No mundo dos negócios existem vários exemplos de combates parecidos com aquele narrado na história bíblica de Davi e Golias. Geralmente, o conflito acontece quando gigantes multinacionais fazem negócios com pequenas empresas, sendo essas, muitas vezes, vencidas pela burocracia e regras internas desenhadas pelos e para os próprios gigantes — e não para pessoas comuns, como Davi.
Quando falamos de Segurança da Informação parece que o combate fica ainda mais evidente. Eu já estive no exército de um Golias — em uma multinacional — e, ao receber documentações ou mesmo fazer visitas e auditorias técnicas em pequenos fornecedores, deparava-me com realidades incompatíveis com aquelas listadas nas políticas, procedimentos e manuais que eram a base para os meus questionamentos e revisões nos processos dos parceiros comerciais.
No entanto, ao entender que o mundo perfeito descrito nas políticas internas nem sempre poderia ser replicado em outras organizações, passei a querer identificar, dentro das “casas dos Davis”, quais outros controles ou processos poderiam substituir as nossas regras rígidas para que pudéssemos chegar em um meio-termo que satisfizesse tanto a “fúria” de Golias quanto os “recursos” de Davi. Até porque, inúmeras vezes, sem esse meio-termo, corria-se o risco de inviabilizar um novo produto ou serviço que poderia contribuir para o sucesso das duas empresas.
Mas o mundo dá voltas e, atualmente, fora das grandes corporações e trabalhando junto a pequenas empresas, faço o papel de Davi. Posso dizer que já tive contato com dois tipos de gigantes. Um tem foco em facilitar a conversa e tentar entender o tamanho do fornecedor, bem como suas ferramentas, em busca de um consenso que possa ajudar o lado comercial. Questionários, reuniões e e-mails fazem parte dessas conversas e nos ajudam a achar a solução não perfeita, mas aquela possível para os dois lados. Em exemplos desse tipo, acho até injusto chamar essas interações de “combate”, uma vez que possuem um tom de conciliação.
De outro lado, já lidei também com gigantes intransigentes e quase cegos para a realidade de fora dos seus muros burocráticos. A situação fica um pouco pior quando são envolvidos times técnicos globais, sem nenhum conhecimento do processo local, que são apenas validadores daquele tipo antigo: o “cara/crachá”. Ao verificarem uma resposta para uma determinada pergunta técnica, se não encontram o formato da documentação exatamente no modelo com o qual estão acostumados a trabalhar, invalidam a evidência e carimbam o potencial fornecedor como “em desacordo” com as regras. Neste caso, de pouco vale tentar agendar reuniões ou enviar mensagens detalhando os controles compensatórios, pois o gigante, do alto dos seus modelos internos, não admite nada que seja minimamente diferente daquilo que conhece e com o que se sente confortável.
Por tudo isso, vejo que nós, profissionais da Segurança da Informação, temos nossa lição de casa para ajudar a desatar esse nó e evitar outros combates cansativos e desgastantes para os dois lados:
- Quando representamos pequenas e médias empresas, é nosso dever a promoção da conscientização sobre a importância de controles e de documentação. Temos que deixar claro que nosso objetivo não é o de atrapalhar qualquer atividade interna comercial ou de marketing, mas, sim, o de ajudar a empresa a mostrar o seu diferencial com relação aos concorrentes, que é justamente a sua preocupação com a segurança da informação em todos os níveis, independentemente do seu tamanho. Em outras palavras, temos que jogar luz nas vantagens da tríade Governança, Risco e Controle.
- Quando estamos do lado de grandes instituições, devemos, sim, exigir os controles necessários para proteção dos produtos e/ou serviços a serem entregues pelos fornecedores, mas buscar entender que alguns controles possuem várias maneiras de serem implementados e nem todas são exatamente iguais àquelas que temos internamente. Um exemplo clássico é o da segregação de funções — em times reduzidos, muitas vezes é inviável termos várias funções participando de um processo, mas um controle automatizado durante o processo e um relatório com trilha de auditoria pós processo acaba sendo uma medida compensatória.
Na história bíblica, Davi vence o combate e corta a cabeça de Golias. Não é meu intuito, de forma alguma, sugerir que se corte a cabeça de quem quer que seja. Mas por que não usarmos ela mesma, a cabeça, para buscar soluções possíveis e viáveis para a concretização das mais diversas relações comerciais?