Quando falamos de comportamento humano, estamos tratando de uma ampla dimensão de trabalho e resultados para empresas e instituições, trata-se de um conjunto de competências socioemocionais e intelectuais que determinam padrões e qualidade de pensamentos, palavras e ações em ambientes de vivência pessoal e profissional. – O que este conceito sobre comportamento humano tem a ver com segurança da informação? Continue lendo para descobrir!
A segurança da informação se consolida cada vez mais como uma prioridade para as organizações de qualquer porte e segmento, trata-se de um conjunto de princípios, diretrizes e práticas a serem compreendidos e vivenciados pelas pessoas para que a informação se mantenha disponível, segura e qualificada, o que possibilita a toda instituição seguir segura e com grande possibilidade de sucesso e reconhecimento de sua marca.
Pois bem, a segurança da informação se estabelece quando 5 princípios são reconhecidos e vivenciados pelas empresas e instituições, são os princípios da confidencialidade, integridade, disponibilidade, autenticidade, legalidade, que devem ser compreendidos e assumidos por todas as partes interessadas, em especial, pelos colaboradores e lideranças de uma empresa ou instituição. São estes princípios que constituem o alicerce de um sistema de governança e gestão corporativa capaz de gerar segurança da informação consistente.
Vale destacar que não é uma área de tecnologia da informação, ou uma área de controle interno ou, um fornecedor de TI, que deve ser titular da responsabilidade pela segurança da informação. Não é possível atribuir a um departamento ou mesmo a alguns departamentos essa responsabilidade e crer que se tenha obtido ação eficaz para proteger os ativos informacionais de uma organização. È responsabilidade de todos!
A segurança da informação começa quando todos os colaboradores, lideranças e demais partes interessadas vivenciam os princípios, valores, diretrizes e práticas orientadas por uma Política Corporativa de Governança, Gestão e Segurança da Informação. E é o princípio da integridade, que norteia o conjunto de princípios-alicerces da segurança da informação, e sobre esse e os demais princípios é que se evidencia a forte relação entre comportamento humano e segurança da informação.
Você vai gostar de Ler: Governança, Segurança da Informação e Resultados Empresariais. Sua empresa conhece bem esses processos?
De acordo com normas técnicas de referência brasileiras e internacionais sobre segurança da informação, integridade significa a garantia de que a informação se manterá da forma como foi criada ou atualizada pelo seu proprietário, mesmo mediante procedimentos técnicos de armazenamento e tráfego de dados, e que possa ser disponibilizada sem danos ou modificações, íntegra, em um sistema, plataforma, ambiente físico ou virtual.
Como garantir informações íntegras sem orientar, capacitar e engajar pessoas? – Não, não é possível. Por melhor que sejam as soluções de Tecnologias e de proteção com uso de tecnologias e soluções digitais de segurança, data centers robustos, cloud architecture and data governance, estes ambientes e respectivos processos de trabalho são gerenciados e operados por pessoas (operadores, administradores e superadmins), por mais investimentos em infraestrutura física, lógica e virtual que se faça, se seus colaboradores, fornecedores, parceiros e lideranças não estiverem devidamente orientados, capacitados e engajados, os riscos sempre serão extremos, caros e cada vez mais complexos de serem tratados.
Vale ressaltar que contratos e termos de compromisso e confidencialidade, acordos de responsabilidade técnica em documentos de políticas de segurança da informação e outros mecanismos formais, inclusive treinamentos durante o período de on boarding de colaboradores e fornecedores, são necessários e válidos, mas não são suficientes para mitigar comportamentos indesejados que ensejam riscos em segurança da informação.
Apresentamos algumas oportunidades, outra face da importante relação entre comportamento humano e segurança da informação em um mundo volátil, incerto, complexo, ambíguo, repleto de desafios e pressões:
- Melhoria de resultados operacionais;
- Influência na qualificação de fornecedores e parceiros de sua cadeia produtiva;
- Eficiência em processos e projetos;
- Capacidade gerencial e de governança para gerar serviços digitais;
- Processo de tomada de decisão mais consistente e transparente.
Resumindo as oportunidades: cadeias produtivas e de valor suportadas por informações seguras, ou melhor, íntegras, disponíveis, confidenciais, autênticas, legais, protegidas por privacidade e processos de auditoria.
São também oportunidades geradas pela relação entre comportamento humano e segurança da informação, tornar empresas e instituições reconhecidas publicamente, úteis à coletividade em função da confiança que se estabelece naquilo que comunica e relata às suas partes interessadas, internas e externas.
Oportunidades de melhoria de indicadores sobre responsabilidade ambiental, social e de governança é o que um sistema de governança e gestão pautado em segurança da informação viabiliza. Ter a credencial, “ESG”, significa estar no grupo de empresas prioritárias para receber investimentos conforme apontam as agências internacionais de análise de riscos de mercado.
Comportamentos de lideranças, gestores, equipes, fornecedores e parceiros são determinantes para o alcance e bom aproveitamento das oportunidades, explicamos a seguir.
A plena atenção e o respeito das lideranças às políticas corporativas de segurança da informação, servem como referencial contínuo para toda a organização. Imagine um diretor executivo, solicitar acesso a um banco de dados com mais de 100 milhões de registros, sendo destes: 50% dados pessoais, 30% dados pessoais sensíveis relativas a saúde e 20% dados críticos ao negócio que influem em 80% dos resultados operacionais da empresa, sem cumprir os procedimentos de segurança? Riscos de: uso indevido, de brechas para ataques cibernético, de vazamento de dados e consequentemente perdas que podem gerar danos irreparáveis financeiramente e na imagem da instituição.
Mas, aqui estamos falando das oportunidades e não somente dos riscos, por isso, se essa empresa estiver adequada aos processos de SI, o diretor, seguirá padrões no acesso, que permitirão a execução bem sucedida de suas análises sem o comprometimento da Segurança da instituição.
Em um modelo de gestão da segurança da informação estruturado com base nos princípios-alicerce já conhecidos, vamos encontrar em todos eles o comportamento humano como variável crítica, potencializadora de eventos positivos ou negativos, a depender da forma como estejamos priorizando-o como uma variável de crítica para alcance de resultados. Novamente perguntamos, comportamento humano e segurança da informação, a relação entre estas variáveis geram oportunidades ou riscos para sua empresa?
Para responder esta questão, é preciso observar primeiramente o comportamento das lideranças. Elas são inspiradoras? se comunicam com frequência, cumprem políticas, procedimentos, entregam o que prometem, atuam conforme os princípios e propósitos essenciais a qualquer organização séria? Com ética, transparência, diversidade, promovendo um ambiente produtivo com segurança da informação e segurança psicológica?
Vamos conversar sobre cada relação entre segurança da informação e as dimensões de atuação das lideranças em outros artigos, aqui, deixamos para sua reflexão, algumas interrogações positivas, provocadoras para que você e sua organização despertem para a oportunidade de valorizar o comportamento humano como uma dimensão prioritária a ser tratada como o mais valioso ativo de sua organização, o mais capaz de gerar resultados sustentados em curto, médio e longo prazos.
Não, de fato, não é fácil, mas sim, é possível, é viável e muito positivo com passos simples e contínuos chegarmos a grandiosas realizações e resultados.
Se ficou com alguma dúvida, estamos à disposição, mande-nos um e-mail.
Andréa Guimarães Nunes é fundadora da ALMATECH®, Consultora Especialista em Governança e Gestão, Mestre em Ciência da Informação, Especialista em Governança de TIC e em Gestão Estratégica de Negócios.
Dalva Azevedo Neiva é Cofundadora e Sócia da USE Tecnologias®, Coordenadora da ANPPD@ Regional DF, Membra do Comitê de Segurança da ANPPD®, DPO e Consultora de Privacidade de Dados Gestora de Riscos de Segurança e Privacidade