Pessoas são recursos tão essenciais dentro da organização que a ISO 9000:2015 deixa isso registrado. Ainda que essa importância pareça óbvia, nem todos profissionais percebem sua importância no desempenho da organização, afinal ela é dependente de como as pessoas se comportam dentro do sistema em que trabalham. Por isso, esta norma considera que a conscientização só é alcançada quando as pessoas entendem suas responsabilidades e como suas ações contribuem para a realização dos objetivos da organização.
Neste contexto, as políticas servem como linhas-mestras para todas as atividades de segurança da informação desempenhadas em uma organização e são importantes para o trabalho de todos os colaboradores. Há ainda importância adicional para aqueles que trabalham na sua aplicação, como os profissionais de tecnologia e serviços gerenciados de segurança.
Em complemento, a norma ISO/IEC 27001:2013 apresenta uma cláusula específica sobre conscientização, em que determina: pessoas que realizam trabalho sob o controle da organização devem estar cientes da Política de Segurança da Informação. Diante disso, investir em programas de treinamento e conscientização de colaboradores é fundamental para disseminar o assunto por toda empresa.
Por outro lado, pode surgir o questionamento: por que se preocupar com conscientização em um mundo tão tecnológico, automatizado e “independente” das pessoas? Digo isso porque tenho a percepção de que muitos acreditam que documentar e automatizar processos podem substituir facilmente as pessoas. Tenho dúvidas a respeito.
Vamos então conferir nosso atual cenário com alguns números relacionados às Pessoas e o mercado de segurança:
- 594 milhões de pessoas no mundo foram afetadas pelo cibercrime em 2015
Norton Cybersecurity Insights Report
- 56% dos executivos acreditam que colaboradores são responsáveis por algum tipo de ameaça
18ª Global Information Security Survey
- 44% dos executivos definiram a conscientização e treinamento em segurança como alta prioridade em suas organizações
18ª Global Information Security Survey
- 93% dos executivos indicam que as certificações para profissionais de TI são valiosas ou muito valiosas como uma forma de validar conhecimentos e habilidades relacionadas à cibersegurança
Relatório Tendências Internacionais em Segurança Cibernética
- 30% das violações de dados foram causados por negligência de funcionários ou das próprias organizações quanto à segurança de seus dados
2016 Ponemon Cost of Data Breach Study
Por fim, a maioria dos entrevistados na pesquisa mundial sobre fraude realizada neste ano pela The Economist Intelligence Unit informou que fraudes corporativas tem origem dentro das próprias empresas. O que ao meu ver, é uma informação que reforça a necessidade de investimentos nos colaboradores, na conscientização e nos controles de segurança. Afinal, a Segurança da Informação depende de todos.
Fontes:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 9000: Sistemas de gestão da qualidade – Fundamentos e vocabulário. Rio de Janeiro, 2015.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro, 2013.
RAMOS, Anderson (Org.). Security Officer-1: guia oficial para formação de gestores em segurança da informação. Porto Alegre: Zouk, 2006
