O Fator Humano na Segurança da Informação

Em base a estatística de que a grande maioria dos incidentes com a informação é proveniente de vulnerabilidades são exploradas (consciente ou inconscientemente) por pessoas, seja no mau uso de software, desconhecimento de regras de segurança ou liberação proposital de informações confidenciais, fica fácil perceber como é importante e indispensável a participação deste mediador o departamento de RH – na consolidação de um plano de ação para a implementação e manutenção dos controladores culturais, o que chamamos de ?organizacional culture, no ambiente corporativo.

A participação do departamento de Recursos Humanos inicia na definição dos requisitos de segurança para a identificação de cargos críticos, funções, regras e responsabilidades. Parece pouco?Nunca uma sentença tão curta teve um sentido tão amplo.

Pela identificação de cargos, mapeamos todas as atividades críticas que possuem elevada importância no trato da informação, ou contato indireto com ambientes que possam estar vulneráveis a atividade humana. Por exemplo, mapeando o departamento de informática podemos identificar que alguns operadores possuem acesso completo ao sistema de gestão integrada sistema considerado por processar informações sigilosas. Outro exemplo de função crítica, mesmo que indiretamente relacionada à segurança, é o pessoal responsável pela limpeza da sala mantenedora dos servidores críticos para a organização, onde passar um pano sobre o equipamento pode significar desliga-lo e tirar a empresa de operação. Sabemos então que, todos as posições de trabalho devem ser analisadas, levando em consideração: (a) contato com o ambiente onde há informação sigilosa e; (b) contato com a informação sigilosa.

Isto implica que devemos, na análise de cada cargo, determinar requisitos pessoais e profissionais específicos para identificar o perfil adequado de quem irá operar em determinada posição. Cada profissional deverá possuir uma definição formal do seu cargo, o nome do seu departamento, a quem ele se reporta em caso de incidente e como a segurança da informação se inclui nas suas responsabilidades de trabalho.

Nosso próximo passo será o de selecionar dentre os candidatos à vaga, aquele que melhor corresponde às necessidades observadas durante a definição do perfil (planejamento). Baseado na ISO/IEC 17799 listarei abaixo algumas das melhores práticas aplicadas a esta tarefa, segue:

a) Verificar pelo menos uma referência profissional e pessoal

b) Confirmar qualificação acadêmica

c) Avaliar conhecimento necessário para a colocação oferecida

d) Verificar documento de identificação (identidade, passaporte e etc.)

e) Verificar crédito (em caso de envolvimento em atividade financeira)