Ao mesmo tempo em que as informações são valoradas como o principal ativo das organizações, estas se encontram sob constante risco, como nunca estiveram antes. Informações operadas e guardadas em sistemas informáticos são recursos sob constante perigo e ameaças, tanto para a manutenção do negócio quanto para a tomada de decisões e o  planejamento estratégico da empresa. A segurança da informação é, um indicativo de  continuidade de negócio  nas organizações: quanto maior o  grau de  dependência da informatização, mais ampliada deve ser a sua infra-estrutura de segurança sobre instalações, equipamentos e pessoas, estabelecendo-se uma cobertura "ambiental".

Entendendo-se essa complexidade como um sistema estratégico para a empresa, é possível avaliar-se sua necessidade e entender suas estruturas. Inicialmente, deve-se entender que a Segurança em Tecnologia da Informação (T.I.) não deve estar restrita a sistemas de segurança de hardware e segurança de software, uma visão simplória de apenas configurar esses dois subsistemas num ambiente de segurança em TI, é manter o risco, já que existem outros fatores físicos , ambientais e humanos que interferem e interagem sobre o problema, e é exatamente aí que residem as maiores dificuldades em segurança.

Como não poderia deixar de ser, "pessoas fazem a diferença" e haja diferença nisso. Na maioria das vezes, a segurança em T.I. é uma proposta discutida, elaborada e implantada em nível vertical, com uma proposta emergencial e que envolve quase sempre a aplicação imediata e irrestrita de seus dogmas e normas, cabendo aos atores humanos, agregarem-se aos novos ditames. Mudanças e novas regras são determinadas e colocadas em ação, como um sistema perfeito e acabado que dependesse apenas das máquinas, infalível e exato e até um pouco "épico", numa visão salvadora da coletividade, a partir de alguns bravos e um pouco de arroubo, cujo mote é quase sempre a segurança em primeiro lugar...

Estudos realizados no exterior pelos mais significativos grupos e empresas de segurança no setor informático, mostram com grande evidência, que na maioria das vezes, estamos "dormindo com o inimigo". Ou seja, "ele"  não está lá ! " ele"

Está  "aqui " ! As agressões, ataques, fraudes, paralisações, sabotagens, danos e riscos operacionais em sua grande maioria são incrementadas dentro das organizações. Esse conjunto inclui desde os insatisfeitos e desajustados, passando por pessoal cooptado ou infiltrado por concorrentes, pessoas que representam o maior risco que um sistema em T.I. pode enfrentar.

Na estrutura contemporânea da divisão do trabalho, a informática resvala para todos os setores da empresa, e a cada dia absorve novas funções, reunindo em conjuntos de banco de dados e programas, todas as informações e formas de trabalho, dados e registros que interligando-se vão possibilitar o funcionamento da empresa. A informática na "terceira onda", como bem disse Toffler na década de oitenta, está para a empresa , como esteve para o sucesso da "segunda onda" a máquina a vapor e seus sucedâneos. Nesse ponto vale lembrar os "ludistas", um movimento surgido no velho continente que lutava bravamente contra as máquinas, chegando mesmo a invadir fábricas e destruir as máquinas, numa proposta de impedir a reorganização da mão-de-obra a partir do uso intensivo de maquinário. A resistência hoje se dá em novas conjunturas e precisa ser avaliada, visando o encadeamento de uma filosofia de segurança que perceba o risco e busque as intervenções necessárias.

Isso significa entender que as propostas de segurança para T.I. passam pelo aceite e pelo comprometimento da mão-de-obra em todos os níveis da organização. Nada mais engraçado ( e até cômico) do que estabelecermos todo um sistema de segurança da informação no interior da empresa, enquanto equipamentos em "palms" e Laps", vivem sendo perdidos e extraviados nas ruas, aeroportos, veículos de empregados e restaurantes, carregados de informações e dados, que permitem através da engenharia reversa, não só buscar os dados ali contidos , mas também obter um "perfil" indireto para novos ataques.

Tais fatos derivam de uma concepção tecnicista da segurança, que na visão de seus autores pode funcionar com um amontoado de normas escritas e uma grande dose  da vontade de acertar, porém ignorando conceitos estratégicos para a implantação e funcionamento real de um programa de segurança, que não raro, está até mesmo distanciado ou não inserido no conjunto da segurança empresarial, ou seja, programas, projetos e normas de segurança que não se comunicam, muitas vezes se sobrepõe e até conflitam entre sí, fazendo funcionar numa mesma organização "duas seguranças" ! Caso real dessa distorção, pudemos encontrar quando verificamos -dois- planos de proteção contra incêndio numa empresa. Um desenvolvido pela área de T.I., outro pela segurança empresarial,  completamente diferentes entre sí em termos estruturais, conceituais e operacionais, podendo gerar confusão quando da necessidade de sua operacionalização. O mais grave é que os dois tinham o aprovo da direção !

Ainda recentemente tivemos a oportunidade de observar numa organização de grande porte do setor comercial a prática desastrosa do modelo de "seguranças independentes", que em última análise foi a responsável por um gigantesco processo de retirada e "fuga" de informações da empresa. Ao final, restou a direção da empresa, assistir estupefata a um bate-boca entre áreas diversas da segurança, buscando "culpados". Em outra situação vivenciada, uma instituição bancária estava sofrendo seguidas perdas em seus sistemas de caixas automáticos, colocados em várias localidades externas, e discutiam a culpa entre a segurança de T.I. e uma empresa prestadora de serviços de apoio/suporte operacional, enquanto o trabalho que deveria estar sendo feito que era o de investigação e monitoração de alguns pontos e pessoas, não era realizado, deixando antever a falta de uma política  integrada de segurança que envolvesse a segurança empresarial.

A segurança em T.I., representa hoje uma verdadeira necessidade para a continuidade dos negócios e imagem da empresa, já que os serviços informatizados , quando sujeitos a fraudes e operações criminosas, acabam por levar a empresa ao descrédito, gerando danos irreparáveis e de custo elevado para a recuperação de clientes, devendo assim merecer uma atenção especial quanto a sua efetiva funcionalidade e atendimento as necessidades que se pretende atingir, sem perder de vista propostas de integração horizontal na área de segurança, bem como, a concepção de que existe a necessidade de ações de sensibilização, supervisão e monitoração de pessoas na organização que possam por em risco a segurança das informações.

Carlos Paiva
É Presidente do Comitê de Segurança Empresarial
da Agência Brasil de Segurança - ABS
E-mail: paiva@pointtrade.com