Ramiro Rodrigues é gerente de Serviços da empresa de segurança de TI Arcon,
Se há um benefício na vida profissional de um consultor que reconheço é a chance de observar várias realidades corporativas distribuídas por distintos segmentos, portes e culturas organizacionais. Em particular, sempre tentei aproveitar estas situações e conhecer melhor as particularidades – algumas vezes muito distantes e, ao mesmo tempo, interessantes – das minhas experiências. Lógico que também escuto mazelas, sejam sobre a estruturas da organização, contextos de mercado ou ainda, relações pessoais. Mas uma delas sempre me impressionou pela reincidência com que escutei. Independentemente, do porte, segmento ou cultura, sempre ouço a retórica dita: “aqui, nós nos comunicamos mal”. O que, depois de algum tempo, me levou a perceber que não se tratava de uma particularidade da empresa A ou B, mas, sim, de uma das fragilidades humanas apenas potencializada e disseminada dentro do ambiente corporativo. Interesses particulares, falta de governança ou desorientação são algumas das possíveis causas deste mal que parece constante às corporações em quaisquer de seus níveis estruturais.
Muitos bons autores e teóricos já discorreram pensamentos muito bem estruturados e interessantes sobre as falhas da comunicação corporativa. A mim, chama especial atenção a miopia causada por uma das propriedades essenciais da segurança da informação que percebo mal aplicada, não raramente, pelos níveis mais altos da hierarquia das organizações: a confidencialidade.
Segundo definição encontrada na Wikipédia, confidencialidade é a propriedade da informação pela que não estará disponível ou divulgada a indivíduos, entidades ou processos sem autorização. O site ainda complementa que a confidencialidade foi definida pela Organização Internacional de Normalização (ISO) na norma ISO/IEC 17799 como “a garantia que a informação seja acessível apenas àqueles autorizados a ter acesso”.
Creio que vale a pena reler a última frase do parágrafo acima, pois é onde parece residir, na má interpretação desta, a essência da questão. Confidencialidade é, por conceito, a necessidade de que as informações corretas cheguem às pessoas certas. A dificuldade parecer estar, então, em conseguir conectar corretamente estes dois grupos. E, diante do medo de errar, não raro se percebe confundirem a confidencialidade com a supressão da informação que, na prática, significa a retenção das informações muitas vezes essenciais para a fluência dos processos organizacionais.
Para ilustrar a questão, pense no caso de um alto gerente que não consegue dirimir qual a informação que deve estar restrita ao nível estratégico da organização daquela necessária para seus comandados diretos. Se, no primeiro caso, incorre no risco de deixar vazar informações que deveriam ser restritas – por exemplo, investimentos a serem feitos ou diminuição de equipes – no outro, onde as informações deveriam estar, mas não estão acessíveis à equipe, pode-se ter paralisia nos processos operacionais acarretando no curto prazo em retrabalhos, desgastes e ineficácia. No médio prazo, esta dificuldade pode ainda trazer perda da credibilidade e confiança da equipe perante este nosso gerente.
Para minimizar estes riscos e buscar tratar a confidencialidade de melhor forma na sua organização, é recomendado observar bem estes três cuidados fundamentais:
Desenvolva e divulgue a política de classificação das informações: o conhecimento disseminado desta política é essencial para o entender como classificar e tratar cada tipo de informação
Garanta a aplicação desta política: uma vez conhecido o modelo desta classificação, o grande desafio é fazer com que suas orientações sejam adotadas como regras em toda troca de informações, sejam em sistemas, e-mails ou quaisquer outras comunicações
Maturidade e bom senso: não raro determinadas informações ficam em ponto limiar entre um nível de classificação ou outro, como, por exemplo, “uso interno” ou “pública”, demandando capacidade de antevisão do seu responsável quanto aos possíveis desdobramentos na forma em que se optar por tratá-las.
É verdade que não é um conceito simples de aplicar, especialmente, para um gerente de projetos de Tecnologia da Informação (TI) e ainda mais para gerentes de projetos de segurança, pois o rigor e cobrança por precisão crescem constantemente e, por isso, são necessários cuidados redobrados. A vida em sociedade se encarrega constantemente de nos ensinar quanto às consequências de não “filtrar” corretamente as informações certas para as pessoas certas. No entanto, é este mesmo bom senso, somado a competência que se pressupõe dos profissionais que alçaram as posições mais altas na hierarquia das corporações, que deve sustentar a correta distribuição da informação para permitir fluir as operações de suas empresas com a devida segurança e agilidade.
Pode contar isto para todo mundo!