NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. Segurança sem os usuários? Esqueça.
10 OUT 2005

Segurança sem os usuários? Esqueça.






Arquivo do Clipping 2005

Veículo:Revista PC & Cia.
Data: 10/10/2005
Assunto: Segurança

Hoje não são raros os recursos para aprender técnicas e mecanismos de segurança. Livros, listas de discussões, tutoriais, entre outros. Some-se a isso a quantidade crescente de ferramentas disponíveis, livres ou proprietárias, para ajudá-lo a compor um ambiente menos suscetível aos ataques desferidos pelos malfeitores digitais. Tudo estaria resolvido não fosse o verdadeiro calcanhar de aquiles de todo profissional que tem entre suas responsabilidades a implementação de processos de segurança da informação: o envolvimento dos usuários.

A lógica é bastante simples. Se por um lado, dominar técnicas, práticas comuns e aplicativos de segurança consiste em algo de caráter individual e exato, por outro, relacionar-se com o usuário, ganhar sua confiança e convencê-lo de que ele faz parte do processo de segurança da informação não é tão previsível assim. Nesse caso, tem-se o fator humano envolvido. Lidar com pessoas, muitas das vezes, não é tão "simples" quando lidar com softwares. Livros especializados? Manuais? Poucas são as opções. Não existem nada além de recomendações gerais e práticas recomendáveis. Em poucas palavras, um processo de implantação de mecanismos para prover segurança da informação que não tenha engajados seus usuários está fadado ao fracasso. É preciso ter consciência de que este não é um trabalho que pode ser feito de maneira introspectiva, solitária. O sucesso do profissional de segurança, quando diz respeito à implementação de práticas no âmbito corporativo, está diretamente conectado à participação dos usuários finais.

E, então, o que fazer? O primeiro passo pode ser delinear um plano para a consolidação de uma "cultura de segurança da informação" no meio corporativo. Para isso, é de extrema importância contar com o apoio da presidência da organização no sentido de divulgar para todos os usuários que a segurança da informação e seus processos fazem parte das diretrizes organizacionais. Esta, entretanto, é somente uma preparação para o desafio maior: o contato com os usuários.

Um ciclo de palestras envolvendo todos os níveis de usuários pode ajudar a iniciação desse processo. Nas primeiras oportunidades, é conveniente falar a respeito do quão crítica a informação é dentro do contexto organizacional. Deve-se apresentá-la como um bem corporativo que está depositado de maneira distribuída entre todos os colaboradores da organização. Fale a respeito dos riscos envolvidos, sobretudo com relação aos objetivos da instituição. Caso exista um plano de segurança (já falamos sobre ele em oportunidades anteriores), esse é momento certo para fazer uma versão simplificada e objetiva para apresentar aos seus usuários.

"Sempre é ora de recomeçar. Repasse tudo de novo, bole novas estratégias. Não existem receitas mágicas para lidar com seres humanos."

Em um próximo momento, é importante compartilhar as práticas de segurança comuns que devem ser executadas na rotina diária de trabalho de todos os seus usuários. Para isso, comece com as recomendações técnicas gerais e os conceitos e termos praticados. Neste sentido, o CERT.BR (Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil), vinculado ao Comitê Gestor da Internet Brasileira, poderá colaborar. O Centro lançou no último mês de setembro a versão 3.0 de sua Cartilha de Segurança para a Internet. O documento, voltado para os usuários finais, está dividido em oito partes, incluindo desde métodos de prevenção, privacidade, sigilo e autenticidade de informações até fraudes comuns na rede mundial, utilização de PDAs, segurança em redes sem-fio, spam, entre outros. O documento aborda também o cuidado que os usuários devem ter com relação à execução de programas cujas licenças de uso contenham restrições que impactem na política de segurança estabelecida ou mesmo em fatores legais em decorrência da ausência de licenças legalizadas.

Além das oito partes, a Cartilha contém dois capítulos adicionais: uma sessão de checklist, que inclui, de maneira resumida e objetiva, procedimentos divididos em diversas seções diferentes para ajudar o usuário a visualizar as medidas de segurança. Além disso há uma sessão de glossário, apresentando termos comuns utilizados na Internet e na área de segurança.

O material contém ainda um arquivo em formato de folder, pronto para imprimir, que pode ser utilizado para divulgação interna na corporação. Todo o material pode ser obtido a partir do site do projeto em http://cartilha.cert.br.

Feito tudo isso, se ainda assim você encontrar usuários com suas senhas escancaradas em papeizinhos amarelos pregados no monitor, armazenando informações críticas sem qualquer proteção, utilizando programas e recursos de maneira insegura,... Bem, não perca as esperanças. Sempre é ora de recomeçar. Repasse tudo de novo, bole novas estratégias. Não existem receitas mágicas para lidar com seres humanos. Eis os ossos do ofício. Tente outra vez!
Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso