O que é mais importante no PCN?
Recentemente fui questionado sobre o que é mais importante no PCN e prontamente respondi, são as pessoas.
Tenho a convicção que pessoas são mais importantes em todos os processos, não somente no PCN, mas também na Gestão de Segurança da Informação, na Gestão de Serviços de TI, na Governança de TI, na Conformidade ou Compliance, entre outros.
Já estive em grandes empresas contendo ferramentas e soluções relativamente caras, como já estive em empresas com o mínimo de ferramentas e soluções. O fator crítico para tratativa do incidente ou crise era o fator humano.
Vamos a um exemplo fora do mundo de TI, vou ilustrar com outro processo muito importante, brigada de incêndio e teste de evacuação.
Quantas vezes nesse teste você encontrou aquela pessoa que continua trabalhando e sentada em sua mesa?
Quantas vezes você encontrou pessoas que se quer deram-se o trabalho de participar do teste?
Normalmente as pessoas não dão valor ao planejamento, sendo assim, no momento de crise não será possível estar preparado para responder ao incidente, e caso o planejado não seja suficiente para atender a crise, não será possível analisar as causas e melhorar o plano.
Outra questão muito comentada ultimamente é a prevenção, principalmente em se tratando de sistemas de tecnologia, poucas as empresas possuem processos consistentes, como, patch management, processos de gestão de controle de acesso e permissões.
Passei algumas semanas refletindo sobre a pergunta “O que é mais importante?”, e entendo que as empresas, gestores, diretores e até mesmo as pessoas, esquecem que as organizações são formadas por pessoas.
Mantem os esforços na implantação de ferramentas de TI para mitigação de riscos de cybersecurity e esquecem do principal ponto de falha, onde pesquisas apontam que cerca 27% das violações de segurança são causadas polo fator humano.
Isso também se dá pela facilidade na implantação de ferramentas de segurança como por exemplo firewall novo ou a troca de um antivírus, em comparação a mudança da cultura ou a conscientização de uma organização para tornar os colaboradores em um representante consciente dos riscos e das ameaças que os envolvem e o seu papel e responsabilidade na mitigação desses riscos.
Pingback: Um grande estrago! - Portal GSI