O perigo senta ao lado

Estávamos almoçando numa mesa com vários colegas da área de Segurança de TI, daqueles que falam sobre antivirus, firewall, controles de acesso, hackers, fraudes… até que a conversa foi para o lado das pessoas.

Acho que ele estava se referindo a nós como empregados… e eu respondi que todos nós somos a ligação entre processos e tecnologias. A empresa pode ter processos, pode ter tecnologia… se as pessoas não estiverem alinhadas, nada disso funcionará.

Não foi isso. Eu devo ter me atrapalhado com o pedido. Ele queria saber se dava para falar de riscos em relação aos funcionarios. Qualquer um de nós que tenha um problema pessoal em andamento torna-se um risco em potencial para o negocio. Imagine um de nós trabalhando distraído, preocupado com casa, escola, crianças, com a conta bancária no vermelho (vermelho mesmo!)… alias, uma pesquisa informal em nossa mesa apontou um alto grau de endividamento pessoal (ou familiar nos casos de conta conjunta, sic). Qual é a risco que a empresa corre de um funcionario cometer um erro acidental ou intencional durante a execução de uma atividade?

Ah… isso não é problema de segurança de TI, isso é com o RH. Vamos discutir primeiro os problemas com o RH. A sugestão é que o profissional que se encontra numa condição desta, deva procurar aconselhamento no RH e deixar a operação “em paz”. Numa empresa com mais de 25 empregados deve existir um programa de assistência como beneficio padrão. Afinal, os empregados são o sangue da empresa e a empresa deve suportar os empregados, principalmente quando necessitam.

Quer dizer que o RH empresta dinheiro? (normal, com gelo e limão)

Caramba, deixa eu dizer o que penso, mas sob o ponto de vista da gestão de riscos. Assumindo que somos colegas de trabalho em condições normais de temperatura e pressão, recomendo manter atenção sobre o que nós fazemos na empresa durante nosso dia de trabalho. Penso que momentos de desespero resultam em medidas desesperadas. Eu nunca pensaria que meus gerentes ou diretores cometeriam erros ou fariam a coisa errada, mas eu seria cauteloso e teria meus indicadores para saber se alguma desonestidade ocorreu ou se alguma regra de conduta foi quebrada.

O que pode exatamente ser feito a respeito? Observem a SOX
(Sarbanes-Oxley) cujo foco principal são os controles financeiros da empresa. Espere, que não estou sugerindo que saiam do almoço (pode me passar o sal, por favor?) e implementem um programa completo de conformidade SOX quando de fato não é necessário nada mais do que possuir os controles certos em atividade, em monitoramento, e um bom processo de segregação de funções. Eu até sugiro manter o inventario mensal em dia para saber se algum ativo anda desaparecendo. Algumas destas minhas sugestões podem demandar muito esforço ou recursos, mas o que quero transmitir é que devemos ter os instrumentos próprios (de acordo com o tipo e tamanho da empresa) e prontos para entrar em ação quando um problema acontecer. Deixei quieto, mas “problemas acontecerem” são os eventos, previstos na avaliação de riscos e que estão previamente calculados em termos de probabilidade de ocorrência e o impacto que a empresa sofre. (tem pudim de leite?)

Sob o ponto de vista de políticas, normas e procedimentos, eu estou me referindo às expectativas que a empresa tem de comunicação com seus empregados. Nossos amigos da Segurança da Informação não tem nada a fazer (planos de ação) desde que cada funcionário tenha ciência da existência das políticas (treinamento, localização dos documentos, campanhas), o que é considerado como comportamentos aceitáveis e as punições envolvidas nas violações das políticas e normas profissionais (pessoais também) de comportamento.

Podemos minimizar apenas os problemas mais leves. Um cenário de falência financeira pessoal é a pior coisa que pode acontecer financeiramente a um ser humano, independente de seu cargo na hierarquia corporativa. Se a empresa puder oferecer suporte e aconselhamento, mas de forma próativa, estes custos de agora economizarão muito dinheiro mais tarde, quando por exemplo a empresa for citada em todos os jornais porque um funcionário seu promoveu um desfalque. (quem vai de café?)

Anúncios