Articulista Convidado
Ricardo Castro
CISA, CFE, MCSO, CRISC, Professor e Auditor. Ricardo Castro é gerente de auditoria interna, membro do Comitê de Ciência e Tecnologia da OAB-SP e Professor. Tem mais de quinze anos de experiência em Segurança da Informação, Gestão de Riscos, Auditoria e Investigação de Fraudes Corporativas. É graduado em Tecnologia em Processamento de Dados e pós-graduado em Análise e Projeto de Sistemas. É palestrante e professor em cursos de MBA e Pós-Graduação nas disciplinas de Governança e Gestão de Riscos, Auditoria, Investigação e Prevenção de Fraudes, Introdução à Forense Computacional e Gestão por Processos. .
“Vamos trabalhar com a verdade.” – Uma crônica de Ano Novo
23/01/2012
Primeiramente, um feliz Ano Novo aos leitores do Information Week, e principalmente aos leitores do blog.
Queria iniciar o ano com uma reflexão que surgiu, vejam só, no jantar de ano novo e que tem muito a ver com meu desejo para os profissionais de segurança da informação em 2012.
Mas vamos aos fatos.
Famílias reunidas, muita comida na mesa, conversas cruzadas, alegria no ar e muitas crianças correndo pra lá e pra cá. Nada muito novo. Mas o que me chAamou a atenção foi a “cadeia de comando das crianças”.
A avó gritava “Joãozinhoooo, pára de correr senão vou chamar o Monstro.”, “Mariazinhaaaa, solta a fulana senão vou trazer o sapo.” Essas e outras pérolas foram ouvidas repetidamente sem efeito algum. Obviamente nem Sr. Monstro tampouco o Sr. Sapo foram convidados para as festividades, o que tirou o crédito da matriarca. Essa por sua vez não tinha fôlego nem energia para acompanhar o ritmo das crianças. Em pouco tempo ela era apenas uma voz a mais na algazarra infantil.
Quem realmente colocou alguma ordem e controle nos rebentos, de fato, foi uma prima. Não me perguntem de quem ela era prima, era gente demais na casa… Enfim.
A jovem tinha um jeito muito interessante de conversar e coordenar os infantes: mirava a criança, chamava num canto para uma conversa e, sem choro nem palmadas, a criança saía quietinha. Obviamente que essa tática foi repetida ao longo da noite, mas em doses cada vez menores. Em pouquíssimo tempo ela virou referencial de autoridade. As crianças queriam jogar videogame? Perguntavam para a menina. Queriam brincar de pega-pega? Perguntavam ANTES se podiam brincar. Pais curtiam a festa despreocupados. As crianças estavam sob controle.
Eu fiquei chocado.
Mas no final das contas, a abordagem da jovem foi a simples aplicação de algumas práticas vencedoras quando o tema é Programa em Segurança da Informação:
1. Não crie histórias de horror: os programas mais bem sucedidos em segurança da informação são os que endereçam a proteção dos dados de maneira realista e prática. Interessa muito pouco aos colaboradores a invasão ao site da NASA, mas quando a questão são os dados pessoais (ou até mesmo familiares) o cuidado passa a ser algo presente e real. Não se esqueça que uma história de horror pode virar um horror de história.
2. Monitorar e aplicar punição na medida: se existe uma política de segurança, mas não há monitoração de seu cumprimento, ela vale muito pouco (ou nada). A boa conduta deve ser incentivada e exaltada, mas o mau comportamento deve ser corrigido e, se for o caso, punido exemplarmente.
3. Abrir canais de comunicação: precisa haver diálogo para que vulnerabilidades identificadas pelos próprios usuários e dúvidas sejam esclarecidas pelos colaboradores da empresa. Essa proximidade faz da área de Segurança da Informação uma aliada, e não uma fiscalizadora que deve ser evitada.
Curiosamente em uma conversa entre adultos (tema não me lembro) a vovó solta a frase “A mentira nunca é boa. Vamos trabalhar com a verdade.” Talvez aí esteja o meu grande desejo para 2012.
Transformemos nosso discurso em ações para que, dessa forma, venhamos a nos tornar uma referência a ser seguida.
E para os interessados, eu tenho o contato da adolescente domadora de crianças, caso queiram uma ajuda em casa. ;o)
Ricardo Castro, CISA CFE CRISC
