O que fazer para minimizar a falha humana?

No comentário anterior citei uma situação onde não parecia ser um problema de falha humana. Mas, também citei que as pesquisas apontam que o impacto (financeiro e de imagem) que as organizações sofrem em segurança da informação é causado na grande maioria por erros de pessoas. Sendo assim, o que pode e deve ser feito para minimizar essa situação. Seguem algumas recomendações:1. Identificar e reconhecer a existência dos errosEste é o primeiro passo. Se a organização não consegue nem identificar e reconhecer o impacto que o erro de pessoas afeta a segurança da informação, teremos mais um problema: a organização está em situação pior, pois não consegue se conhecer.2. Conscientizar e treinar as pessoasA conscientização em segurança da informação é fundamental. Mas, algumas vezes as pessoas estão conscientizadas e precisam ser treinadas. Por exemplo, elas sabem o perigo dos vírus e fazem os procedimentos corretos. Porém um belo dia o programa de anti vírus apresenta uma mensagem (em inglês para complicar) e o usuário não sabe o que fazer. Se traduzir a mensagem vai continuar sem saber o que fazer: manda remover o vírus com o perigo de remover algo indevido? Manda o vírus para o inferno ou um lugar temporário? O usuário tem que ser treinado para saber como agir em uma situação desse tipo.3. Devem existir regulamentos (políticas e normas)As políticas e as normas explicitam o que a organização deseja como procedimento adequado das pessoas. Elas são extremamente importantes, pois fica explícito para todos o que pode e o que não pode ser feito. O usuário precisa receber os regulamentos da organização.4. Devem existir processos formais e que devem ser seguidosOs processos para as ações que protegem a informação devem ser formalizados e de conhecimento dos usuários. Nesses processos devem existir controles para garantir que eles serão fiscalizados e que a proteção da informação acontecerá sempre. Isto é, acontecerá ao longo do tempo e continuará mesmo que mudem as pessoas.5. Os erros devem ser combatidos, mas as pessoas compreendidas e incentivadas.Pessoas erram e devem ser ensinadas a não errar. Os usuários da informação devem sentir que se errarem nãos serão crucificados e expostos ao ridículo. A empresa deve ser uma organização que aprende. Deve existir um canal de comunicação para que as pessoas possam tirar dúvidas ou indicar a existência de problemas.6. Todos são responsáveisDevemos lembrar que gerentes, diretores e presidentes também erram e acarretam impactos financeiros e de imagem. O tratamento deve ser o mesmo para qualquer nível.Não quero indicar com esses itens que a Organização deve ser boazinha. Não! A organização deve ser profissional, deve ser capaz de aprender e deve entender que a segurança acontece pelas pessoas. Quando tratamos de maneira profissional os erros e a aprendizagem, fica simples identificar ações de má fé e com objetivos de prejudicar a empresa. Essas ações e seus causadores devem ser combatidos e retirados do ambiente organizacional.Seguindo essas orientações e mais alguma outra que faça sentido para a sua organização, com certeza o percentual de impacto causado por falhas humanas será menor.Edison Fontes, CISM, CISA.Consultor, Professor e Autor de Livros de Segurança da Informação.Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.[email protected]Ética: um princípio sem fim!