rhMuito se fala em controles na área de segurança da informação e muitas empresas esquecem de tratar um dos pontos mais fracos na garantia da segurança da informação. A contratação e manutenção de pessoas ou o conhecido recurso humano das empresas.

De acordo com a ISO 27002, demonstrando o controle 8, é informado que existem alguns passos importantes para a contratação de pessoas. O objetivo maior do controle da ISO 27002 é demonstrado no seguinte texto: “Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos”.

Precisamos dizer mais alguma coisa depois do texto acima? Quantas empresas vocês conhecem que levam o texto acima a sério na parte de recursos humanos? Conheço poucas, e digo mais, conheço empresas grandes, líderes em seu segmento de atuação e multinacionais que não tem essa tratativa, e muito menos isso explícito em suas políticas internas, o que considero uma temeridade. É necessário atribuir claramente papéis e responsabilidades, sem isto é impossível ter um controle claro da segurança ou no mínimo dos riscos inerentes a falta deste controle.

A seleção de pessoas propriamente dita é uma parte importantíssima na conformidade deste controle, pois o que vemos comumente hoje são contratações as pressas, sem critérios definidos e tentando de uma forma geral somente preencher a lacuna técnica da empresa, sem olhar para o lado “humano” do recurso a ser contratado, outro grande erro da área de recursos humanos E TAMBÉM da área de segurança da informação, se esta já existir na empresa.

É de extrema importância também, ter claramente definido na empresa termos e condições de contratação, como acordos de confidencialidade, responsabilidades da direção, controles e processos disciplinares, pontos para encerramento e mudança de contratação, e claro, políticas internas de segurança da informação, pois afinal de contas, como vamos cobrar algo que nunca foi passado para o “novo funcionário”? Não há como, concorda?

Com um controle claro e segmentado de uma política séria e coordenada para os recursos humanos, após o encerramento de contrato de trabalho, ainda assim existem passos e controles que devem ser seguidos, como controle de acesso retirado, devolução dos ativos disponibilizados (notebooks, celulares e afins).

Este breve post é para não nos esquecermos da importância, muitas vezes esquecida ou negligenciada pela área de recursos humanos, seja por “falta de tempo”, “falta de vontade” ou pior, “falta de conhecimento”, onde a responsabilidade é imediatamente transferido para o CSO ou o equivalente da área de segurança da informação, caso a mesma exista na empresa.

Devemos nos lembrar que o elo mais fraco da área de segurança da informação são as pessoas. Então por que negligenciar o primeiro contato com as mesmas, ou seja, as contratações?

Leia Também:

Compliance e Governança Corporativa garantindo credibilidade

Três etapas indispensáveis à criação de políticas para proteção de dados

Criar, Implementar e Proteger – 3 Etapas para Proteger Sua Empresa na Era do BYOD

Fonte: http://marcoacorreia.wordpress.com