Muito se fala em controles na área de segurança da informação e muitas empresas esquecem de tratar um dos pontos mais fracos na garantia da segurança da informação. A contratação e manutenção de pessoas ou o conhecido recurso humano das empresas.
De acordo com a ISO 27002, demonstrando o controle 8, é informado que existem alguns passos importantes para a contratação de pessoas. O objetivo maior do controle da ISO 27002 é demonstrado no seguinte texto: “Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos”.
Precisamos dizer mais alguma coisa depois do texto acima? Quantas empresas vocês conhecem que levam o texto acima a sério na parte de recursos humanos? Conheço poucas, e digo mais, conheço empresas grandes, líderes em seu segmento de atuação e multinacionais que não tem essa tratativa, e muito menos isso explícito em suas políticas internas, o que considero uma temeridade. É necessário atribuir claramente papéis e responsabilidades, sem isto é impossível ter um controle claro da segurança ou no mínimo dos riscos inerentes a falta deste controle.
A seleção de pessoas propriamente dita é uma parte importantíssima na conformidade deste controle, pois o que vemos comumente hoje são contratações as pressas, sem critérios definidos e tentando de uma forma geral somente preencher a lacuna técnica da empresa, sem olhar para o lado “humano” do recurso a ser contratado, outro grande erro da área de recursos humanos E TAMBÉM da área de segurança da informação, se esta já existir na empresa.
É de extrema importância também, ter claramente definido na empresa termos e condições de contratação, como acordos de confidencialidade, responsabilidades da direção, controles e processos disciplinares, pontos para encerramento e mudança de contratação, e claro, políticas internas de segurança da informação, pois afinal de contas, como vamos cobrar algo que nunca foi passado para o “novo funcionário”? Não há como, concorda?
Com um controle claro e segmentado de uma política séria e coordenada para os recursos humanos, após o encerramento de contrato de trabalho, ainda assim existem passos e controles que devem ser seguidos, como controle de acesso retirado, devolução dos ativos disponibilizados (notebooks, celulares e afins).
Este breve post é para não nos esquecermos da importância, muitas vezes esquecida ou negligenciada pela área de recursos humanos, seja por “falta de tempo”, “falta de vontade” ou pior, “falta de conhecimento”, onde a responsabilidade é imediatamente transferido para o CSO ou o equivalente da área de segurança da informação, caso a mesma exista na empresa.
Devemos nos lembrar que o elo mais fraco da área de segurança da informação são as pessoas. Então por que negligenciar o primeiro contato com as mesmas, ou seja, as contratações?
Leia Também:
– Compliance e Governança Corporativa garantindo credibilidade
– Três etapas indispensáveis à criação de políticas para proteção de dados
– Criar, Implementar e Proteger – 3 Etapas para Proteger Sua Empresa na Era do BYOD
Security Information News 
Sergio Cabette • Oi André,
Quando falamos em segurança, devemos ter em mente os riscos administrativos e operacionais de cada um deles.
Os operacionais quanto:
– os equipamentos para garantirem o controle e o monitoramento das áreas de alto risco:
1- Equipamentos de segurança patrimonial:
a) Crachás inteligentes e portadores da biometria como cabines com o sistema one-by-one e ant-pass-back
b) CFTV – câmeras sensoradas, infra-red e motion detector.
c) Alarmes de incêndio – fumaça \ temperatura.
d) Alarmes de segurança – anti-intrusão e arrombamento \ sensores sísmicos.
Obs: Sistema para garantir a integridade e rastreabilidade dos acessos.
2- Equipamentos de informática e cofres das chaves criptográficas:
a) Redes independentes e seguras – de acordo com as necessidades dos negócios.
b) Software de auditoria e de segurança contra invasões, evasões e alterações fraudulentas.
c) Normas e Procedimentos para as rotinas de trabalho e para as cerimonias de inserção de chaves criptográficas.
e) Planos de contingencias e recuperação de desastres.
f) Equipe auditora para o monitoramento, análises de riscos, feedbacks e acompanhamento de implantações e testes pertinentes a área.
g) politica de Segurança da Informação
h) Acordo de Sigilo, Confidencialidade e responsabilidade que deva ser assinado por todos os funcionários.
3- Politica Corporativa de Segurança e esta passar a figurar no Plano Estratégico da Empresa.
a) Manual de Segurança Corporativa – BCP e DRP corporativo.
b) Termo de aceite da Politica Corporativa de Segurança assinado por todos os funcionários.
Porém todos este conjuntos de ações não tyerá valia se:
4- Não houver dentro da organização uma Politica clara e definida de RH, como a Gestão do próprio RH.
como:
a) Plano de Benefícios – médico e odontológico
b) Plano de remuneração e carreira
c) MBO
d) Gestão social
e) Ginastica
Aqui somente um pouco de segurança para as empresas.
Os riscos estão para os negócios como a segurança está para a estratégia das corporações.
Todas as politicas sociais desastrosas ou mesmo a falta delas, geram tensões que fatalmente desembocarão em problemas de segurança ou até mesmo de policia.
Abs,
KBT
CurtirCurtir
André Nogueira Rodrigues • Bom muito Sérgio, e olha que os itens que você citou, digamos que é só pra começar, pois existem ainda muitos outros itens. O que precisa é urgentemente as empresas começarem a entender melhor a área de Segurança da Informação, pois só assim entenderam que está ligada diretamente ao negócio da empresa, seja qual for a empresa e dependendo seja qual for o negócio. Mudar também a conscientização e a cultura também das empresas que já possuem a área de Segurança e fazer um trabalho geral de integração com as outras áreas.
Abraços
CurtirCurtir
Janaina Fagundes – Muitos Recursos Humanos nem sabem o que é Segurança da Informação, inclusive salvam arquivos confidenciais em redes públicas ou divulgam informações confidenciais por e-mail “sem querer”, estes profissionais deveriam ser os primeiros a serem avaliados!!!
CurtirCurtir
Sergio Cabette • Havia esquecido um bom exemplo de segurança em RH.
Certa feita, montei uma defesa em conjunto com os advogados trabalhistas para um caso onde um ex-funcionário de uma empresa-cliente alegava que a sua foto e os seus dados pessoais que constavam em sua pasta no RH, teriam vazado e parado estampado em uma rede social de forma chocante, pejorativa e ofensiva a sua pessoa.
Reivindicava danos morais, de imagem e falta de lisura para com os dados dos funcionários por parte da empresa, entre outras alegações.
A ação só foi ganha pela empresa, devido haver segurança nos procedimentos administrativos e operacionais, tanto do departamento de RH quanto de TI da companhia.
Além de termos assinados pelos funcionários quando o sigilo e responsabilidades e o aceita a politica corporativa de segurança (TI \ Física \ Patrimonial \ Trabalho \ RH \ Ética Profissional e nos negócios).
Segurança esta para a classificação, desclassificação, criticidade, arquivamento, descarte, deleção, hierarquização dos acessos, auditamento de documentos e imagens físicas e digitais. Em digitais estão também relacionados os e-mails.
Quanto a segregação de redes, autenticação e certificação.
Também válidos para os usuários e todo um sistema senhas.
O que chamamos de comprovação da rastreabilidade dos processos.
Quem, quando, onde, o que e para onde….sendo as perguntas básicas a serem respondidas.
Além do que, a foto poderia ter sido obtida pelo próprio ex-funcionário, usando-se a câmera do celular e fotografando o seu próprio crachá antes do ato de desligamento.
Ficando evidente a má fé deste em sua conduta ética-profissional.
Ser segurança é bem diferente de estar segurança.
Por isso que a análise de Riscos Administrativos e Operacionais pode detectar cada um deles em cada departamento e setor da companhia.
Espero que este ‘case” seja um alerta aos profissionais de segurança e aos boards corporativos.
abs,
KBT
CurtirCurtir
Stella Galvão Bijos • O fato é que tudo em relação a Segurança da Informação se resume ao CSO ou ao Gestor de TI. Divulgar um documento de política de segurança em hipótese alguma significa fazer Gestão de Segurança da Informação. .
CurtirCurtir
André Nogueira Rodrigues • Sem contar que muita gente ainda tem “medo” ou “receio” da área de Segurança da Informação.
CurtirCurtir
Nivaldo Santana (Disponível) • Muito bom o assunto e realmente na maioria das vezes as empresas não se preocupa com o assunto abordado acima.
CurtirCurtir
valter estevam • Muito interessante o texto, porém a Engenharia Social causará danos a esta situação, tendo em vista que a visão politica em algumas organizações sobrepõe os processos.
CurtirCurtir
André Nogueira Rodrigues • Concordo contigo Valter, são muitos itens que podem causar danos. Por isso temos que pensar muito antes de agir, para agir com mais assertividade. Abraços
CurtirCurtir