Por Matheus Kozuki, analista de segurança da informação da DB1 Global Software*
Nos dias de hoje a informação pode ser vista como um bem básico, assim como a eletricidade, pois sem ela inúmeros negócios simplesmente não conseguiriam operar. Infelizmente, no mundo em que vivemos, a informação é muito mais vulnerável do que outros bens, é muito improvável que ações de um adolescente revoltado de um outro continente possam afetar o suprimento energético de uma organização. O mesmo não pode ser dito quanto a disponibilidade, integridade e confidencialidade dos recursos de informação. Faz-se necessário que a organização garanta a continuidade desses recursos através da proteção desses ativos de informação.
A segurança da informação consiste de vários processos visando garantir esta proteção, e alguns destes, uma vasta quantidade, são dependentes do comportamento cooperativo de pessoas. Colaboradores, seja de forma intencional ou por negligência, comumente devido à falta de conhecimento, são as maiores ameaças à segurança da informação. Sem o nível adequado de cooperação e conhecimento, muitas técnicas de segurança ficam sujeitas ao mau uso ou interpretação equivocada, resultando em medidas adequadas de segurança se tornando inadequadas. Assim, a estratégia de segurança da informação de uma empresa deve endereçar este “fator humano”.
O estabelecimento de uma cultura de segurança da informação é necessário para uma segurança efetiva da informação, onde a organização consiga compreender os colaboradores mais como um ativo de segurança do que um risco. Para entendermos essa cultura de segurança, tentaremos compreender um pouco sobre cultura corporativa.
Cultura corporativa
A cultura corporativa pode se traduzir no “jeito como as coisas são feitas” em uma organização, são os valores e crenças compartilhadas pelas pessoas. A cultura pode ser entendida como a soma de todas as premissas compartilhadas, tomadas como certas, que um determinado grupo aprendeu ao longo do tempo e que direcionam as atividades dentro de uma organização. Entretanto, uma melhor forma para pensarmos em cultura é analisar os diferentes níveis nos quais ela existe:
- Nível 1 – Artefatos: é tudo o que pode ser observado, visto, escutado ou sentido em uma organização, compreende todas as estruturas visíveis e processos. Todavia, isto não é suficiente para explicar o porquê os membros de uma organização se comportam como o fazem. É necessário entender níveis mais profundos.
- Nível 2 – Valores defendidos: são as razões por trás dos artefatos observados. Esse conjunto de valores compreende o ponto de vista oficial da organização. Ainda assim, duas empresas com valores semelhantes possuem artefatos completamente diferentes, isso se dá por causa da existência de um nível ainda mais profundo.
- Nível 3 – Pressupostos compartilhados: Esses pressupostos se desenvolvem em qualquer organização de sucesso. Geralmente se formam nos primeiros anos, devido ao sucesso de certas estratégias. Se estratégias baseadas em certos valores e crenças continuam a atingir o sucesso, esses valores e crenças se tornam pressupostos sobre a natureza do mundo e como obter sucesso nele, compreendendo assim a essência da cultura. Crenças, no que se diz respeito às convicções que um grupo de pessoas tem sobre o mundo e como ele funciona. Já os valores remetem à pressupostos básicos que uma comunidade julga valer a pena perseguir.
A cultura corporativa de qualquer organização é o resultado destes três níveis. Ao seu nível mais básico e mais difícil de quantificar, os membros da organização compartilham certas crenças e valores, tais pressupostos compartilhados atuam como um tipo de filtro, afetando como os indivíduos executam suas atividades diárias. Isso também influência como esses indivíduos interpretam as políticas e como os procedimentos são implementados. Essas políticas fazem parte dos valores defendidos da organização, podendo ser vistos como uma contribuição visível da alta gestão para a cultura da empresa. Estes valores defendidos atuam, até um certo ponto, como um direcionamento cultural, mas a interpretação dessa direção é extremamente dependente dos pressupostos tácitos compartilhados.
Para a Segurança da Informação, estes três níveis se aproximam muito aos aspectos comportamentais do fator humano, sendo este composto de duas dimensões, conhecimento e comportamento. Devido a codependência destes fatores torna-se impossível de se ignorar o impacto que a falta de conhecimentos relacionados à segurança da informação teria em uma subcultura organizacional de segurança da informação.
Cultura de segurança da informação
De forma simples, a cultura de segurança da informação pode ser entendida como o conjunto de valores, crenças e conhecimentos existentes em uma organização que levam, direcionam e guiam as pessoas para performarem suas atividades de uma forma segura.
Em definições comuns de cultura organizacional os conhecimentos relacionados à um trabalho específico são geralmente ignorados, pois se assume que o colaborador tem os conhecimentos necessários para a execução do seu trabalho. No caso de Segurança da Informação, o conhecimento requisitado não é necessariamente preciso para desempenhar o trabalho “normal” do colaborador. Geralmente, este conhecimento só é um requisito quando é necessário desempenhar o trabalho “normal” do colaborador de uma forma que seja consistente com boas práticas da segurança da informação. Para fundamentar esse tipo de cultura faz-se necessário a seguinte premissa:
Não se pode assumir que o colaborador normal possua o conhecimento necessário para desempenhar seu trabalho de forma segura.
Assim, para que uma organização tente nutrir uma subcultura de segurança da informação, faz-se necessário a existência de conhecimento em um nível adequado para que qualquer atividade seja desempenhada de uma forma consistente e condizente com as boas práticas de segurança da informação. Desta forma, este conhecimento ou a falta dele pode ser visto como o quarto nível de uma cultura de segurança da informação que afetará os demais níveis. Por exemplo:
- Nível 1 – Artefatos: Sem as proficiências e habilidades necessárias seria impossível realizar atividades relacionadas à informação com segurança. Assim, os colaboradores precisam ter conhecimento suficiente do como performar suas atividades de forma segura.
- Nível 2 – Valores defendidos: Para se criar e manter políticas, o colaborador ou a equipe responsável pelo rascunho da política deve saber o que incluir em tal política para que as necessidades de segurança da informação sejam satisfeitas.
- Nível 3 – Pressupostos tácitos compartilhados: Caso um controle de segurança entre em conflito com algum valor defendido, é necessário o conhecimento do porquê deste controle específico, podendo ter um papel importante para garantir a conformidade.
Conclusão
Em uma cultura de segurança da informação, o conhecimento fundamenta e suporta todos os níveis da cultura organizacional. Sem o conhecimento adequado, a segurança da informação não pode ser garantida. A codependência entre os três níveis normais de uma cultura de segurança da informação e o conhecimento, seu quarto nível, implica que cada um destes quatro níveis terão um impacto no quão “seguro” a cultura geral de segurança de informação será.
——————–
*Matheus Kozuki é graduando em Engenharia de Software pela UniCesumar. Faz parte da equipe de Qualidade da DB1 Global Software, atuando como Analista de Segurança da Informação. Se interessa por infosec, cybersecurity, ilustrações e animações.