Muito se fala em segurança da informação na área de TIC (Tecnologia da Informação e Comunicação), e em qualquer livro sobre o tema se observa uma tríade que sempre se referência a pessoas, processos e tecnologia.
Mas se a tríade é referenciada na literatura porque nada se muda, os processos continuam sendo mapeados sem avaliar a segurança dos dados, as pessoas continuam sem receber treinamento sobre o assunto e a solicitação para gastar orçamento em tecnologia somente tende a aumentar.
Será que o problema está nos Gestores de TI que não conseguem alinhar os negócios da organização a área de TI ou o inverso, a alta gestão pública ou privada que não consegue de fato compreender que segurança da informação não está relacionada a apenas a área de informática.
Torna-se muito comum encontrar profissionais de TI falando sobre governança de TI, da importância de alinhar os negócios a TI, das melhores práticas da ITIL, COBIT e outros Frameworks, mas na prática se observa que o discurso é bonito, mas os mesmos muitas vezes não sabem alinhar os conteúdos.
Ao mesmo tempo existe a alta gestão da organização que não compreende que a área de TI apenas fornece um meio (tecnologia) para o negócio, é que se torna necessária a compreensão do administrador de empresas ou gestor conhecer sobre a área de segurança da informação, pois não está se discutindo sobre tecnologia e sim sobre o maior bem da organização a “informação”.
A informação é o bem mais precioso da organização, fato que não precisa de muitos esclarecimentos, uma vez que, através de alterações dos dados pode se obter benefícios ou prejuízos a organização como de fato a mídia vem demonstrado a todo instante.
O jornal Estado de Minas Gerais publicou, em 19 de fevereiro, a seguinte matéria: “Investigação sobre uso de diplomas irregulares revela que golpe se alastrou na administração pública”. Ao meu ver, isso mostra uma falta de preparo existente nas organizações sobre o tema segurança da informação, problema este que ocorre também nas empresas privadas.
Este debate sobre o tema não é algo simples, uma vez que ainda na maioria das grandes organizações elas tentam acabar com as inúmeras bases de dados de informação departamental existentes, mas este tipo de informação que sai na imprensa mostra a necessidade de ter uma atuação mais presente das organizações sobre o tema Segurança da Informação em sua gestão.
Mas afinal, neste caso de quem é a responsabilidade? RH, Alta Gestão, Gestor de TI, Auditoria ou todos? Para a literatura este problema é bem claro: “Segurança da Informação é responsabilidade de todos”. Mas quando isso de fato vai ocorrer?