No mundo dos negócios existem vários exemplos de combates semelhantes com aquele narrado na história bíblica de Davi e Golias. Grandes negócios o conflito quando gigantes, são grandes negócios com empresas, sendo muitas vezes, vencidas pela regras internacionais projetadas e para pessoas comuns os gigantes — e para pessoas comuns os grandes.
Quando de Segurança da Informação parece que o combate fica ainda mais evidente. Eu no exército de um auditório e Golias — em uma multinacional — e, ao receber documentos técnicos em pequenos fornecedores, parava-me com recursos incompatíveis com entidades de realidade já nas visitas políticas, procedimentos e que eram a base para os mesmos procedimentos meus questionamentos e processos nos parceiros comerciais.
No entanto, ao entender o mundo descrito nas políticas internas nem sempre pode ser replicado em outras organizações, a identificar, dentro das “casas dos Davis”, quais são os outros controles ou processos que podem substituir as nossas regras rígidas, que podem ser implementadas como regras. em um meio-termo que satisfaz tanto a “fúria” de Golias quanto os “recursos” de Davi. Até porque inúmeras vezes, sem esse meio-termo, corria-se o risco de inviabilizar um novo produto ou serviço que poderia contribuir para o sucesso das duas empresas.
Mas o mundo, atualmente, fora das grandes, volta e faço o trabalho junto às pequenas empresas de Davi. Posso dizer que já tenho contato com dois tipos de gigantes. Um tem foco em facilitar a conversa e tentar entender o tamanho do fornecedor, bem como suas ferramentas, em busca de um consenso que possa ajudar o lado comercial. Questionários, achar e e-mails fazem parte de conversas e nos ajudam a uma solução não perfeita, mas isso é possível para os dois lados. Em exemplos desse tipo até injusto chamar, escolha vez de “combate”, uma vez que possuem um tom de conciliação.
De outro lado, já lidei também com gigantes intransigentes e quase cegos para a realidade de fora dos seus muros burocráticos. A situação fica um pior quando são envolvidos tempos técnicos, pouco conhecimento do processo, que são apenas válidos naquele tipo antigo: o “/crachá”. Ao fazer uma pergunta técnica em uma resposta determinada, não se encontra o modelo da documentação exatamente como está sendo testado, inválido o potencial fornecedor como “desacordo” com as regras. Neste caso, de pouco vale tentar agendar reuniões ou enviar mensagens detalhando os controles compensatórios, pois o gigante, do alto dos seus modelos internos, não admite que seja minimamente diferente que conhece e que se sente confortável.
Por tudo isso, vejo que nós, profissionais da Segurança da Informação, temos nossa lição de casa para ajudar a desatar esse nó e evitar outros combates cansativos e desgastantes para os dois lados:
- Quando representamos pequenas e médias empresas, é nossa obrigação de promoção da importância de controles e documentação de documentação. Tem que deixar de ser o de atrapalhar a atividade comercial interna ou qualquer de marketing, mas sim, o de ajudar a empresa a mostrar o seu objetivo com relação aos concorrentes, que é justamente o nosso objetivo com a sua preocupação com a segurança da informação em todos os níveis, independentemente do seu tamanho. Em outras palavras, temos que jogar luz nas vantagens da tríade Governança, Risco e Controle.
- Quando chegarmos a todos os fornecedores, mas buscar que todos os controles são necessários, sim, os controles necessários para proteção dos produtos e serviços a todos fornecidos pelos fornecedores, mas entender que existem várias maneiras de implementos e nem exatamente o lado certo. temos internamente. Um exemplo é o da segregação de funções — em tempos reduzidos, muitas vezes é inviável vários termos de funções participando de um processo, mas um controle automático durante o processo e um relatório com trilha de auditórios acaba sendo uma medida de compensação do processo.
Na história bíblica, Davi vence o combate e corta a cabeça de Golias. Não é meu intuito, de forma alguma, sugerir que se corte a cabeça de quem quer que seja. Mas por que a cabeça não usa mais ela mesma, para buscar possíveis e viáveis para a solução das mais diversas relações comerciais?