Home > Gestão

A lição do furto na Petrobras

Segurança é um processo que vai além de normas e tecnologias. Envolve pessoas e interesses

Marina Pita

20/02/2008 às 13h42

cadeado01_int.jpg
Foto:

O furto dos computadores da Petrobras coloca mais uma vez em evidência a necessidade de uma política de segurança mais complexa do que a simples publicação de normas. 

Para Pedro Bicudo, da Consultoria TGT, é hora de entender que essa politica vai além de cuidado com senhas, identificação digital ou qualquer outra tecnologia que proteja o disco rígido e anti-vírus. 

“Cada vez mais, as informações estão armazenadas em computadores em poder dos funcionários, mas também em poder de terceirizados e sub-contratados. Toda a gerência e disseminação da informação deve ser regulamentada. Os contratos de prestação de serviços podem e devem, por exemplo, incluir clausulas de indenização,” afirma Bicudo.

A gestão de segurança de TI melhorou muito desde 2001 até hoje, segundo Bicudo, por conta do aumento do número de multinacionais e da internacionalização de empresas brasileiras, que precisam se adaptar às regras internacionais – muito mais severas que as domésticas.

A maioria das companhias, no entanto, ainda não entende a segurança como um processo. “Muitas ainda restringem essa tarefa à publicação de normas de segurança. Mas essa é uma medida preventiva, insuficiente para garantir a segurança de dados e informações valiosos.”

De acordo com o consultor, as empresas que ainda se mantêm nesse patamar precisam reavaliar sua política com urgência. “Espionagem industrial existe e é cada vez mais comum. É preciso conhecer as vulnerabilidades para prevenir-se contra essa e outras ameaças mais simples, como o roubo de dados pessoais.”

O processo de segurança de TI, de acordo com a TGT, inclui três passos (ver figura no final da página). O primeiro deles é avaliar quais são as ameaças e criar normas para evitá-las. É a parte legislativa do processo e requer a divulgação da política de prevenção da forma mais clara possível para que seja executada.

Em segundo, é preciso estabelecer uma rotina para reavaliar as normas. “Monitorar e corrigir as normas, pratica já menos comum entre as empresas,” aponta Bicudo. Em terceiro lugar, a TI precisa verificar a aplicação das normas. “É preciso que se faça não só uma auditoria dos equipamentos, mas também das pessoas. E para completar, a auditoria das normas.”

 De acordo com Bicudo, no dia-a-dia é comum que as pessoas minimizem as necessidades de segurança. “Digamos que uma informação só pode ser acessada com a identificação biométrica de duas pessoas. Elas podem ficar cansadas de repetir aquela operação no dia-a-dia e simplesmente burlar a norma,” admite.

 seguranca-tgtFigura:

 

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail