Com o olhar sério sobre a segurança das infra-estruturas críticas que começa a despontar em Portugal, por força da legislação Europeia, suspeitamos que, em breve, se coloque na ordem do dia a discussão sobre a figura do responsável de segurança da organização que, por força das circunstâncias, cedo ou tarde, passará a ser o responsável pela segurança integral da organização, incluindo nesta “integralidade” a vertente safety, security e segurança das tecnologias de informação.
Expliquemo-lo.
A segurança de uma organização é assegurada por todos e por cada um dos seus integrantes.
Para além de serem participantes efectivos na segurança, e dada a interdependência existente entre as componentes da organização, devem estas também ser “objeto” de proteção, pois um incidente que as tenha por alvo tem repercussões imediatas, mediatas ou longínquas na globalidade da organização, com potenciais impactos de diferente gravidade.
Por outras palavras, a segurança de uma organização, actualmente, não se compadece com divisões artificiais ou com nomenclaturas menos adequadas e ultrapassadas, pois a única coisa que conseguem é criar objetivos díspares – que, ainda assim, muitas vezes não são atingidos – e desperdício de recursos económicos.
Um exemplo prático, mas muito simples, ilustra a questão.
Um acidente de trabalho, domínio por excelência da componente safety de uma organização, pode, por força da gravidade do seu impacto, atingir a imagem da organização, um dos domínios da componente security.
(Perguntar-se-á: porquê a imagem da organização pertencer ao domínio da componente security? Porque é a esta que compete a proteção dos ativos e a imagem da organização não é mais do que um ativo, intangível, é certo, mas um ativo.)
O inverso também é verdadeiro; pense-se num derrame intencional/malicioso de um produto perigoso, claramente responsabilidade de security, mas cujos efeitos terão necessariamente que ser mitigados pela safety de uma organização.
Se estes exemplos são elucidativos, adicione-se agora a dimensão informacional, a qual não é dispensável em qualquer organização atual, e acrescenta um conjunto de riscos de segurança que devem também ser tratados pelas organizações como forma de sobrevivência básica.
Por outro lado ainda, sendo a imagem um dos maiores, senão o maior, dos ativos de uma organização, isto traduz-se numa multiplicidade de potenciais alvos com impactos significativos naquela. Assim, desde a segurança pessoal de um administrador na sua vida particular, até às condições nas quais se recebem visitantes numa organização tudo é importante para que a segurança consiga prevenir incidentes proporcionando a salvaguarda de todos os ativos.
Ou seja, a segurança de uma organização é multidimensional, mas tem como único objetivo a proteção da organização, entendida esta no seu sentido mais amplo.
A situação tradicional da divisão estrutural entre security, safety, e segurança da informação, respondendo a diferentes graus hierárquicos e funcionais, atualmente não parece fazer qualquer sentido por força da inultrapassável interdependência existente entre estas funções, da falta de eficácia resultante da redundância de recursos, medidas e procedimentos – que muitas vezes se atropelam com resultados paradoxalmente negativos, por falta de uma visão de conjunto – e da falta de eficiência derivada da prolixidade de recursos humanos, tanto ao nível estrutural como operacional; não menos importante, é a incapacidade de obter uma visão de conjunto ampla propiciando uma função proativa (verdadeiro desígnio da função segurança da organização) versus a indesejável reatividade, proporcionando necessariamente um conhecimento dos riscos específicos e dos riscos transversais a toda a organização, capacidade de os gerir e mitigar gerando poupanças económicas significativas em caso do sempre possível impacto e, naturalmente, criando sinergias de recursos pela sua utilização mais racional, adequada e partilhada.
Para continuar a ler, faça já a sua assinatura.
