É um pouco ilusório acreditar que podemos evitar que os usuários finais (autorizados) encontrem meios de acessar os dados corporativos nos seus próprios equipamentos. Isso pode ser atribuído em parte ao fim da jornada de trabalho de oito horas. Sabemos que as demandas dos negócios podem surgir a qualquer hora do dia, em qualquer dia da semana.

Cada vez mais as empresas esperam que seus funcionários estejam disponíveis “a qualquer hora, em qualquer lugar” para atender as demandas dos negócios; e esses funcionários nem sempre podem utilizar seu computador corporativo para ver um email ou documento urgente. Nós precisamos estar conscientes de que a disseminação do uso de dispositivos pessoais exige fácil acesso aos dados corporativos. Além de tudo, é mais simples carregar menos equipamentos, com mais funcionalidades.

Assim, o treinamento do usuário final em relação às questões de segurança é essencial. Ainda que sejam excelentes as suas políticas, o elo mais fraco nem sempre está do lado de uma pessoa mal intencionada, mas geralmente do lado de um usuário bem intencionado que vai pelo caminho errado.

Implemente políticas adequadas de segurança, seja flexível e encontre a medida certa para manter o controle sobre os ativos críticos sem sufocar a produtividade. Em muitos casos, um usuário que não conheça os processos e políticas, no afã de fazer a coisa certa, pode expor a empresa.

Não é muito complicado explicar porque existem as políticas e porque elas são importantes. Vá além de declarar: “essa é a nossa política”. Explique aos funcionários porque as políticas existem e como garantem a segurança dos dados corporativos. Você não pode agradar a todos o tempo todo, mas se conseguir que os funcionários compreendam a lógica das políticas, eles se tornarão mais atentos a ações que possam prejudicar a empresa e seus ativos.

Ao desenvolver e implementar as melhores práticas de segurança de acesso à rede, não se esqueça do lado das telecomunicações e do lado “físico” do seu negócio. Muitas empresas estão tão preocupadas em proteger suas redes que esquecem que a telefonia tradicional (telefones, faxes, modens) também apresenta muitos riscos. E com a diversidade de aparelhos eletrônicos, refresque a sua memória (e também a dos funcionários) sobre as políticas de segurança sobre cópias impressas de documentos, orçamentos e anotações em papel feitas durante as reuniões. Muitas vezes as cópias impressas e papéis são deixados para trás no bolso do assento de um avião, em táxis, ônibus ou no hotel.

Finalmente, é importante que você teste seus processos de segurança regularmente. Encontre maneiras de monitorar os ambientes e assegurar que os procedimentos corretos estão sendo seguidos – e treine continuamente seus funcionários. Implemente as métricas adequadas para medir os riscos para o negócio e compare os resultados com os objetivos não só de limites de risco, mas também com os de governança  e compliance.

Leve esses dados para as reuniões do Conselho para identificar onde deve estar o seu foco. Esses dados são os recursos mais valiosos para assegurar que as políticas de segurança estão atualizadas dentro do ambiente empresarial atual.

Jeff Schmidt está à frente das áreas de Business Security, Continuity & Governance practice da BT