quarta-feira, 25 de maio de 2011

Segurança em Recursos humanos






Há muito tempo sabemos que o "elo mais fraco" em todos os processos de segurança implementados em uma empresa é o fator humano.

Aplicar as melhores práticas na gestão segura do recurso humano nem sempre é levado muito a sério nas empresas. É verdade que muitas têm algum tipo de controle, mas não proteje o ciclo de vida inteiro do funcionário durante sua permanência na empresa.

Uma realidade constantemente presente, é o fato de existirem empresas que cuidam muito bem de averiguar a vida do funcionário no início da sua contratação, mas não gerenciam seu histórico com uma abordagem segura. Outras, preocupam-se justamente com o oposto, não importando-se muito com a entrada do futuro funcionário no quadro de colaboradores.

A Segurança da Informação não é um produto, mas um processo, e como processo deve ter ciclos de avaliação e constante aperfeiçoamento, além dos ajustes necessários para manter a aderência às políticas e normas da empresa.

Falhas em sistemas tecnológicos e vulnerabilidades em processo são comuns e facilmente resolvidos, bem como controlados. Mas o aspecto humano é, sem dúvida, o mais vulnerável e com uma ampla superfície de possibilidades por onde uma ameaça poderia se concretizar.

Uma empresa pode gastar grandes somas em recursos financeiros para proteger todo o seu ambiente, mas basta uma falha humana e tudo estará perdido. Seria necessário um livro dedicado ao assunto para retratar tais possibilidades.

Quando o assunto é o fator humano, a Segurança da Informação tem vários objetivos que visam mitigar ameaças no domínio em questão. Vejamos alguns:

  • Treinamento nas atividades a serem executadas
  • Segregação de funções
  • Termos de confidencialidade
  • Conscientização em segurança

Existem muito mais, porém, considero a lista acima o básico, sendo possível aplicá-la em qualquer empresa, de qualquer tamanho e o item mais importante, em linhas gerais, é a segregação de função.

Quem nunca viu em um ambiente de trabalho, pessoas reclamarem por executarem tarefas que não deveriam ser sua responsabilidade ou estavam sobrecarregadas?

A sobrecarga de função ou atividades é um perigo real e presente na maioria das corporações. Atribuir a responsabilidade de levantar requisitos a um programador, é garantir a perda de qualidade do resultado final de uma aplicação, por exemplo. Ou tem-se documentação precária - muitas vezes nenhuma - ou códigos mal-implementados.

Os riscos inerentes à situação posta anteriormente, é que uma empresa poderá entregar um produto problemático, de difícil manutenção, ficar refém de peças (pessoas) chaves, prejudicar sua imagem, sofrer processos trabalhistas, dentre outros.

Um alerta importante que faço, e muitas vezes passa despercebido o fato do risco existir, é quanto a processos trabalhistas. Todos nós sabemos e conhecemos os tipos de recisão contratual trabalhista: dispensa sem justa causa, dispensa com justa causa e pedido de demissão.

Existe ainda uma outra forma de recisão muito pouco conhecida e especialmente perigosa para empresas que não observam recomendações e boas práticas feitas por padrões e normas internacionais, uma delas, a NBR ISO/IEC 27002 - Código de Prática para a gestão da segurança da informação. Ela é conhecida como recisão indireta ou recisão indireta de contrato de trabalho.

A recisão indireta se configura de uma forma cujo o empregado enquadra o empregador por justa causa, ou seja, existe a possibilidade de extinção do contrato por iniciativa do empregado devido a uma falta gravecometida pelo empregador. Quais seriam elas?

  1. exigência de serviços acima dos limites do funcionário, defesos por lei, divergentes ao contrato assinado;
  2. tratar o empregado ou subalterno com rigor excessivo;
  3. o empregado correr perigo manifesto de mal considerável;
  4. o empregador ferir as obrigações contratuais;
  5. praticar ato lesivo contra o empregado (seja o empregador, preposto ou familiares do empregador);
  6. ofença física ao empregado (salvo em legítima defesa ou de outrem);
  7. redução da carga de trabalho que afete sensivelmente seu salário.

Caso uma das situações acima venha a se concretizar, um funcionário poderia acionar a justiça para que, um Juíz, dados os devidos fatos, possa rescindir o contrato. Essa recisão tem a mesma caractarística de umadispensa sem justa causa.

Como a ISO/IEC 27002 poderia ajudar uma empresa a mitigar ameaças em recursos humanos?

  1. recomendando segregação de função, evitando trabalho excecivo ou além das responsabilidades de um funcionário;
  2. recomendando delegação de funções e o correto detalhamento das suas atividades evitando que o funcionário desconheça as suas reais atribuições;
  3. realizando trabalho de consientização em segurança reforçando aos empregados a importância de conhecer bem suas atividades bem como ao empregador a preocupação em evitar sobrecarga de função...

A Segurança da Informação ajuda as empresas a reduzirem ameaças a um nível aceitável que, de outra forma, poderiam ocasionar perdas financeiras, de imagem, qualidade de serviços e produtos e disponibilidade por conta de vulnerabilidades encontradas em seus recursos tecnológicos, de infraestrutura física, processos e aspectos em recursos humanos.

Quando pensar em proteger a empresa contra ameaças, quando pensar em reduzir riscos, não enxergue apenas os recursos tecnológicos, o elo mais fraco é, e sempre será, o ser humano! Aborde-o também em suas medidas para mitigar ameaças.

"Prevenir é sempre a opção mas barata, ainda que custe caro!" - Luis Wilker

Fonte: WilkerNet
Por Consultor às
Marcadores:

Nenhum comentário:

Postar um comentário

Olá deixe sua opinião ela é muito importante.

Assinar: Postar comentários (Atom)