Artigo: Tecnologia, Processos e Pessoas: Um olhar diferente sobre os 3 pilares da Segurança da Informação

Por: Ricardo Rodriguez*

Fugindo um pouco da abordagem de vários livros e sites, trago abaixo uma análise diferente sobre como olhar para esse tripé da Segurança da Informação citado constantemente em aulas, palestras, reuniões, eventos e demais meios onde esse tema se faz presente:

Tecnologia

Não importa o nível em que estamos, sempre serão lançadas ferramentas para combater novas ameaças. Não há herói sem vilão. O mercado precisa continuar vendendo produtos e serviços.

O que chega até nossas prateleiras é sucata do que militarmente já é velharia. Não foi assim que a “internet” surgiu e chegou até nós?!?!

Tendo por base esse pensamento, o esforço em relação a este pilar é ter budget para comprar soluções, como firewall, e capacitar os profissionais, nada muito diferente disso.

Processos

Em suma, resume-se a criar mecanismos que obriguem as pessoas a fazerem uso da tecnologia ou se comportarem de forma aceitável no que diz respeito às práticas recomendadas de Segurança da Informação.

É imprescindível ter documentos oficializados (ex: política de segurança da informação, termo de conduta, termo de confidencialidade dentre outros), bem como os processos e procedimentos da área de Segurança da informação registrados, divulgados, atualizados e constantemente disseminados pela empresa.

O esforço em se manter esse pilar fica por conta do suor de uma equipe/recurso interno ou externo, considera-se esta a base mais fácil de ser implementada/mantida pensando-se no tripé (Tecnologia+Processos+Pessoas).

Pessoas

Este é o pilar mais importante para se investir tempo, suor e dinheiro.

Historicamente, temos vários exemplos de grandes empresas sendo fraudadas e ou prejudicadas por causa de falhas humanas (intencionais ou não).

De nada adiantará ter as melhores tecnologias e todos os processos bem arquitetados na empresa se o funcionário não estiver engajado, se ele não estiver consciente de que faz parte e de que é responsável pela Segurança da Informação da empresa como um todo.

Um ataque de Engenharia Social é praticamente um tiro de bazuca para matar formiga, não há tecnologia ou processos que te protejam dele, somente a conscientização e o estado de alerta constante de todos os funcionários irá diminuir a superfície de ataque de um invasor.

*Ricardo Rodriguez é coordenador marketing da CorpFlex

Conheça mais sobre como podemos ajudar a sua empresa a melhorar a segurança da Informação. Clique Aqui!

Comentários