Quando o vilão está dentro de casa: 40% dos colaboradores de TI admitem poder causar danos severos na infraestrutura

Uma pesquisa recente da Venafi apontou um sério risco que, infelizmente, é cada vez mais comum em organizações de qualquer vertical ou porte: Uma boa parcela (estimada em 40%) dos colaboradores de TI admite poder causar sérios problemas, leia-se caos completo, nos serviços/infraestrutura da organização.

O caso específico abordado pela pesquisa reflete dados sobre falta de gerenciamento de chaves de criptografia associada a lacunas controles internos e pouca segregação de funções. Entretanto, existem incontáveis outros cenários onde um único colaborador pode tornar a organização sua refém e indiscutivelmente causar prejuízos na casa dos milhões como em um caso ocorrido na prefeitura de San Francisco em 2008 que teve sua WAN seqüestrada por 12 dias (leia mais).

Esse assunto não é nenhuma novidade e já foi amplamente discutido. O problema é que em boa parte das empresas com que já tive contate vejo pouca ou nenhuma iniciativa para contornar essa situação chegando ao ponto onde em alguns casos é tido como algo “normal”.

Se você vivencia este tipo de problema em sua organização existem algumas práticas simples que podem ajudar bastante:

1. Uma boa política de segurança da informação é essencial: Se seus colaboradores estão conscientes das implicações legais de suas ações eles certamente vão pensar duas vezes antes de cometer um ilícito. No pior cenário se um incidente severo ocorrer você vai estar protegido e legalmente preparado para tomar as ações cabíveis.

2. Segregação de funções (SoD): Provavelmente você sabe que SoD é um método para reduzir o risco de que uma única pessoa possa acessar, modificar ou usar serviços sem a devida autorização ou detecção. O que talvez você não saiba é que, de acordo com o Public Company Accounting Oversight Board, em 83% das organizações a causa de fragilidades materiais estava diretamente relacionada com ausência de Segregação de Funções. Uma boa matriz de segregação (ver exemplo) associada à rotação de cargos e funções pode ajudar a evitar incidentes e apoiar na distribuição conhecimento.

3. Documentação, documentação e documentação: Manter uma documentação atualizada é essencial para proteger o conhecimento institucional. Infelizmente, existe uma notória resistência por parte da maioria profissionais de TI que acabam deixando algo tão importante  completamente de lado. Cabe aos gestores entender a importância e exigir que uma parcela do tempo da equipe seja dedicada exclusivamente a elaboração de documentação e procedimentos operacionais.

4. Use a tecnologia a seu favor, mas não se torne dependente: Desde gerenciamento de chaves de criptografia até a sistemas de auditoria e análise do comportamento é possível dizer que existe uma solução tecnológica para quase tudo. Saber aplicar a tecnologia a seu favor é reconhecer que não podemos ser completamente dependentes. Busque soluções completas que englobem não apenas um produto, mas procedimentos, normas e até mesmo as pessoas necessárias para criar uma solução eficiente.

5. TTTO (Talk to the Ogre): Muitos dos profissionais que gostam de se sentir insubstituíveis o fazem por uma nítida insegurança. Manter um canal de dialogo aberto e, em casos extremos, até mesmo um acompanhamento psicológico pode ajudar e muito na redução de riscos e incidentes. Um bom gestor consegue perceber um problema de relacionamento logo no início , onde sua solução é razoavelmente simples. Um mau gestor pode fechar os olhos e até mesmo ser conivente com a situação. Nesse ultimo caso certamente vale a máxima: Quem planta vento, colhe tempestade!

Ogros de TI

A lista acima certamente não é completa, mas espero que essas dicas práticas ajudem a lidar com os Shreks mal entendidos que residem dentro da TI.

__

Links e referências:

http://drupal.sfexaminer.com/local/crime/2011/05/judge-orders-former-city-worker-terry-childs-pay-san-francisco-15m
http://www.net-security.org/secworld.php?id=11062
http://www.itilnapratica.com.br/o-conhecimento-e-meu-e-ninguem-tasca/
http://pcaobus.org/Pages/default.aspx
http://www.isaca.org/Images/journal/jrnlv4-07-common-ground-1.jpg

Comentários

Comentários