Como não implementar medidas de segurança - Parte 2

Na primeira parte desta série eu falei sobre como a postura do profissional de segurança pode influenciar na resistência que ele enfrentará durante a implementação de políticas e controles. Nesta segunda parte, darei um foco maior nos aspectos práticos deste processo.

Toda discussão sobre redução de resistências a medidas de segurança deve, na realidade, começar por uma avaliação da autoridade que as medidas inspiram. Você até pode, eventualmente, com muita capacidade de persuasão e liderança conseguir resultados interessantes em termos de cooperação sem ter o apoio da alta administração da organização onde você atua, mas certamente terá muito mais trabalho.

As medidas de segurança são inerentemente impopulares, pois, na grande maioria dos casos, elas se parecem com desperdício de tempo e recursos. Pense numa trava de carro. Você poderia simplesmente estacionar o carro, desligá-lo e trancá-lo, sem colocar a trava. Se você fizer isso, as chances de furto são maiores. Se você colocar a trava, serão menores. Entretanto é perfeitamente possível que vários anos se passem até que você possa ver a trava apresentando eficiência, ou pode ser que você nunca veja. Mas o que você vê todos os dias é que, se você perder 3 minutos por dia colocando e tirando a trava, você perde um dia útil inteiro por ano apenas fazendo isso. Algo que certamente se parece com puro desperdício de vida. A grande falta de visão aqui é achar que, porque nunca ninguém tentou roubar seu carro, a trava é algo desnecessário. Certamente uma das principais razões pelas quais seu veículo nunca sofreu uma tentativa de furto é justamente a trava. Ela também funciona desencorajando tentativas de furto.

É por isso que muitas pessoas colocam as travas. No geral, elas são eficazes. Vale a pena gastar um dia útil por ano para prevenir uma perda centenas de vezes superior. Mas alguém que tem a autoridade para tal deve definir isso, pois nem todos conseguem perceber voluntariamente. Pense em 10 minutos de desperdício diários de um vendedor em uma equipe de 30 pessoas com um salário de 1000 reais. Se considerarmos que o custo real do funcionário em virtude dos encargos é o dobro disso, chegamos a um desperdício anual de cerca de R$21.500,00, o que representa cerca de 3% da folha de pagamento. Um diretor comercial jamais vai aceitar pacificamente tamanho impacto em termos de custos e resultados. Você pode até tentar convencê-lo de que no longo prazo é melhor ter os controles, pois eles estarão prevenindo perdas. Mas ele está sendo cobrado por um resultado de curto prazo, normalmente uma meta mensal de vendas, e não vai te dar ouvidos por razões óbvias.

Logo, alguém acima dele deve apoiar e exigir as medidas de segurança, senão seus esforços vão custar a trazer resultados. Dependendo do tamanho da empresa, essa pessoa pode ser o próprio presidente, mas o ideal é que haja um grupo de pessoas na alta administração apoiando as iniciativas de segurança. Essa recomendação está explícita na NBR ISO/IEC 27002 (antiga 17799). As responsabilidades principais deste grupo são exigir compromisso dos colaboradores e prover recursos adequados. Em uma grande empresa de capital aberto, o ideal é que este grupo seja um comitê executivo multidisciplinar, representando os principais departamentos. Um de seus primeiros trabalhos será aprovar um conjunto de diretrizes básicas que formariam o primeiro documento de uma Política de Segurança da Informação. Essas diretrizes devem definir o escopo da SI e as responsabilidades das pessoas envolvidas. Por terem sido aprovadas pelo comitê, sua publicação é uma manifestação clara de apoio às iniciativas de segurança. Todas as normas e procedimentos que serão posteriormente definidos buscarão respaldo nessas diretrizes. Dessa forma, elas se tornam uma espécie de carta branca formal que dá poderes ao gestor de SI para definir e implementar as medidas necessárias.

Porém, isso funciona apenas na teoria. Na prática, por mais que o departamento de segurança tenha crédito, ele vai enfrentar todos os tipos de resistências possíveis e imagináveis que ainda demandarão muito esforço para serem reduzidas. O passo seguinte seria buscar compreender como funcionam os departamentos da empresa de forma a sugerir controles que reduzam riscos inaceitáveis, mas que ao mesmo tempo não sejam um empecilho injustificável aos processos de negócio. Nem sempre é possível buscar este equilíbrio. Mas se você não se aproximar dos departamentos para entender como estes funcionam, sofrerá uma resistência a priori. Qualquer tentativa de elaborar procedimentos de segurança para um departamento cujo funcionamento você não conhece será julgada autoritária e prepotente.

Envolver os gestores dos departamentos tem também outra vantagem importante. Uma vez que eles tenham participado do processo de elaboração, a probabilidade de haver cobrança para com os seus respectivos subordinados é maior. Dessa forma, o que faremos é preparar multiplicadores para a fase posterior ao desenvolvimento das políticas, que envolverá a conscientização a respeito delas.

Nessa interação, você encontrará pelo menos três tipos de situação em termos de acordo entre a área de SI e o departamento:

SI quer e o departamento concorda: Esse tipo de situação não é das mais freqüentes. Entretanto, incluímos aqui também os controles que foram aceitos a contragosto, mas que não geraram forte reação, seja porque os departamentos afetados não se importam ou porque a uma postura contrária seria injustificável.

SI quer e o departamento não concorda: Essa é aquela situação que gerará discórdia e brigas políticas. Embora caiba a SI determinar os controles, isso não significa que todos serão aprovados, pois eles normalmente passam pelo crivo do comitê executivo como veremos mais à frente. Existem batalhas que não valem a pela. Outras, entretanto, têm validade, por isso você não vai querer perdê-las. Deixe para lutar por elas onde você tem mais chances de ganhar. Geralmente essa batalha seria travada dentro do comitê executivo, no momento da aprovação do conjunto completo de controles, onde você estará cheio de argumentos válidos e o seu adversário nem tanto, pois ele não poderá manifestar uma postura radicalmente contra a segurança da informação em um comitê cuja responsabilidade é justamente prezar pela proteção.

Os departamentos não concordam, mas a lei exige: Esse seria uma subcategoria da situação anterior, com uma diferença importante. Se a legislação exige um controle, a sua implementação não está aberta a questionamento, pelo menos em teoria, então jogue a responsabilidade para o comitê executivo. Documente que o controle foi recomendado conforme exigência legal e traga os argumentos necessários. Caso ele não seja aprovado, você está pessoalmente protegido contra futuros questionamentos, ou mesmo problemas jurídicos.

Não é possível, nem é desejável, vencer todas as batalhas. Escolha corretamente quais são aquelas que você vai querer travar. Em todas elas, acho que vale bastante um provérbio africano que se popularizou por descrever a política externa americana durante a presidência de Theodore Roosevelt: “quando visitar seu adversário, fale em voz baixa, mas leve um grande porrete nas mãos”. O porrete da área de SI é o apoio da alta administração para com as medidas de segurança. A fala mansa é a propensão ao diálogo com aqueles que serão afetados pelas medidas.

Para ter sucesso durante esse processo de elaboração, é importante não perder nenhuma das duas coisas. Perdemos o apoio da alta administração quando temos dificuldade de manter a visão do negócio, ou seja, a capacidade de ter argumentos plausíveis de que aqueles controles têm uma boa relação custo/benefício. Para isso é de fundamental importância a execução de uma análise de riscos, mostrando de maneira impessoal que a ausência dos controles que você está sugerindo submetem a empresa a riscos que ela própria considera inaceitáveis. Para não perder a fala mansa, é importante ter paciência para compreender e negociar previamente os controles com as áreas de negócio. Se você perder este apoio de base, vai chegar desgastado ao comitê para aprovar os controles. Não esqueça que todos aqueles gestores têm um superior imediato, cuja probabilidade do mesmo estar no comitê é grande. Embora essa pessoa apóie a segurança, seu compromisso com os subordinados é muito mais crítico para seu trabalho. Dessa forma, nunca se esqueça de ter sensibilidade e observar os detalhes.

Até aqui, eu procurei mostrar que para diminuir a resistência aos controles de segurança, o trabalho começa como uma avaliação prévia da sua própria postura profissional. Esses aspectos foram detalhados na primeira parte desta série. Aqui, eu discuti, na prática, como deve ser o ciclo de negociações e como obter o apoio necessário para conduzir este processo de maneira favorável à segurança. Por fim, mesmo a aprovação dos controles pelo comitê executivo de SI não encerra seus problemas. A última, e talvez a mais importante, de todas as fases será conscientizar os usuários a respeito da importância dessas medidas e conseguir colocar os estímulos necessários para obter os resultados esperados.

Esse último assunto será tratado na última parte desta série. Por hora, você pode ler este artigo que eu escrevi há alguns anos, sobre conscientização de usuários.