Por trás dos controles de segurança, até mesmo dos mais sofisticados, atuam pessoas, profissionais responsáveis pela configuração, uso e manutenção desses controles. Então, de fato, são os funcionários, terceirizados e fornecedores que fazem a segurança da informação de uma organização.
Assim sendo, cabe à política de segurança da informação abordar a segurança em recursos humanos, ou seja, determinar como será feita a conscientização dos empregados para a importância da segurança da informação e garantir que os mesmos assumam suas responsabilidades nesse processo, que pode custar a sobrevivência da organização e consequentemente seus empregos.
CONTRATAÇÃO
A segurança da informação é um processo que começa ainda antes da contratação, preferencialmente na descrição da vaga de emprego. Dessa forma, os candidatos podem tomar consciência logo cedo de que a organização possui uma política de segurança séria e que dentre as obrigações do contratado estarão atividades relacionadas à segurança da informação. E isso se torna ainda mais importante quando a vaga em questão envolver informações críticas para a organização.
Já na fase de seleção, deve-se garantir que os candidatos possuem os atributos necessários para o exercício do cargo, pois a contratação de mão de obra desqualificada poderá se converter em falhas desses profissionais no futuro, inclusive de segurança, como o comprometimento de informações ou de equipamentos.
Logo, a pessoa responsável por essa seleção deve estar também qualificada para o exercício dessa função e adotar os critérios de seleção da organização, que devem estar de acordo com a ética, legislações vigentes e objetivos do negócio.
Além das qualificações, sempre que possível, convém certificar-se de que são verdadeiras as informações que aparecem no currículo do candidato, isto é, dados pessoais, experiência profissional, formação acadêmica, cursos realizados, idiomas etc. Para cargos mais importantes, algumas empresas podem ir mais longe e fazer um levantamento de dados financeiros e até mesmo verificar possíveis antecedentes criminais, pois embora a maioria dos candidatos sejam pessoas de boa-fé, dentre elas pode haver alguém contratado pela concorrência para sabotar a empresa ou praticar espionagem industrial. E nos casos em que a seleção for terceirizada, convém que existam no contrato entre a organização que oferece a vaga e a que seleciona o candidato, cláusulas que garantam que a escolha dos candidatos será de acordo com os critérios de seleção estabelecidos pela empresa contratante.
É importante que antes de ter acesso aos sistemas de informação da organização, o contratado assine um termo onde diz concordar com a política de segurança da informação, com as suas responsabilidades para com essa política e com as possíveis penalidades caso ele descumpra o que foi estabelecido em contrato.
Dentre as obrigações do novo contratado, devem estar o bom uso dos recursos de tecnologia da informação, o sigilo de informações sensíveis (mesmo após o término do contrato), a correta classificação das informações e a adoção de outros procedimentos de segurança pré-definidos pela organização.
APÓS A CONTRATAÇÃO
Responsabilidades da Direção
É responsabilidade da direção assegurar que todos os funcionários, e mesmo terceirizados e fornecedores, estejam cientes dos objetivos da segurança da informação e também do papel exercido por eles nesse processo.
Cabe à direção garantir que todos os colaboradores recebam o treinamento adequado, pelo menos uma vez por ano, e que os conhecimentos adquiridos sejam colocados em prática, inclusive pela própria direção.
Aliás, a direção deve servir de exemplo para o resto da organização, pois se ela própria não participa dos treinamentos e não cumpre com suas responsabilidades para com a segurança da informação, não há de se esperar que seus subordinados o façam.
Quando a segurança da informação não é levada a sério dentro de uma organização, é porque a direção tem falhado com as suas obrigações.
Conscientização e Treinamento
Por não terem recebido o treinamento adequado, não conhecerem bem o que pode e o que não pode ser feito e estarem sempre dispostos a mostrar como podem ser prestativos e eficientes, os novos funcionários são o alvo predileto dos engenheiros sociais.
Antes de entregar um computador a qualquer novo funcionário, é importante que essa pessoa esteja capacitada para evitar ataques. Só assim falhas humanas poderão ser evitadas, ameaças poderão ser detectadas e os incidentes de segurança comunicados.
Medidas Disciplinares
A violação da segurança da informação é um assunto que deve ser tratado com toda a seriedade. Sendo assim, deve existir um processo formal para apuração dos fatos e entendimento do que realmente aconteceu. Com base nessas informações, no treinamento que foi realizado, na gravidade do incidente, no impacto para o negócio e após a verificação da reincidência da infração, uma punição adequada deve ser aplicada, o que pode variar desde uma suspensão temporária dos direitos de acesso até a retirada imediata do infrator das dependências da organização.
TÉRMINO DO CONTRATO, MUDANÇA DE CARGO OU DEMISSÃO
Devolução de Ativos
Deve ser devolvido à organização todo e qualquer ativo que esteja sob posse de um funcionário cujas atividades foram encerradas. Isso inclui documentos, dispositivos móveis, mídias de armazenamento, softwares, cartões de acesso etc. E nos casos de informações importantes da organização estarem contidas em dispositivos pertencentes ao funcionário, essas informações precisam ser copiadas e a seguir apagadas.
Revisão dos Direitos de Acesso
Quando um funcionário muda de cargo, geralmente ele acaba não tendo mais a necessidade de acessar todos os sistemas que acessava na sua função anterior. De forma análoga, ao possuir novas obrigações, é normal que esse funcionário precise de alguns direitos de acesso que antes não possuía. Portanto, a mudança de cargo deve implicar na revisão dos direitos de acesso lógico e físico.
Já no caso do funcionário estar deixando a organização, seja por iniciativa própria ou não, todos os seus direitos de acesso devem ser removidos e as senhas compartilhadas devem ser alteradas. Além disso, o nome dele deve ser removido de listas de e-mail e todos na organização devem ser comunicados sobre o desligamento e orientados a não mais compartilhar informações com essa pessoa.
E, quando se tratar de uma demissão, as ações de segurança deverão ser feitas de imediato, antes que o agora ex-funcionário resolva se vingar.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.