Upload
vanlien
View
222
Download
8
Embed Size (px)
Citation preview
20 IDEIAS EM GESTÃO
João Batista Ribas de Moura
O Brasil vive a maior expansão
econômica dos últimos
anos e o profissional mais
bem preparado para responder
aos desafios desse crescimento
deve compreender economia,
informática, psicologia, contabilidade,
direito, inteligência competitiva,
marketing, logística, além de outras
disciplinas que fazem parte do rol de
conhecimentos adquiridos em um
curso superior de Administração.
Não somente na iniciativa privada,
naturalmente competitiva e ansiosa
pelo alcance da excelência, a
prosperidade também exige gestores
públicos cada vez mais capazes de
conduzirem ações estratégicas de
governo com eficiência, eficácia e
efetividade.
O desenvolvimento de um país eleva
naturalmente o nível das Tecnologias
da Informação e Comunicações (TIC)
utilizadas e traz consigo, além das visíveis
vantagens, fragilidades e perigos não tão
óbvios. Ouve-se falar de invasões em
sistemas computacionais, vazamentos
de informações, quebras de segurança
e outras tantas ameaças que devem ser
evitadas para a continuidade do negócio
do pequeno ao grande empreendedor
e dos governos. Todos concordam
que os sistemas de informação
adquirem importância estratégica
para a organização, na medida em que
aumentam sua eficiência, mas poucos
veem a segurança da informação sob
o enfoque de gestão, imaginando que
somente investimentos em tecnologia são
suficientes.
Gestão da Informação
21FACULDADE AIEC
De acordo com a Norma ABNT NBR
ISO/IEC 27002:2005, a “Informação é
um ativo que, como qualquer outro
ativo para os negócios, tem valor para
a organização e consequentemente
necessita ser adequadamente
protegida”. A segurança dos ativos de
informação é fator crítico para o alcance
das metas empresariais. Na esfera
pública, indispensável à manutenção
da soberania nacional, cujo princípio
mais elementar é a defesa territorial ou,
no caso da informação, do território
cibernético, que vem do grego –
kibernetiké -, e quer dizer timoneiro,
aquele que dirige, guia, governa, enfi m,
administra sistemas. Garantir a defesa
do espaço cibernético nas instituições
civis e militares é um processo a
ser gerido por administradores
competentes e preparados.
Ingenuidade humana
A necessidade de “criação,
desenvolvimento e manutenção
de mentalidade de segurança da
informação”, é citada no inciso V, do art.
1º, do Decreto Presidencial nº 3.505, de
13 de junho de 2000, como pressuposto
básico da Política de Segurança da
Informação na Administração Pública
Federal. Os profi ssionais de segurança da
informação sabem que o fator humano
é o elo mais frágil a ser trabalhado.
Kevin Mitnick – um dos mais conhecidos
cibercriminosos da história dos EUA –
invadia sistemas computacionais com
uso da “Engenharia Social”, jargão do
mundo tecnológico usado para descrever
a arte de explorar o desconhecimento e
a ingenuidade humana para obtenção de
informações e acessos restritos.
Quantos gestores preocupam-se, por
exemplo, em treinar seu pessoal a não
fornecerem informações por telefone,
por mais convincente e legítima que a
outra parte pareça ser?
Para auxiliar o administrador na
gestão da segurança da informação,
a Associação Brasileira de Normas
Técnicas (ABNT) publica normas da
família NBR ISO/IEC 27000, voltadas
à segurança da informação. O
Tribunal de Contas da União (TCU)
disponibiliza a Cartilha de Boas
Práticas em Segurança da Informação.
O Departamento de Segurança da
Informação e Comunicações do
Gabinete de Segurança Institucional
da Presidência da República (DSIC/
GSIPR) estabelece normas que
“declaram o comprometimento
da alta direção organizacional com
vistas a prover diretrizes estratégicas,
responsabilidades, competências e
o apoio para implementar a gestão
de segurança da informação e
comunicações nos órgãos ou entidades
da Administração Pública Federal,
direta e indireta”. Observa-se a
crescente normatização indicando
o caminho das melhores práticas
de gestão. Mas toda essa gama de
informações estanque nos livros e
sistemas de nada serve se não for
transformada em conhecimento e
posta em prática pelo gestor.
“
”
22 IDEIAS EM GESTÃO
O administrador deve alinhar a gestão
da tecnologia da informação à visão
e missão para o atingimento dos
objetivos estratégicos. Em outras
palavras, ser o principal responsável
pela governança de segurança da
informação. Essa responsabilidade
deve começar no nível estratégico,
com acompanhamento de ações,
visando à sensibilização e prevenção
contra falhas humanas e não somente
tecnológicas. Um exemplo disso foi a
completa reestruturação das formas
de gerir os processos de segurança nas
agências governamentais nos Estados
Unidos, após os atentados terroristas
de 11 de setembro. Não era um
problema de tecnologia, mas de gestão.
A Norma ISO/IEC 27002 é um
código de prática para gestão da
segurança da informação, criada a
partir das melhores experiências
em segurança, tornando-se uma
metodologia estruturada e reconhecida
internacionalmente para avaliar,
implementar, manter e gerenciar a
segurança da informação. Ela também
ajuda o gestor a mensurar o custo
com a queda na produtividade, com
a perda de credibilidade ou com o
comprometimento da imagem da
organização, quando não consegue
entregar produtos e serviços por falhas
na disponibilidade, integridade ou
confi dencialidade da informação. Ainda
trata da Gestão de Riscos, de Incidentes
e de Continuidade do Negócio.
Gestão de Riscos
Uma ameaça é algo real e pode ser de
dois tipos: humanas e não humanas.
Ameaças humanas podem ser do tipo
intencional como, por exemplo, o uso
da Engenharia Social para obtenção
de informações confi denciais; ou não
intencional como quando alguém, sem
querer, derrama café em cima de um
equipamento. Ameaças não humanas são,
por exemplo, as inundações ou incêndios.
A análise de risco deve produzir uma
lista de ameaças com sua importância
relativa ao negócio, procurando medidas
que possam impedir ou reduzir a
probabilidade de se materializarem.
Uma ameaça não reduzida torna-se um
risco. A Gestão de Risco é responsável
pelo processo contínuo de identifi cação,
análise e redução dos riscos a níveis
aceitáveis. Utiliza-se das seguintes
medidas: prevenção para neutralizar
a ameaça; detecção para garantir que
cada incidente seja conhecido o mais
rapidamente possível; repreensão para
minimizar as consequências de um
incidente e correção para recuperação
do que restou e não foi salvo pelas
medidas repreensivas.
Gestão de Incidentes
O principal objetivo da Gestão de
Incidentes é garantir que os incidentes
ou fragilidades no Sistema de Informação
possam ser apropriadamente reportados
para que medidas corretivas sejam
aplicadas.
“
”
23FACULDADE AIEC
Todos os funcionários devem saber
a quem e como relatar qualquer
anormalidade: nome do responsável,
telefone, sistema, formulário, etc.
Medidas corretivas devem ser tomadas
no menor tempo possível, gerando
aprendizagem com os erros presentes
a fi m de impedir reincidências.
Esse processo faz parte do ciclo de
melhorias contínuas – PDCA (Plan,
Do, Check, Act) –, ou seja, planejar,
executar, checar e agir corretivamente.
Gestão de Continuidade do Negócio
A Gestão de Continuidade visa garantir
a ininterrupção das atividades mais
importantes da organização ou,
em último caso, o rápido retorno
à normalidade. Para isso, são
desenvolvidos o Plano de Continuidade
do Negócio e o Plano para Recuperação
de Desastres.
Mudança de paradigma
Como a educação pode materializar
o processo de aprendizagem e levar
o conhecimento sobre essa forma
de gestão na formação de gestores,
independentemente da distância e do
tamanho das organizações? A própria
evolução tecnológica e a melhoria da
infraestrutura das redes computacionais
apontam para a disseminação da
Educação a Distância (EaD). Ao
contrário do que muitos ainda imaginam,
o aluno de EaD aprende mais porque, no
ambiente virtual de aprendizagem (AVA),
é envolvido em um nível superior de
interatividade, concentração e resposta
a estímulos visuais, sonoros
e motores.
Quantos alunos presenciais perdem a
concentração em divagações quando
o pensamento voa para longe da sala
de aula bem diante do professor?
Ao contrário, o aluno de EaD precisa
ver, ouvir, interagir, clicar, arrastar e
soltar elementos interativos na tela,
participar ativamente das discussões
em fóruns virtuais, mantendo a mente
naturalmente focada nos estudos.
A EaD é uma mudança de paradigma
porque destrói velhas barreiras,
respeitando a liberdade do aluno,
permitindo que ele escolha no tempo
(melhor horário) e no espaço (em
qualquer lugar com acesso à internet)
o que aprender, em ritmo próprio,
sem perder o contato com colegas e
professores.
Se segurança da informação é um
processo de gestão e não apenas
um processo tecnológico, então
o investimento em educação para
gestão torna-se importante elemento
de sucesso empresarial, de serviço
público de qualidade e de manutenção
da soberania nacional. Além das já
existentes iniciativas envolvendo EaD
no Brasil, é necessária a contínua
formação de massa crítica e de
gestores altamente qualifi cados para
conduzir nossas organizações públicas
e privadas com segurança no caminho
do desenvolvimento contínuo.
“
”
João Batista Ribas de MouraAnalista-Tributário da Receita Federal
do Brasil. Bacharel em Administração
pela Faculdade AIEC, Especialista em
Educação a Distância (UnB), Certifi cado
Information Security Foundation Based
on ISO/IEC 27002 (Exin), Microsoft
Certifi ed Technology Specialist, Axur
Computer Forensics Certifi ed.
apontam para a disseminação da
Educação a Distância (EaD). Ao
contrário do que muitos ainda imaginam,
o aluno de EaD aprende mais porque, no
ambiente virtual de aprendizagem (AVA),
é envolvido em um nível superior de
interatividade, concentração e resposta
a estímulos visuais, sonoros
conduzir nossas organizações públicas
e privadas com segurança no caminho
do desenvolvimento contínuo.