Por Matheus Kozuki 26/10/2019
Nos dias de hoje a informação pode ser vista como um bem básico, assim como a eletricidade, pois sem ela inúmeros negócios simplesmente não conseguiriam operar. Infelizmente, no mundo em que vivemos, a informação é muito mais vulnerável do que outros bens, é muito improvável que ações de um adolescente revoltado de um outro continente possam afetar o suprimento energético de uma organização.
O mesmo não pode ser dito quanto a disponibilidade, integridade e confidencialidade dos recursos de informação. Faz-se necessário que a organização garanta a continuidade desses recursos através da proteção desses ativos de informação.
A segurança da informação consiste de vários processos visando garantir esta proteção, e alguns destes, uma vasta quantidade, são dependentes do comportamento cooperativo de pessoas. Colaboradores, seja de forma intencional ou por negligência, comumente devido à falta de conhecimento, são as maiores ameaças à segurança da informação.
Sem o nível adequado de cooperação e conhecimento, muitas técnicas de segurança ficam sujeitas ao mau uso ou interpretação equivocada, resultando em medidas adequadas de segurança se tornando inadequadas. Assim, a estratégia de segurança da informação de uma empresa deve endereçar este “fator humano”.
O estabelecimento de uma cultura de segurança da informação é necessário para uma segurança efetiva da informação, onde a organização consiga compreender os colaboradores mais como um ativo de segurança do que um risco. Para entendermos essa cultura de segurança, tentaremos compreender um pouco sobre cultura corporativa.
Cultura corporativa
A cultura corporativa pode se traduzir no “jeito como as coisas são feitas” em uma organização, são os valores e crenças compartilhadas pelas pessoas. A cultura pode ser entendida como a soma de todas as premissas compartilhadas, tomadas como certas, que um determinado grupo aprendeu ao longo do tempo e que direcionam as atividades dentro de uma organização. Entretanto, uma melhor forma para pensarmos em cultura é analisar os diferentes níveis nos quais ela existe:
Nível 1 – Artefatos: é tudo o que pode ser observado, visto, escutado ou sentido em uma organização, compreende todas as estruturas visíveis e processos. Todavia, isto não é suficiente para explicar o porquê os membros de uma organização se comportam como o fazem. É necessário entender níveis mais profundos. Nível 2 – Valores defendidos: são as razões por trás dos artefatos observados. Esse conjunto de valores compreende o ponto de vista oficial da organização. Ainda assim, duas empresas com valores semelhantes possuem artefatos completamente diferentes, isso se dá por causa da existência de um nível ainda mais profundo. Nível 3 – Pressupostos compartilhados: Esses pressupostos se desenvolvem em qualquer organização de sucesso. Geralmente se formam nos primeiros anos, devido ao sucesso de certas estratégias. Se estratégias baseadas em certos valores e crenças continuam a atingir o sucesso, esses valores e crenças se tornam pressupostos sobre a natureza do mundo e como obter sucesso nele, compreendendo assim a essência da cultura. Crenças, no que se diz respeito às convicções que um grupo de pessoas tem sobre o mundo e como ele funciona. Já os valores remetem à pressupostos básicos que uma comunidade julga valer a pena perseguir.
A cultura corporativa de qualquer organização é o resultado destes três níveis. Ao seu nível mais básico e mais difícil de quantificar, os membros da organização compartilham certas crenças e valores, tais pressupostos compartilhados atuam como um tipo de filtro, afetando como os indivíduos executam suas atividades diárias. Isso também influência como esses indivíduos interpretam as políticas e como os procedimentos são implementados.
Essas políticas fazem parte dos valores defendidos da organização, podendo ser vistos como uma contribuição visível da alta gestão para a cultura da empresa. Estes valores defendidos atuam, até um certo ponto, como um direcionamento cultural, mas a interpretação dessa direção é extremamente dependente dos pressupostos tácitos compartilhados.
Para a Segurança da Informação, estes três níveis se aproximam muito aos aspectos comportamentais do fator humano, sendo este composto de duas dimensões, conhecimento e comportamento. Devido a codependência destes fatores torna-se impossível de se ignorar o impacto que a falta de conhecimentos relacionados à segurança da informação teria em uma subcultura organizacional de segurança da informação.
Cultura de segurança da informação
De forma simples, a cultura de segurança da informação pode ser entendida como o conjunto de valores, crenças e conhecimentos existentes em uma organização que levam, direcionam e guiam as pessoas para performarem suas atividades de uma forma segura.
Em definições comuns de cultura organizacional os conhecimentos relacionados à um trabalho específico são geralmente ignorados, pois se assume que o colaborador tem os conhecimentos necessários para a execução do seu trabalho. No caso de Segurança da Informação, o conhecimento requisitado não é necessariamente preciso para desempenhar o trabalho “normal” do colaborador. Geralmente, este conhecimento só é um requisito quando é necessário desempenhar o trabalho “normal” do colaborador de uma forma que seja consistente com boas práticas da segurança da informação. Para fundamentar esse tipo de cultura faz-se necessário a seguinte premissa:
Não se pode assumir que o colaborador normal possua o conhecimento necessário para desempenhar seu trabalho de forma segura.
Assim, para que uma organização tente nutrir uma subcultura de segurança da informação, faz-se necessário a existência de conhecimento em um nível adequado para que qualquer atividade seja desempenhada de uma forma consistente e condizente com as boas práticas de segurança da informação. Desta forma, este conhecimento ou a falta dele pode ser visto como o quarto nível de uma cultura de segurança da informação que afetará os demais níveis. Por exemplo:
Nível 1 – Artefatos: Sem as proficiências e habilidades necessárias seria impossível realizar atividades relacionadas à informação com segurança. Assim, os colaboradores precisam ter conhecimento suficiente do como performar suas atividades de forma segura. Nível 2 – Valores defendidos: Para se criar e manter políticas, o colaborador ou a equipe responsável pelo rascunho da política deve saber o que incluir em tal política para que as necessidades de segurança da informação sejam satisfeitas. Nível 3 – Pressupostos tácitos compartilhados: Caso um controle de segurança entre em conflito com algum valor defendido, é necessário o conhecimento do porquê deste controle específico, podendo ter um papel importante para garantir a conformidade.
Conclusão
Em uma cultura de segurança da informação, o conhecimento fundamenta e suporta todos os níveis da cultura organizacional. Sem o conhecimento adequado, a segurança da informação não pode ser garantida. A codependência entre os três níveis normais de uma cultura de segurança da informação e o conhecimento, seu quarto nível, implica que cada um destes quatro níveis terão um impacto no quão “seguro” a cultura geral de segurança de informação será.
*Por Matheus Kozuki é graduando em Engenharia de Software pela UniCesumar. Faz parte da equipe de Qualidade da DB1 Global Software, atuando como Analista de Segurança da Informação. Se interessa por infosec, cybersecurity, ilustrações e animações.