Política de Segurança: Uma abordagem humanaIntrodução
Muito já foi dito sobre este assunto, porém sempre é válido lembrar que uma política de segurança eficaz deve levar em consideração todos os aspectos que envolvem o sistema. E um dos pontos mais difíceis de “controlar”, e por este motivo, o que mais está sujeito à falhas, é a postura dos seus funcionários diante da política da empresa.
Pouco ou nada adianta adquirir softwares e hardwares modernos e seguros se dentro da sua empresa somente você está preocupado com a segurança. A política de segurança só é eficaz se é abraçada por todos. Todos têm que ter ciência que um pequeno buraco na segurança já inviabiliza a confiabilidade do sistema inteiro.
Seguem algumas dicas de como você, que está implantando uma política de segurança na sua empresa, deve-se dirigir ao “peopleware” dela.
Faça o que eu digo e faça o que eu faço
O maior exemplo, logicamente deve vir de você mesmo. A sua senha, por exemplo, não deve ser de conhecimento de ninguém, nem do seu auxiliar. Se você tiver uma pessoa de confiança que te ajuda nas horas de aperto, dê mais direitos a ela, mas nunca compartilhe a sua senha. Você deve insistir na necessidade de que cada funcionário tenha sua senha secreta; e como você vai poder exigir isto de todos, se você mesmo não faz.
Outro exemplo importantíssimo é o da chefia. Você deve dar uma atenção especial aos chefes, gerentes e líderes. Além de serem estes seus futuros aliados na fiscalização e aplicação da política de segurança, se as falhas partirem deles, logo se espalharão por todos os seus subordinados.
Você já imaginou, então, se o presidente da sua empresa é o maior rebelde? Se isso acontecer você pode desistir da sua política de segurança, pois se o maior interessado ignora as regras, todos vão ignorar também.
O Fim do mundo está chegando
Exagerar as possibilidades não é uma boa estratégia. Tente criar exemplos dos prejuízos que a empresa pode tomar baseado em dados reais de faturamento ou vendas, ou citando bases existentes, descrevendo o esforço real para reavê-las em caso de perdas.
O intruso veio de Kripton
Trate o hacker, ou o vilão, como uma pessoa normal, com inteligência mediana, mas com vasta experiência em descobrir falhas no sistema. Criar a imagem do hacker de uma pessoa com inteligência inigualável, como se ele fosse um ser humano anormal, um extraterrestre, é prejudicial. Com certeza alguém vai perguntar como ele, um simples humano poderia lutar contra o super-homem.
η γη που μεγαλώνει τους – Não fale grego
Ao falar com os funcionários da sua empresa, use os termos técnicos somente quando for extremamente necessário. O uso de termos técnicos em qualquer palestra, na maioria das vezes, faz com que o espectador perca o interesse pelo assunto principal. Utilize termos simples, tais como: invasão, sobrecarga de tráfego provocada, vírus, etc...
Seja um grande amigo
Deixe que as normas ou regras de segurança sejam impostas pela diretoria da sua empresa, ao final do seu trabalho. A sua imagem perante os funcionários deverá ser de colaborador e não de chefe. É de seu interesse que os funcionários o aceitem como amigo e confidente, e não como chefe ou delator, assim você poderá encontrar, mais facilmente, falhas nas regras ou indisciplinas de conduta.
Peça para que eles não dêem informações a qualquer um
Acontece em alguns casos, de o invasor, ao planejar um ataque, queira algumas informações específicas sobre os hardwares e softwares da sua empresa. E para isso eles telefonem ou mandem email para conseguí-las. Por inocência os funcionários acabam dando informações que aparentemente só interessariam a sua empresa, mas são um prato cheio para os crackers.
Não dê informações privadas e não peça para que ninguém as forneça a alguém, mesmo que essas informações pareçam ser inofensivas.
O governo ou as entidades responsáveis pela organização da internet no Brasil não fazem contato com as empresas, para pedir informação, por telefone. Sempre que você ou alguém da sua empresa receber este tipo de ligação, desconfie.
Se aconteceu com o vizinho, relate
Relate aos funcionários sempre que for noticiada uma invasão em alguma empresa conhecida, ou concorrente. Assim você estará refrescando na memória deles todo o planejamento feito.
Resumo
Política de segurança é um trabalho de equipe, onde todos devem ser convidados a participar. Não se faz política de segurança impondo leis ou normas. Transforme as leis em convites de colaboração e participação. Faça a preocupação com a segurança de redes dentro de sua empresa ser uma coisa constante. Cole cartazes, insira mensagens na intranet, entre outros métodos publicitários que você dispõe. Boa sorte.
O Lockabit não compartilha necessariamente da mesma opinião do autor.