer toda a política de segurança da informação.
“Minimizar o risco de vazamento de informação tem três dimensões: a definição das regras de manipulação de informações (por meio de políticas organizacionais), a divulgação destas regras (que chamamos de ‘planos de conscientização’) e a implantação de controles que permitam minimizar incidentes e orientar as pessoas”, conta Teófilo, em entrevista por e-mail.
Ramalho compartilha a idéia. Para ele, o maior desafio está em deixar claro para os funcionários quais são as regras e que tipo de comportamento é exigido. Depois, aconselha, é preciso apresentar as regras de maneira clara e criar maneiras de garantir que ela está sendo cumprida. “Se a regra de segurança não for auditada, ela cai em descrédito e não funciona. Só ter a ferramenta não resolve”, defende.
Para Sergio Alexandre, coordenador do MBA de segurança da informação na FIAP, a educação é o ponto principal para garantir a eficiência da política de defesa. “Só assim os usuários não vão tomar decisões que podem conflitar com a política de segurança. O papel do CSO é de facilitador, para garantir que tudo aconteça da maneira correta, mas também opressor”, afirma.
Eterno conflito
Mesmo com a educação e as normas claras, o que nenhum profissional de segurança pode esperar é plena aceitação.
Curiosidade é o motor do usuário, afirma Ramalho, ele quer descobrir o porquê ele não pode acessar ou ter determinados comportamentos. “O papel da pessoa de segurança é orientar o indivíduo e explicar as escolhas”, acredita.
Outro problema comum é a vontade dos usuários de querer ajudar os colegas de trabalho – driblando as políticas de segurança para isso. Conta Teófilo: “O compartilhamento de logins, por exemplo, é um velho problema. Ao tentar agilizar um processo, um funcionário cede o seu login para um colega. Se este colega realizar um mau uso do sistema, o funcionário que cedeu o login será responsabilizado”.
No final, a relação entre funcionários ou alunos e profissionais de segurança será sempre tensa. “O funcionário ou aluno passa por várias fases para aceitar as restrições, de negação a fúria. O desafio do profissional de segurança é ter o apoio dos funcionários”, completa Ramalho.
Nenhum comentário:
Postar um comentário