Vejamos um grande projeto de uma empresa automobilística. Suas informações fundamentais se referem a uma nova diretriz de expansão para a China. Esta informação é confidencial. Para a equipe de projetistas é passada a informação de nível derivado: todos os módulos de display dos novos veículos devem ser capazes de tratar pelo menos 7 línguas. Os projetistas não ficam sabendo que o modelo vai entrar no mercado chinês, mas apenas que pelo menos será fornecido para 7 países. A falta de uma informação confidencial não vai impedir que façam o seu trabalho.
De acordo com as especificações dos projetistas, a equipe que fará os dicionários receberá os termos básicos que serão neles colocados, talvez com saída por voz.
Portanto, expondo somente as camadas de informação necessárias para os fornecedores de bens e serviços, até o limite mínimo para que possam realizar o que foi pedido, mantém-se a CONFIDENCIABILIDADE.
A informática
Este aspecto CONFIDENCIAL da informação fica difícil de ser controlado quando a mesma precisa ser colocada em bancos de dados e acessível pelos sistemas da firma em questão. Os profissionais do CPD tem acesso tanto às regras de negócio (como são obtidas e tratadas as informações) quanto às próprias informações. Não adianta cercar o acesso às informações com permissões, pois dominando a plataforma e a tecnologia, qualquer um destes profissionais pode ter acesso a tudo. Descobrem uma senha e acabou a segurança. Se até leigos conseguem, com algum esforço, burlar o acesso às informações dos cartões bancários, que dirá dos profissionais bem preparados.
Neste caso, vemos que é mais razoável os profissionais de informática produzirem engines especificadas da seguinte forma:
Uma informação (não se fala a natureza de significado) entrará e será transformada segundo uma fórmula.
Portanto, quem faz a aplicação não é o profissional de computação. Ele apenas compõem um "engenho", uma "máquina programacional" que faz determinada transformação segundo uma especificação, capaz de ser parametrizada por um profissional que domina o ramo da informação que vai ser tratada, para que só este último conheça o "segredo" do negócio.
Esta forma de trabalhar exige mais do segundo profissional citado. Um caso parecido é o dos analistas de negócios que extraem informações dos armazéns de dados (OLAP) para planilhas, e ali tratam estas informações segundo o seu conhecimento.
Excessiva preocupação com segurança
Vamos pesar algumas coisas e obter a justa medida:
- A Gestão de Conhecimento pretende democratizar informações vitais para o aumento da eficiência do negócio;
- Queremos que o negócio funcione pelos processos, e não pelas pessoas;
- Queremos a circulação rápida da informação;
- O grupo é mais importante que o indivíduo, pois o mais desejável é o trabalho em equipe.
Ora, ao longo dos últimos anos, uma elite da gerência dos CPDs (nome antigo dos Datacenters) trabalhou com afinco para convencer a alta gerência das empresas, em nome da garantia de um poder leviano, que o acesso à informação das empresas deveria ser o mais restrito possível. TUDO EM NOME DA ILUSÃO DE UM PODER SEM SENTIDO.
Hoje, 30 % do tempo de quem trabalha na frente de uma estação de trabalho computadorizada é desperdiçado com restrições de acesso, , discussões banais sobre a necessidade deste acesso e queda de desempenho pelo exagero de carga dos programas de antivirus. Auditorias de empresa se direcionaram mais para este lado, pois é mais fácil questionar acesso a esta ou aquela informação (pois o computador está bem à mão) do que ir atrás de desvios de dotações orçamentárias, uso indevido de poderes contidos nas procurações e outras coisas que se constituem no real "buraco" de vazamento de dinheiro.
Monitores de atividade
Inspirados pelos keyloggers (programas para capturar a digitação de dados pessoais) desenvolvidos pelos hackers, as empresas de informática, objetivando somente o lucro, convenceram as administrações das empresas a implantar estas ferramentas. Estes são programas pesadíssimos, que oneram o desempenho das estações de trabalho e enervam os usuários. As máquinas conectadas às redes são padrão e fechadas, mas estes programas monitoram constantemente se o usuário coloca alguma coisa indevida. Como ele vai fazer isto se sequer tem acesso à algumas pastas e diretórios do seu próprio computador ?
A solução é colocar a mão na cabeça e ver o ridículo de certas restrições. Os usuários estão sendo mais produtivos em casa, com equipamento comprado apenas com um orçamento magro do que em suas modernas estações de trabalho em uma empresa grande e lucrativa. E por que? Porque os administradores das empresas se curvam ao discurso e à falácia dos espertalhões que vendem antivirus, monitores e de ineficientes sistemas de Service-desk.
Back orifice
A contradição é tanta, que a empresa, preocupada com segurança, entrega aos Service-desks o acesso à TODAS as suas estações de trabalho. Mesmo com monitoramento do usuário que está à frente da máquina, acessos como back orifices (portas dos fundos) podem ser feitos com aparência de uma colocação normal de atalho que depois desaparece, compartilhamentos invisíveis e permissões camufladas.
Solução
Trabalhar em ferramentas de e-groups e certificação digital e dividir as redes maiores em redes menores. Além disso, valorizar o trabalho em casa por meio período, via sistemas de compartilhamento de informações em grupo.
Evite o contato com consultores que vendem enormes e caros pacotes de segurança que podem ter vários canais de escoamento de informação para destinos inimagináveis, principalmente se sua empresa participa de concorrências internacionais. E leia sobre o projeto Echelon, para ver até que ponto chega a fuga de informações de sistemas empresariais.
Leia também Confidenciabilidade, Terceirização e Licitações
Nenhum comentário:
Postar um comentário