Porque implantar uma politica de controle em um ambiente corporativo?

CONTROLE, POR QUÊ?

Gustavo André de Freitas

gustavo@gfsolucoes.net

O casal Laudon, em seu livro Gerenciamento de Sistemas de Informação (2001), define controle como “a combinação de medidas manuais e automatizadas que protegem os sistemas de informação e asseguram que eles sejam executados de acordo com os padrões gerenciais”.

Os sistemas de informação são uma série de componentes que interagem entre si recebendo, processando, armazenando, distribuindo e controlando a informação por toda a empresa, com o intuito de auxiliar à tomada de decisão.

Mas controlar os sistemas de informação por quê? O que motiva uma equipe de TI de uma empresa a “comprar briga” com os demais departamentos para implantar uma política de controle do parque de máquinas e colaboradores? A equipe de TI precisa ter essa resposta antes de começar a planejar e implementar uma política de segurança, ou ela não sairá da fase de planejamento devido a resistências dentro da empresa.

Erros, desastres, vandalismo, mau uso, falta de conhecimento, brechas na segurança. Existem vários motivos para controlar o parque de máquinas de uma empresa. No livro A Arte de Enganar (2003), Kevin Mitnick considera o fator humano como “o elo fraco da segurança”. Ele afirma, com sua experiência em engenharia social, que não importa o quanto se invista em segurança física (guardas de segurança, trancas automáticas, alarmes) e lógica (firewall, antivírus), o fator humano será decisivo.

Decisivo pra quê? Para deixar os sistemas de informação da empresa vulnerável, a mercê de pessoas que querem se apoderar deles para tirar vantagem competitiva ou comercial, ou somente apagar dados e comprometer todo o sistema da empresa. A internet está repleta de relatos de empresas que tiveram seus sistemas invadidos e corrompidos. Algumas foram à falência. Um exemplo claro, a cada hora que os sistemas de informação das firmas de corretagem estão parados custa a elas US$ 6 milhões. As empresas são totalmente dependentes de sua tecnologia e nenhuma empresa, pública ou privada, está fora dessa regra.

Laudon fala em “padrões gerenciais”, ou seja, o controle deve restringir ao máximo, mas sem prejudicar os processos que precisam fluir na empresa. Então o controle que serve perfeitamente para a empresa A, pode ser ineficaz na empresa B. A empresa precisa estabelecer esses padrões gerenciais para que a equipe de TI possa planejar e implementar as políticas de segurança. Pesquisas divulgadas pelo site IDGNow! revelaram que mais de 78% das empresas que permitiam que seus colaboradores utilizassem a rede de computadores sem nenhum controle amargaram prejuízos financeiros. A mesma pesquisa ainda revelou que 60% dessas empresas foram infectadas por spyware e 30% por vírus.

Por isso a equipe de TI precisa restringir acesso a programas, bloquear sites e não conceder poderes administrativos nas máquinas, pois não importa o cargo, a posição social ou o conhecimento, indubitavelmente o fator humano é decisivo para que um ambiente corporativo se torne altamente vulnerável. Quanto maior o controle e as limitações impostas aos colaboradores, menor a possibilidade da empresa sofrer uma invasão.

Mas controlar estações de trabalho e colaboradores não é um prazer e sim um desafio para a equipe de TI. Quando o número de estações entra na casa das dezenas, o controle manual se revela insuficiente e o desafio começa a ficar complicado, não sendo mais possível vencê-lo sem automatizar essa tarefa. Vários sistemas operacionais no mercado, como Windows Server, Linux e Unix, auxiliam a equipe de TI nessa tarefa, mas esse é um assunto para outro artigo.