Ano passado eu tive a felicidade de completar 10 anos de carreira na área de segurança da informação e desde do começo eu sempre atuei com GRC (Governança, Riscos e Compliance).
Assim como qualquer outra área da segurança, a atuação em GRC nos exige muitas coisas e uma delas é saber avaliar um processo e a partir dessa avaliação, identificar gaps ou riscos que podem não somente impedir que a saída final do processo não seja a esperada, mas principalmente que possa comprometer os princípios da segurança da informação (Confidencialidade, Integridade e Disponibilidade) de alguma maneira.
Sem exageros, em todas as experiências profissionais que tive nesse tempo de área, quando chegou o momento de acompanhar como um determinado processo é executado ou entrevistar os atores envolvidos nas atividades, quando questionado por mim quando identifiquei algo que chamou minha atenção, eu sempre me deparei com alguém falando algo semelhante ao: "mas eu sempre fiz assim".
O "mas eu sempre fiz assim" é aquele vou fazendo porque nunca deu problema, nunca aconteceu um incidente, faço somente minha parte mas não penso no próximo, não ligo se o jeito que está executando pode prejudicar a equipe, as áreas pares ou até mesmo a companhia.
A maioria das pessoas que me deparei e que se expressaram com essa fala, sempre estiveram abertas para entender qual seria a forma correta e o porquê a forma como ela estava executando era a errada e que riscos de segurança ela estava gerando para a companhia. Ou seja, estavam abertas para melhorar, fazer o certo.
Porém, e a parcela menor que acaba sendo mais resistente? Que não quer dar o braço a torcer? Que realmente quer continuar executando como sempre fez?
Obviamente, sou muito defensor de nós insistirmos, como já abordei por aqui na conscientização, usando diversos meios na repetição, mas é fato que se mesmo recebendo tantas orientações e insumos, o colaborador e/ou prestador de serviço continua sendo reincidente, por exemplo, executando mudanças nos servidores de produção sem seguir um processo de gestão de mudanças, armazenando informações corporativas em locais não permitidos, liberando acessos sem seguir o processo estabelecido e etc. Com certeza para eles serão aplicadas medidas disciplinares. Aquelas mesmas descritas no controle 6.4 da 27002:2022 e na própria CLT...
Da forma como falei acima, está parecendo que quero criar alguma polêmica ou discutir se aplicar as medidas disciplinares para todo reincidente é certo ou errado, não é mesmo!? Mas por favor, não entendam assim! A real mensagem que quero passar para você que está lendo ou que convive com pessoas que falam: "Mas eu sempre fiz assim" é que independente de onde estivermos, precisamos ter responsabilidade, ética, proatividade, querer sempre melhorar, estar aberto a corrigir os nossos erros. Aqui, vai muito além de ter responsabilidade com as informações da empresa ou dos clientes que você trabalha, envolve como você quer ser reconhecido ou visto na sua vida pessoal e/ou profissional.