Certificação de segurança da informação não é velocidade, mas constância

Dono dos três últimos recordes mundiais na prova de 100m rasos, Usain Bolt é o homem mais rápido da história. Pistas de todas as partes do mundo viram os pés do jamaicano passar voando em Olimpíadas, campeonatos mundiais e outras grandes competições, ao longo de sua brilhante carreira. Chegar primeiro, no caso do jamaicano, era questão de velocidade. Afinal, a modalidade em que ele se consagrou é um tiro curto, em que qualquer erro, por menor que seja, pode comprometer o resultado.

Por outro lado, o episódio ocorrido com o brasileiro Vanderlei Cordeiro de Lima nos Jogos Olímpicos de Atenas, em 2004, mostra que, quando se trata de uma maratona, mais que a velocidade, é preciso garantir um desempenho regular do início ao fim da prova. Embora estivesse em primeiro lugar com alguma vantagem sobre o segundo colocado, quando faltavam apenas sete quilômetros para o fim da corrida, o atleta foi empurrado por um manifestante irlandês e viu ruir o sonho do ouro olímpico.

Longe das pistas, no mundo dos negócios, assegurar uma certificação de segurança da informação se parece muito mais a uma maratona que a uma prova de 100m rasos. Ainda que a conquista de uma certificação traga alívio e a sensação de missão cumprida, é preciso mais que isso para manter o nível de qualidade alcançado.

Em geral, uma empresa passa alguns anos se preparando e investindo em processos e tecnologias antes da auditoria da ISO. Da Presidência aos estagiários, é fundamental que todos os colaboradores estejam cientes dos processos. E, depois de todo esse esforço, a tentação de descansar é natural. Mas, assim como na maratona, relaxar pode significar uma perda indesejável de atenção e foco aos detalhes.

São inúmeros os pormenores necessários para manter os níveis de qualidade da operação. E é fácil permitir que algum deles passe ao largo, principalmente aqueles que não são visitados regularmente. Um processo de backup e restore, por exemplo, é um controle que precisa ser feito diariamente devido à sua utilização, porém um processo de análise de risco tem um intervalo de execução e revisão que às vezes chega a 12 meses. Como, então, não esquecer dele?

A resposta está em manter um cronograma sempre atualizado e realizado. Sem essa disciplina, a possibilidade de controles caírem no esquecimento é muito grande. Ter em mente todos os detalhes que foram exigidos antes do selo é indispensável. Também convém criar caminhos para possibilitar a comunicação constante com cada um dos colaboradores, o que ajuda a mantê-los engajados.

Comunicações regulares sobre os aspectos da segurança da informação são relevantes, bem como o emprego de ferramentas auxiliares que possibilitam a divulgação e o treinamento. Para isso, é válido usar das técnicas mais tradicionais às ferramentas de mercado que utilizam gamificação para disseminar o conhecimento e envolver os colaboradores, premiando aqueles que se destacam.

Outro fator que apoia a manutenção da certificação são os processos automatizados. Revisar os acessos dos usuários nos sistemas é importante? Então, configure sua ferramenta de service desk para registrar um chamado mensalmente. Assim, a revisão poderá ser feita e documentada de forma adequada. Verificar a execução de backup é importante? Que tal configurar o envio dos logs de backup por e-mail? Automatizar os detalhes ajuda a evitar que algum deles fique para trás na rotina atribulada do dia a dia.

Por último, lembre-se de manter a alta direção engajada no processo de segurança da informação. Assim como nas Olimpíadas, é necessário manter a “chama” sempre acesa, como um lembrete do objetivo final dessa jornada e da razão pela qual ela deve ser percorrida com foco e atenção aos detalhes, muito mais que apenas velocidade.

 

Paulo Cury - superintendente de Infraestrutura de TI na Tecnobank.