Carência Corporativa
Todas as pessoas que convivem ou conviveram no mundo corporativo por um razoável período de tempo já notou que há uma regra não escrita, um sentimento não declarado chamado carência corporativa.
Quem nunca se deparou com situações onde um outro profissional tenta justificar suas limitações ou fracassos culpando seus colegas, sua liderança, a organização ou até mesmo o modelo capitalista pregado pela sociedade ocidental?
Quem nunca passou pelo constrangimento de outro profissional condicionar suas ações desde que haja uma ação específica (aquela pessoa que diz que, se a pessoa da TI não arrumar seu notebook, não haverá pagamento no dia seguinte ou algo similar)?
Quem nunca, agora em Segurança da Informação, nunca foi questionado pela sua própria atuação e natureza de sua área (com perguntas como “Mas o que vocês fazem?”, “Vocês só trazem custos e burocracia, e não produzem nada e nenhum valor à empresa?”)?
O ponto é que uma organização corporativa é uma sociedade e, tal qual em qualquer grupo de pessoas, os interesses individuais prevalecem dado o instinto humano.
Em Segurança da Informação exemplos são inúmeros e, para que possamos identificar e combater este tipo de cultura oculta, listo aqui alguns casos:
- Demandas sem sentido
Em organizações multinacionais é muito comum, principalmente em países emergentes, como o nosso, que nos reportemos ao Global, que nada mais é do que a matriz que regula a nossa área de atuação, nos condicionando, essencialmente, a sermos braços e executores da estratégia já definida. O principal problema deste item é que muitas das ações são sem sentido, levando do nada a lugar algum e, por anos, as pessoas executam isso sem questionar.
- Politicagem
De longe, o tema mais controverso da cultura organizacional. A política em si é do ser humano, da sua forma de se relacionar e negociar, mas a politicagem é o seu uso deturpado, sem razões genuínas e sem que a ética prevaleça. As chamadas carteiradas e ações provenientes de pessoas superiores hierarquicamente, mas não necessariamente intelectualmente, são algo que frutra e trás prejuízos.
- Viagens e reuniões
Também algo comum e corriqueiro, as viagens e reuniões são altamente questionáveis e evitáveis, onde pessoas se deslocam e se reúnem nem sempre com objetivos ou mesmo objetivos claros, sendo necessário que as demandas sejam filtradas, as pessoas sejam selecionadas e que as decisões sejam estruturadas. Portanto, reuniões e viagens podem ser, em sua esmagadora maioria, substituídas por emails ou mensagens (no primeiro caso) ou reuniões remotas.
- Conscientização
Dor de cabeça da área de Segurança da Informação, a questão de conscientização é muito condicionada à cultura das pessoas e, por vezes, obervamos que não há atenção devida e que as pessoas não se importam com isso. É preciso que as pessoas se sintam pessoalmete tocadas pois, apenas institucionalmente, não há motivação suficiente para que o indivíduo mude seus hábitos e torne o ambiente mais seguro.
- Auditorias
Qualquer auditoria conta com emoções e, em Segurança da Informação, ficamos à mercê das áreas produtivas, tanto em sua postura quanto em sua conduta. Pessoas despreparadas, sem senioridade, sem compromisso frequentemente são as alocadas pelas lideranças para atender a estas questões que, de fato, precisam ser adequadamente atendidas e são parte do processo corporativo, e não para satisfazer a área de Segurança da Informação em si.
Os perrengues que passamos são diversos, mas a recompensa de implementarmos um programa de Segurança da Informação, uma cultura voltada a isso, uma norma ISO 27001 ou qualquer outro item relacionado compensa o sacrifício e, como missão, temos de combater isso e tornar nosso ambiente viável do ponto de vista produtivo, porém seguro (ao menor risco possível).