Friday, April 26, 2002

O Fator Humano na Segurança da Informação

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Apesar de muito recente, a matéria que trata da informação corporativa já é considerada elemento chave na proteção e no sucesso dos negócios geridos em ambientes alicerçados pela tecnologia da informação. Com a evolução dos sistemas tecnológicos, a segurança da informação tem-se mostrado cada vez mais presente nos diversos departamentos que estruturam uma organização, evidenciando que além da turma de tecnologia, outros departamentos possuem papel crítico no suporte às diretrizes da política de proteção da informação. Neste pequeno artigo darei ênfase à participação do departamento de Recursos Humanos na segurança corporativa.

Em base a estatística de que a grande maioria dos incidentes com a informação é proveniente de vulnerabilidades que são exploradas (consciente ou inconscientemente) por pessoas, seja no mau uso de software, desconhecimento de regras de segurança ou liberação proposital de informações confidenciais, fica fácil perceber como é importante e indispensável a participação deste mediador – o departamento de RH - na consolidação de um plano de ação para a implementação e manutenção dos controladores culturais, o que chamamos de “organizacional culture”, no ambiente corporativo.

A participação do departamento de Recursos Humanos inicia na definição dos requisitos de segurança para a identificação de cargos críticos, funções, regras e responsabilidades. Parece pouco? Nunca uma sentença tão curta teve um sentido tão amplo.

Pela identificação de cargos, mapeamos todas as atividades críticas que possuem elevada importância no trato da informação, ou contato indireto com ambientes que possam estar vulneráveis a atividade humana. Por exemplo, mapeando o departamento de informática podemos identificar que alguns operadores possuem acesso completo ao sistema de gestão integrada – sistema considerado por processar informações sigilosas. Outro exemplo de função crítica, mesmo que indiretamente relacionada à segurança, é o pessoal responsável pela limpeza da sala mantenedora dos servidores críticos para a organização, onde passar um pano sobre o equipamento pode significar desliga-lo e tirar a empresa de operação.

Sabemos então que, todos as posições de trabalho devem ser analisadas, levando em consideração: (a) contato com o ambiente onde há informação sigilosa e; (b) contato com a informação sigilosa.

Isto implica que devemos, na análise de cada cargo, determinar requisitos pessoais e profissionais específicos para identificar o perfil adequado de quem irá operar em determinada posição. Cada profissional deverá possuir uma definição formal do seu cargo, o nome do seu departamento, a quem ele se reporta em caso de incidente e como a segurança da informação se inclui nas suas responsabilidades de trabalho.

Nosso próximo passo será o de selecionar dentre os candidatos à vaga, aquele que melhor corresponde às necessidades observadas durante a definição do perfil (planejamento). Baseado na ISO/IEC 17799 listarei abaixo algumas das melhores práticas aplicadas a esta tarefa, segue:

a) Verificar pelo menos uma referência profissional e pessoal
b) Confirmar qualificação acadêmica
c) Avaliar conhecimento necessário para a colocação oferecida
d) Verificar documento de identificação (identidade, passaporte e etc.)
e) Verificar crédito (em caso de envolvimento em atividade financeira)

Além dos pontos indicados acima, será necessário estabelecer um acordo de confidencialidade. Este acordo é um assunto que deve ser tratado com especial cuidado – determinará a conduta do colaborador no manuseio da informação. Para que este acordo possua uma boa fundamentação, faz-se necessário o desenvolvimento de uma política de classificação da informação corporativa. Outro documento indispensável é o termo de responsabilidade sobre a propriedade, custódia e o uso e da informação.

Lembre que estes documentos devem ser aplicados também ao colaborador casual e ao prestador de serviço. Em caso de alteração nos termos do contrato, deve haver uma revisão noo acordo de confidencialidade e no termo de responsabilidade sobre a informação. Estes documentos devem ser armazenados na pasta funcional do colaborador, junto com outras informações que interessarem à organização.

Todos os colaboradores deverão passar por um treinamento antes de iniciarem suas atividades na empresa. Estes treinamentos devem ser formatados em vários níveis, dependendo sempre da área em que o colaborador atuará: inclui desde a equipe de vendas até o administrador do banco de dados. Recomendo, de maneira global, que os itens abaixo sejam abordados durante o treinamento:

a) Classificação, manuseio e descarte de informações
b) Acesso aos sistemas
c) Vírus de computador
d) Backup
e) Utilização de softwares não licenciados
f) Uso da internet
g) Uso do e-mail
h) Engenharia social
i) Uso de notebooks
j) Segurança física e ambiental

Este treinamento deverá servir também como apoio à divulgação da política de segurança da informação.

Existem também procedimentos utilizados quando do desligamento do colaborador, mas deixarei este assunto para um próximo artigo. A participação do departamento de Recursos Humanos na segurança corporativa é um assunto que permite diversos desdobramentos, poderia ainda escrever sobre o processo de resposta a incidentes, sobre o fluxo de desativação do acesso do usuário quando do seu desligamento, métricas qualitativas e quantitativas de aderência dos colaboradores às regras de segurança da organização, processos disciplinares e outros.

Para que possamos sustentar a necessidade da inserção destes controles processuais dentro da nossa organização, devemos objetivá-los muito claramente, significa compreender que a contratação, o treinamento e a manutenção do recurso humano são fatores críticos na redução de riscos de erros humanos, roubo, fraude e até mesmo o uso indevido de recursos relacionados à informação.

Espero que este pequeno artigo seja verdadeiramente útil aos gestores de segurança da informação, fico à disposição para a troca de idéias, afinal de contas ainda estamos longe de esgotar este assunto.

No comments: