KISS Security!

KISS – Keep it simple, stupid! Traduzindo: faça simples, estúpido!

Há muito tempo ouvi esta brincadeira com palavras em inglês, mas de uma mensagem excelente. Faça as coisas de uma maneira simples. E fazer as coisas de uma maneira simples, exige muito conhecimento, experiência e visão prática mesmo baseada em uma complicada teoria.

Assistindo hoje um telejornal, um pesquisador da EMBRAPA falou mais ou menos isto: precisamos de soluções simples para um problema complexo que é o da água.

Cada vez mais estou seguindo minha visão: se algo merece ser feito, merece ser bem feito e merece ser feito de forma simples.

No assunto segurança da informação entendo que existem várias armadilhas que caímos e que torna as soluções complexas. Gostaria de compartilhar algumas:

a) Tratar a segurança sem escopo, limites e cenários.
A segurança da informação envolve muitos aspectos, desde os mais técnicos até os relacionados à pessoa humana. Qualquer projeto ou conjunto de ações em segurança da informação precisa ser desenvolvido considerando um ambiente: escopo, limites e cenários. É necessário ficar claro que as atividades previstas e os objetivos definidos são válidos para o ambiente considerado. Na medida em que a organização aumente sua maturidade em segurança, ela pode expandir e aumentar a complexidade deste ambiente.

b) Uma coisa é uma coisa, outra coisa é outra coisa.
Brincadeiras à parte, somos facilmente levados a querer consertar a organização por causa do processo de segurança da informação. O que eu quero dizer é, por exemplo, se a organização tem um péssimo clima organizacional, evidentemente isto vai dificultar o processo de segurança e o Gestor de Segurança deve estar atento. Porém, não é responsabilidade da área de segurança da informação de cuidar do clima organizacional. Isto é um problema de Recursos Humanos. A gestão da organização é ruim? Que péssimo, isto vai dificultar o processo de segurança da informação, mas isto é um problema organizacional, é um problema do gestor maior da organização.

c) O principal são os objetivos da organização.
A segurança da informação existe para que a organização funcione adequadamente no que diz respeito à informação e aos recursos de informação. Não se faz recuperação de energia, pela recuperação da energia. Se faz a recuperação de energia por que a organização precisa acessar a informação que está em recursos de informação que para funcionar precisam de energia elétrica. Todos, sim todos os projetos e conjuntos de ações somente devem existir para possibilitar o funcionamento da organização.

d) Comunicação simples.
A comunicação da segurança da informação realizada pelas políticas, normas, procedimentos, material de conscientização precisa ser simples e de fácil entendimento. Precisa ser direta. Aquilo que for obrigatório tem que ser colocado como mandatório. Não podemos ter frases como “O guarda prendeu o ladrão na casa dele”. Na casa do guarda ou na casa do ladrão.

e) Se a organização não quer segurança, não teremos segurança.
Esta é a parte mais difícil para os Gestores de Segurança que são funcionários da organização. Muitas organizações não querem levar a segurança a sério, não querem gastar recursos com segurança, por exemplo, passam dez anos como uma cadeira em brinquedo de parque de diversão quebrada e não toma providência, ou como no desastre da Estação Brasileira na Antártida, “vamos ver se os pesquisadores tinham cópia de segurança nos seus notebooks”. Estas empresas ou projetos não levam a segurança a sério. Esta é uma responsabilidade da gestão executiva da empresa ou do projeto. E fica muito difícil a situação do gestor. O que você pode fazer é deixar esta organização, porque no momento dos problemas, vão querer incriminá-lo.

Existem muitas armadilhas. Cuidado! Uma das estratégias que tenho seguido com bons resultados é fazer as coisas simples, mas tendo muito conhecimento.

Lembre-se: KISS!