Home  >  Segurança

O que os funcionários adoram fazer que prejudica a segurança?

Conheça histórias de gestores de segurança e educadores sobre as atitudes preferidas dos funcionários e saiba o que eles fizeram para controlá-las ou minimizar as suas consequências.

Vinicius Cherobino

19/01/2009 às 8h00

Foto:

Insatisfeito com as restrições de segurança da faculdade, um
aluno desenvolveu um software. Chamado U2, o programa permitia o acesso a
qualquer porta do computador ao simular a passagem do tráfego pela port
80, de tráfego HTTP.

Em outras palavras, este aluno fazia tudo o que queria – navegava
sem restrições, instalava programas e, até, chegou a criar uma rede P2P que
funcionava 24 horas por dia.

A história é contada por Nilson Ramalho, instrutor do curso de
redes na Impacta e também gerente de suporte técnico da faculdade. Segundo ele,
o caso – acontecido 5 meses atrás – foi descoberto por conta do consumo na
banda e gerou mudanças na estratégia de defesa. “Depois disso, adotamos gestão
de identidade e acesso (IAM) para evitar problemas”, conta.

Vários outros incidentes deste tipo acontecem a todo o
momento em universidades e empresas. Acostumados a navegar e usar o computador livremente
em suas casas, os funcionários muitas vezes colocam as informações da empresa e a
própria corporação em risco por conta dos seus hábitos.

Confiram, em reportagem do IDG Now!, quais são os 8 erros mais comuns de segurança.

Sites maliciosos, pornografia, programas desconhecidos,
correntes de e-mail com ppts, pastas no servidor com mp3 e vídeos, portas abertas
no computador, etc, etc... A lista de comportamento hostil para segurança poderia
seguir indefinidamente.

cyber_security

Estratégia de defesa
O que o gestor de segurança ou o profissional de TI
responsável pela proteção pode fazer para contornar esses comportamentos?

Álvaro Teófilo, superintendente do Centro de Operações de
Segurança da Produban, empresa de Tecnologia do Grupo Santander Brasil, conta
a iniciativa do grupo para o controle do vazamento de informações. A estratégia
do banco pode ser encarada como uma maneira de estabelecer toda a política de
segurança da informação.

“Minimizar o risco de vazamento de informação tem três
dimensões: a definição das regras de manipulação de informações (por meio de
políticas organizacionais), a divulgação destas regras (que chamamos
de ‘planos de conscientização’) e a implantação de controles que permitam
minimizar incidentes e orientar as pessoas”, conta Teófilo, em entrevista
por e-mail.

Ramalho compartilha a idéia. Para ele, o maior desafio está
em deixar claro para os funcionários quais são as regras e que tipo de
comportamento é exigido. Depois, aconselha, é preciso apresentar as regras de
maneira clara e criar maneiras de garantir que ela está sendo cumprida. “Se a
regra de segurança não for auditada, ela cai em descrédito e não funciona. Só
ter a ferramenta não resolve”, defende.

Para Sergio Alexandre, coordenador do MBA de segurança da
informação na FIAP, a educação é o ponto principal para garantir a eficiência
da política de defesa. “Só assim os usuários não vão tomar decisões que podem
conflitar com a política de segurança. O papel do CSO é de facilitador, para
garantir que tudo aconteça da maneira correta, mas também opressor”, afirma.

Eterno conflito
Mesmo com a educação e as normas claras, o que nenhum
profissional de segurança pode esperar é plena aceitação.

Curiosidade é o motor do usuário, afirma Ramalho, ele quer
descobrir o porquê ele não pode acessar ou ter determinados comportamentos. “O
papel da pessoa de segurança é orientar o indivíduo e explicar as escolhas”,
acredita.

hacker

Outro problema comum é a vontade dos usuários de querer ajudar
os colegas de trabalho – driblando as políticas de segurança para isso. Conta
Teófilo: “O compartilhamento de logins, por exemplo, é um velho problema. Ao
tentar agilizar um processo, um funcionário cede o seu login para um colega. Se este colega realizar um mau uso do sistema, o funcionário que cedeu o login será responsabilizado”.

No final, a
relação entre funcionários ou alunos e profissionais de segurança será sempre
tensa. “O funcionário ou aluno passa por várias fases para aceitar as
restrições, de negação a fúria. O desafio do profissional de segurança é ter o apoio dos funcionários”, completa Ramalho.

Tags

Deixe uma resposta