Home > Tendências

Informações sob controle

Gestores de TI e de segurança formalizam políticas e se apóiam em tecnologias e processos para garantir a confidencialidade e integridade dos dados corporativos

04/12/2006 às 22h38

Foto:

Conscientes de que o ponto mais vulnerável do ambiente corporativo são as pessoas (leia mais aqui), gestores de TI e de segurança buscam ferramentas tecnológicas para minimizar os riscos. Uma das alternativas em que os executivos estão apostando é a gestão de identidades, mecanismo que permite a criação de políticas de acesso de acordo com o perfil do usuário e, ao mesmo tempo, criam responsabilidade sobre a manipulação de informações.
Löic Hamon, CIO da GE para América Latina, garante que as políticas de acesso da corporação são muito rígidas, centralizadas e automatizadas. “É um esquema um pouco militar”, brinca o executivo. Na empresa, cada funcionário tem um código que é como o seu “DNA corporativo”, vinculado a todas as aplicações, e que deve ser redefinido anualmente. No Serasa, o processo é semelhante. Dourival Dourado, diretor de operações de telemática da instituição, explica que o sistema exige o uso de senhas fortes e atualizadas mensalmente. “Além disso, o usuário tem de se logar também com atribuições especificas dentro das diferentes aplicações”, detalha.
O trabalho, entretanto, deve ser feito em parceria com a área de recursos humanos. Ao menos é o que Anderson Cunha, CIO da Leroy Merlin, prega. “A área de RH sabe quem entra e quem sai da empresa, é que faz a ficha do funcionário e é também quem faz o cadastro de usuário nos sistemas”, afirma o executivo. “Existe ainda uma área de auditoria interna que é responsável pelo perfil de cada cargo e a que ele tem acesso no sistema.” Segundo ele, toda solicitação tem de passar por essa área, responsável por analisar e aprovar ou recusar de acordo com cada perfil. 
Por exigência da lei Sarbanes-Oxley, a Votorantim também passou a utilizar ferramentas de gerenciamento de identidades e, assim como na Leroy Merlin, a responsabilidade pela associação de cada profissional a um perfil e seu cadastramento fica com a área de recursos humanos. “Em casos de transferência entre departamentos ou entre empresas, ele automaticamente passa a ter um perfil de acordo com a nova função”, garante Fábio Faria, diretor de TI da Votorantim Industrial.

Aqui se faz, aqui se paga
Além do suporte tecnológico para manter a segurança dos dados, as companhias vêm se munindo de recursos jurídicos para proteger a integridade e a confidencialidade das informações – e para punir os responsáveis pelo uso indevido das mesmas.
Na General Motors, por exemplo, quarenta e oito funcionários foram demitidos em 2005 devido ao mal uso de recursos tecnológicos. Por trás das punições estão mecanismos de controle implementados pelas áreas de TI e segurança, como é o caso do sistema que identifica tudo o que é gravado dos sistemas corporativos em pen drives. “Eu não impeço o uso dos pen drives, seria uma loucura falar isso. Mas, se amanhã uma informação vaza para o mercado - e nós já tivemos casos assim –, eu tenho a capacidade de saber de onde, quando e como saiu”, explica Jorge Perez, CSO da montadora para a América Latina.
Faria afirma que, na Votoratim, o uso inadequado das informações também acarreta punições. “Você conscientiza para depois cobrar por isso”, dispara. Segundo ele, os resultados podem ir de uma advertência à justa causa, sempre com base em uma política de conseqüências definida. “A aplicação da punição depende da gravidade do fato. Mas já tivemos conseqüências graves”, garante.
Na seguradora Icatu Hartford, além de ferramentas tecnológicas e de políticas de conscientização, a engenharia social é utilizada para evitar que se tenha de chegar às últimas conseqüências. “Às vezes sorteamos duas ou três pessoas, ligamos no ramal e começamos a conversar para ver se o funcionário cede e passa a informação”, exemplifica Kleber Kerssner, CIO da empresa. “Quanto à documentação impressa, uma pessoa passa todos os dias pela manhã recolhendo tudo que sobrou na impressora e durante o dia entrega para o gestor do usuário que imprimiu. Assim vamos dando pequenos puxões de orelha”, conclui.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail