Porque implantar uma politica de controle em um ambiente corporativo?

controle, por quê?

gustavo andré de freitas

gustavo@gfsolucoes.net

o casal laudon, em seu livro gerenciamento de sistemas de informação (2001), define controle como “a combinação de medidas manuais e automatizadas que protegem os sistemas de informação e asseguram que eles sejam executados de acordo com os padrões gerenciais”.

os sistemas de informação são uma série de componentes que interagem entre si recebendo, processando, armazenando, distribuindo e controlando a informação por toda a empresa, com o intuito de auxiliar à tomada de decisão.

mas controlar os sistemas de informação por quê? o que motiva uma equipe de ti de uma empresa a “comprar briga” com os demais departamentos para implantar uma política de controle do parque de máquinas e colaboradores? a equipe de ti precisa ter essa resposta antes de começar a planejar e implementar uma política de segurança, ou ela não sairá da fase de planejamento devido a resistências dentro da empresa.

erros, desastres, vandalismo, mau uso, falta de conhecimento, brechas na segurança. existem vários motivos para controlar o parque de máquinas de uma empresa. no livro a arte de enganar (2003), kevin mitnick considera o fator humano como “o elo fraco da segurança”. ele afirma, com sua experiência em engenharia social, que não importa o quanto se invista em segurança física (guardas de segurança, trancas automáticas, alarmes) e lógica (firewall, antivírus), o fator humano será decisivo.

decisivo pra quê? para deixar os sistemas de informação da empresa vulnerável, a mercê de pessoas que querem se apoderar deles para tirar vantagem competitiva ou comercial, ou somente apagar dados e comprometer todo o sistema da empresa. a internet está repleta de relatos de empresas que tiveram seus sistemas invadidos e corrompidos. algumas foram à falência. um exemplo claro, a cada hora que os sistemas de informação das firmas de corretagem estão parados custa a elas us$ 6 milhões. as empresas são totalmente dependentes de sua tecnologia e nenhuma empresa, pública ou privada, está fora dessa regra.

laudon fala em “padrões gerenciais”, ou seja, o controle deve restringir ao máximo, mas sem prejudicar os processos que precisam fluir na empresa. então o controle que serve perfeitamente para a empresa a, pode ser ineficaz na empresa b. a empresa precisa estabelecer esses padrões gerenciais para que a equipe de ti possa planejar e implementar as políticas de segurança. pesquisas divulgadas pelo site idgnow! revelaram que mais de 78% das empresas que permitiam que seus colaboradores utilizassem a rede de computadores sem nenhum controle amargaram prejuízos financeiros. a mesma pesquisa ainda revelou que 60% dessas empresas foram infectadas por spyware e 30% por vírus.

por isso a equipe de ti precisa restringir acesso a programas, bloquear sites e não conceder poderes administrativos nas máquinas, pois não importa o cargo, a posição social ou o conhecimento, indubitavelmente o fator humano é decisivo para que um ambiente corporativo se torne altamente vulnerável. quanto maior o controle e as limitações impostas aos colaboradores, menor a possibilidade da empresa sofrer uma invasão.

mas controlar estações de trabalho e colaboradores não é um prazer e sim um desafio para a equipe de ti. quando o número de estações entra na casa das dezenas, o controle manual se revela insuficiente e o desafio começa a ficar complicado, não sendo mais possível vencê-lo sem automatizar essa tarefa. vários sistemas operacionais no mercado, como windows server, linux e unix, auxiliam a equipe de ti nessa tarefa, mas esse é um assunto para outro artigo.