A Segurança da Informação tem sido um tema em bastante evidência nas empresas de diversos portes e segmentos. Alguns líderes e gestores incluem em seus planejamentos a disponibilidade de recursos para investimentos em SI. Ao perguntar para esses mesmos gestores no que será investido, a maioria informa que investirá em ferramentas de SI como firewall, monitoramento pró-ativo, AntiSpam, IPS, soluções “totalprotect” buscando aumentar a proteção do negócio e seus ativos.
Ao investir somente em ferramentas de segurança para proteção, podemos ter um cenário parecido ao de uma residência que utiliza alarmes de última geração, cercas elétricas, fechaduras biométricas e quando um carteiro chega para entregar a correspondência, o hospedeiro sai desse perímetro de segurança para receber pessoalmente sua correspondência, anulando todas as proteções implementadas, sendo esse apenas uma questão comportamental. Nessa linha de raciocínio, podemos realizar uma auto avaliação em nossas organizações e avaliar se os colaboradores estão desempenhando suas atividades com base nas melhores práticas. Podemos ter a tecnologia como um apoio na implementação dos controles de segurança, mas a maioria dos atacantes já perceberam que direcionar ataques a usuários, é mais efetivo que direcionar ataques contra ferramentas de proteção, sendo mais ágil e efetivo o ataque ao elo mais fraco da SI, que são os usuários, que precisam ser vistos e avaliados pelos seus gestores e responsáveis como ativos importantes, visto que manuseiam diariamente informações das organizações.
A melhor ferramenta para proteção de usuários, é o treinamento e a conscientização, usando estratégias de divulgação e elaboração de material personalizado, atingindo a todos os colaboradores da organização.
Atualmente existem controles baseados nas normas ISO/IEC 27001 e ISO/IEC 27002 que podem ser utilizados para confecção de materiais e criação de politicas e diretrizes de segurança da informação.
Mais uma vez ratifico que a área de SI não está localizada dentro da área de tecnologia da informação, sendo a área de SI totalmente estratégica e alinhada aos objetivos do negócio, definidos pela alta diretoria. As ferramentas são regularmente administradas por analistas e administradores de redes, que cumprem solicitações avaliadas e definidas por gestores de SI e TI.