A Cultura (de Riscos) come a estratégia (de Segurança da Informação) no café da manhã.

Neste artigo, irei abordar a relação direta entre a cultura de risco das organizações e a segurança da informação, baseado na minha vivência profissional e em relatos de colegas de mercado.

Na minha trajetória profissional, vivenciei o tema Segurança da Informação em diferentes segmentos. E percebi diferentes tratativas sobre o tema.

E salvo circunstâncias, consigo definir o que chamei de tratativas no parágrafo anterior de Cultura de Risco.  

Antes de entrar no cerne deste artigo, vou explanar de forma resumida o que é Cultura e possíveis conflitos envolvendo este tema.

O que é Cultura?

Dentre diversas definições, gosto da definição do IRM que diz que “Cultura são os valores, crenças, conhecimentos e entendimentos, compartilhados por um grupo de pessoas com um propósito comum”.

E para explicar cultura, precisamos também definir o que é Atitude (posição adotada relativa a uma situação) e Comportamento (ações observáveis, como decisões, processos e comunicação).

Isto posto, Cultura pode ser explicada pelo Modelo A-B-C, que diz que:

(A) Atitudes moldam os (B) Comportamentos que formam a (C) Cultura. E a Cultura (C), por sua vez, influencia as Atitudes (A) e os Comportamentos (B), dentro de um modelo cíclico.

Note também que, neste modelo, temos apenas (B) Comportamento como algo observável, enquanto (A) Atitudes e (C) Cultura não são observáveis.

Nos aprofundando neste modelo, podemos refletir o quão únicos são as Culturas das empresas. Isto inclusive nos leva a facilmente entender eventuais conflitos de Cultura em incorporações de empresas. No livro Paixão de Vencer (recomendo a leitura), Jack Welch cita alguns momentos bastante complexos que vivenciou com conflitos de Culturas.

E por falar em conflito de culturas, e até para exemplificar o que seria um conflito deste, um exemplo que gosto de compartilhar é o presenciado na Carta do Cacique Seattle para o Presidente Americano, onde após receber uma oferta de compra por suas terras pelo governo americano, o Cacique menciona que não poderia vender algo que não é dele, e sim da natureza.

Creio que não preciso mencionar que Cultura é algo complexo e demorado para se mudar.

Então, por que não entendermos a cultura de riscos da empresa para definirmos como seguir com o tema Segurança da Informação? E como podemos minimamente nos utilizar disto?

Abaixo, elenco algumas perguntas (não exaustivas) que podem ajudar. E a intenção não é adjetivar ou julgar nenhuma Cultura.  A intenção é que você entenda o contexto de onde você está, e como pode utilizar disso no âmbito profissional.

1)      Identificar Risco é algo bom ou ruim?

Como a organização se mostra neste sentido? Se em algumas empresas descobrir um risco antes que este se materialize pode ser bom, em outros lugares isto pode ser visto como “mais um problema”.

2)      Onde os assuntos de Risco e Segurança da Informação são tratados?

Identifique se existem comitês de risco / segurança, onde assuntos relevantes sobre o tema são pautados entre os cargos executivos da organização.

3)      Infrações são punidas ou são negligenciadas?

Caso exista alguma violação de política / regra / conduta, como a organização trata o tema?

4)      Como são recebidas as diretrizes de segurança da informação?

Sua empresa trata como mandatório, opcional ou apenas informativo as diretrizes de segurança?

5)      Qual é o investimento de segurança da informação?

Aqui conseguimos ver o peso do tema mediante ao budget destinado. Neste cenário, é comum fazermos uma proporção com o nível de investimento em TI. Algumas empresas de pesquisa têm referências sobre este tema.

6)      A organização é receptiva ao tema de ameaças?

Existe abertura para a segurança da informação compartilhar as ameaças envolta a sua organização, inclusive tratar tendências envolvendo este tema?

Somado a isso, precisamos observar também se a organização não adere a “Teoria da Janela Quebrada”, além de precisarmos entender alguns fatores geográficos que competem a alguns de nós brasileiros, como o famoso “jeitinho”, a aversão a cumprir regras e a cultura da impunidade.

Mediante as respostas dos itens acima, compete analisarmos como melhor conduzir as obrigações com os controles da segurança da organização, e de como fazer o melhor possível entendendo o contexto em que estamos inseridos.

E isto engloba também a formação dos times. Como exemplo, a polícia inglesa não usa armas, e nem por isso deixa de fazer segurança. Mas, em contrapartida, este não é o melhor perfil de profissional para subir um morro em busca de traficantes.

Sem entender o contexto, não adianta querer implantar o framework da moda, ou até mesmo usar a tecnologia mais moderna que promete fazer mágica com Inteligência Artificial.

Por fim, sem a correta leitura do seu ambiente, suas tecnologias poderão ser o maior problema da organização (com a narrativa de que “só bloqueiam nosso trabalho”), seus controles poderão ser apenas planilhas, e seu planejamento / plano diretor pode ser apenas mais alguns slides.

Referências:

O Modelo A B C - The A B C of Risk Culture (2022) (youtube.com)

Carta do Cacique Seattle para o Presidente Americano - (FO-CX-43-2698-2000.pdf (funai.gov.br))