Segurança da Informação: como cultivar uma cultura que tire as regras do papel

Esse é um conteúdo oferecido por:   Dell Microsoft

Laís Grilletti
Laís Grilletti

Time de Conteúdo

Não basta pensar em uma política de segurança da informação para a sua empresa, é preciso, antes disso, cultivar uma cultura que a tire do papel.

Imagine que sua casa seja uma das mais seguras da região. Você colocou várias trancas na porta, um sensor biométrico para abrir o cofre, alarme e até um cão de guarda. Ela está equipada com os melhores controles, mas quando você sai, deixa as travas abertas, o alarme desligado e o cachorro preso na coleira. Para Eric Alberto, Líder de Segurança da Informação da Acesso Digital, essa é a imagem perfeita de seu trabalho: ele pode implementar os melhores controles e certificações disponíveis, mas só terá eficiência se a segurança da informação fizer parte da cultura e for compartilhada por todo time.

Quando Eric chegou em 2012, a organização começava a se relacionar com empresas de grande porte do setor financeiro que faziam uma avaliação de risco mais rígida. Ao mesmo tempo, outros clientes começavam a perguntar qual era a estrutura de segurança para proteção de informação, já que o produto da Acesso Digital era um sistema de gerenciamento eletrônico de documentos (GED). Todos esses questionamentos levaram a empresa, pela primeira vez, a prestar depoimento sobre sua estrutura de controle, proteção e uso dos dados. Uma situação que serviu de alerta a Diego Martins, fundador da Acesso Digital. Era o momento de trazer um especialista para arrumar a casa.

Em janeiro de 2012, Eric tinha duas missões: implementar os controles de segurança e ajudar Diego a cultivar esse valor no jeito de ser da Acesso Digital.

Para endereçar o primeiro desafio, Eric dividiu o trabalho em três etapas:

1. Mapear toda a estrutura das informações

O primeiro passo foi entender como os dados estavam estruturados até então. Na época, o data center era em ambiente privado, com uma unidade em São Paulo, sem estrutura de continuidade para o caso de qualquer ataque ou incidente que comprometesse os equipamentos.

2. Identificar os fatores críticos

A partir disso, Eric passou a desenhar o nível de sensibilidade e criticidade daquelas informações. Elas poderiam ser usadas por alguém mal intencionado, seja um criminoso ou uma concorrência? O que aconteceria com a empresa e os empreendedores se esses dados vazassem? Poderia significar o fim do negócio?

Dados de pessoas físicas, como documentos pessoais, comprovantes de endereço, e informações críticas de grandes corporações, por exemplo, são considerados de alto risco e, portanto, são confidenciais.

3. Calcular o nível de vulnerabilidade das informações

Qual é a probabilidade de vazamento desses dados, de acordo com a estrutura de segurança atual? Se para acessar um sistema, por exemplo, os usuários tiverem criar senhas fracas como 1234, o risco de invasão é extremamente alto.

Dessa forma, Eric criou um Mapa de Fatores de Risco que combinava os itens mais críticos de impacto no negócio com a probabilidade do incidente de segurança acontecer. Com isso, foi montado um grande plano de ação para os controles, priorizando o que parecia mais urgente, de acordo com uma classificação de risco em baixo, médio, alto ou crítico.

Ali começou uma nova fase na jornada da Acesso Digital. A política de segurança que guiaria a estratégia da área, a partir de então, seguia três princípios:

1. Integridade

A informação é 100% confiável e à prova de erros? Se, por engano, os documentos de um indivíduo forem associados a outro, a integridade da informação é quebrada. Ou se, por descuido, um desenvolvedor quebra uma linha no banco de dados pulando o CPF, perde-se a compatibilidade de nome e numeração. Dessa forma, o Acesso facilitado ao banco ou um processo que permite o surgimento de erros humanos são considerados fatores de vulnerabilidades que devem ser mitigados em qualquer sistema, para aumentar a segurança.

2. Confidencialidade

As informações de uma pessoa pertencem somente a ela, e só podem ser compartilhadas por quem ela autorizar. Desse modo, esse princípio evita o vazamento de informações e possíveis ataques hackers, por meio de controles de privacidade e de proteção aos dados.

3. Disponibilidade

Imagine um sistema de dados que está fora do ar por três dias, sem possibilidade de Acesso? Esse é um fator de risco para o negócio. Sem ele, não é possível gerar uma venda, fazer um cartão de crédito ou pagar uma nota fiscal porque o ambiente está indisponível.

Por conta desse último princípio e da priorização feita no mapa de riscos, Eric fez uma transição da estrutura privada de data center para uma versão mais segura. No formato atual, os dados estão armazenados em servidores distintos, para o caso de contingência ou instabilidade em um deles.

Nessa linha, também, o padrão de segurança foi definido com regras que envolvem, por exemplo, a criação de senhas fortes que precisam ser trocadas periodicamente, políticas de bloqueios e, em alguns casos, até de autenticação biométrica para Acesso das informações.

O conjunto dessas regras, ao lado de soluções de tecnologia confiáveis, se transformou em um Manual de Política e Diretrizes compartilhado com todo o time, gerando também projetos de adequação de produtos, processos e infraestrutura ao novo padrão de controle.

Esse ponto, para Eric, é fundamental para o sucesso de uma política como essa. A cultura do time é o que difere uma casa bem segura, com todas as portas trancadas; ou um ambiente todo equipado, mas no qual alguém esqueceu o cofre aberto.

A mudança de mentalidade da equipe passa por três fases. “No início, trata-se da memória de curta duração. Você faz um treinamento, dá uma palestra e trabalha a mesma ideia repetidas vezes. No dia seguinte, porém, com metas para bater, o time acaba deixando a porta aberta porque já se esqueceu do que foi dito.”, ele conta.

É preciso, ainda, mexer com a memória de média duração — ativar a emoção da pessoa. Na prática, o dia a dia tratava de deixar o time bem alerta sobre os perigos do vazamento da informação: eles presenciavam as tentativas de ataques hackers, as investidas para invadir o sistema — interceptadas pelo time de Eric graças aos processos implementados — e até as ameaças sofridas pelo time de Atendimento para que revelassem a senha de Acesso ao sistema.

Com o tempo, essas histórias se sedimentaram na cabeça das pessoas, junto com o esforço ativo do time de Data Privacy, criando crenças e valores que estabelecem uma memória de longa duração. Os treinamentos, os processos, comitê semanal, as reuniões quinzenais com todos colaboradores e o onboarding dos novos no time acabaram, aos poucos, mudando fundamentalmente a cultura de toda a equipe.

Em 2016, essa preocupação ganhou ainda mais força com a mudança estratégica feita pela scale-up. Além de armazenamento eletrônico de documentos, eles almejavam criar uma ferramenta para simplificar a vida de qualquer pessoa. Com ela, por meio de um aplicativo no celular, você pode salvar os seus documentos, compartilhá-los com qualquer pessoa ou empresa e assinar contratos digitalmente, agilizando processos de admissão, compra de um produto ou pedido de crédito. Dessa forma, o usuário terá total controle das informações pessoais — e ainda assegura de que seu nome não está sendo usado para fraudes ou crimes de falsa identidade.

Em termos de segurança, porém, essa mudança viria com uma responsabilidade ainda maior.

“Se já enfrentávamos estes desafios de segurança por conta do armazenamento eletrônico de documentos, imagine no momento em que tivermos as informações dos brasileiros e a transparência de uso dos dados?”

Eric Alberto, Líder de Segurança da Informação

Nesse período, toda a arquitetura da Acesso mudou: da estrutura organizacional à infraestrutura de tecnologia. Uma das mudanças mais importantes, no entanto, aconteceu no final de 2017, com a criação de uma estrutura de Privacidade e Proteção de Dados. Formada pela fusão dos processos Jurídicos e de Segurança da Informação, ela criou um novo protocolo de Compliance para tudo que seria criado dentro da organização. Tudo mesmo. Cada nova funcionalidade de produto hoje passa pela validação do time antes de ser lançada.

Toda essa mudança de mentalidade se reflete hoje na relação criada com os clientes. Se em 2012, a Acesso precisava se explicar ao ser questionada sobre sua política interna, hoje, o time de Eric conversa diretamente com os profissionais técnicos dos grandes clientes atendidos, em um dialeto que inclui os controles, medidas de segurança e diretrizes sobre a privacidade dos dados.

O amadurecimento dessa cultura de segurança e privacidade foi tão grande que a relação se inverteu: esse ano, a Acesso Digital começou a orientar os clientes sobre as melhores práticas de privacidade da informação. Para Eric, esse tema está evoluindo rápido e pode colocar muitas empresas não preparadas em situações de risco.

Enxergar isso antes de todo mundo foi o grande salto que a empresa deu para se tornar uma organização preparada para essa realidade. O que ficou claro para todo o time com as experiências dos últimos anos é que, sem segurança, não existiria futuro para a Acesso Digital.

O exemplo da Acesso é referência para toda empresa digital que deseja crescer em alta velocidade — sem abrir mão da segurança. Por isso, esse artigo é um oferecimento de Dell e Microsoft, parceiras da Endeavor na disseminação de materiais de gestão que ajudem empreendedores do Brasil inteiro a crescer — usando a tecnologia a seu favor.