Internalização de Controles: Conscientização Generativa em S.I.

‎Por Edison Fontes

A segurança da informação acontece pelas pessoas. Elas podem ser o elo mais forte se tratadas adequadamente em relação aos controles de segurança da informação. É importante lembrar que a segurança da informação atende ao pilar de sustentabilidade da Governança Corporativa.

Normalmente tratamos a conscientização em segurança da informação de uma maneira tradicional de comunicar para o usuário várias regras e definições para que o mesmo no desempenho das suas atividades profissionais, cumpra as mesmas e normalmente não questione. Esta maneira funciona porém com uma atuação limitada. Em uma organização mais estruturada, onde tudo acontece relativamente dentro de padrões e de previsibilidade, ela funciona razoavelmente bem. Mas estamos em uma Sociedade Liquida (Zygmunt Bauman) onde temos a Informação Liquida (Edison Fontes), onde a informação se apresenta de forma estruturada, não estruturada, com representatividade visual diversa, em novos ambientes como redes sociais, em diversos tipos dispositivos, em qualquer momento, em qualquer lugar e acessível por qualquer pessoa inclusive com idades totalmente distintas. Sendo assim precisamos mais que conscientização, precisamos da internalização da segurança da informação, para que os conceitos dos controles façam parte da mente e do sentimento da pessoa.

Para a melhoria deste entendimento, precisamos internalizar estes conceitos: precisamos de uma conscientização generativa. Nesse contexto, a conscientização generativa significa uma abordagem essencial para transformar a cultura organizacional e garantir que os princípios de segurança sejam compreendidos e aplicados de forma natural e espontânea. E complemento, é necessário que as pessoas deixem de ser envolvidas com a segurança da informação e se transformem em pessoas comprometidas e em agente influenciador e de mudança, promovendo uma transformação organizacional de proteção a informação.

A conscientização generativa, diferentemente dos modelos tradicionais baseados em regras e conformidade, busca uma mudança de comportamento e criar uma cultura em que os indivíduos compreendam o porquê dos controles e os integrem ao seu comportamento cotidiano de mente e alma. Esse modelo baseia-se no aprendizado dinâmico e na reflexão contínua sobre riscos e responsabilidades, permitindo que as boas práticas de segurança sejam naturalmente incorporadas ao ambiente organizacional.

A conscientização generativa refere-se à capacidade da criação pela própria pessoa de novos conteúdos e posicionamentos de segurança em situações não previstas de maneira estruturada.

Os principais elementos para a construção de uma conscientização generativa:

Educação Contínua: Programas de capacitação interativos e contextualizados, que estimulam a reflexão crítica sobre ameaças e vulnerabilidades.
Autonomia e Responsabilização: Encorajamento para que os colaboradores identifiquem e reportem riscos de forma proativa, sem dependência exclusiva de regras formais.
Feedback e Aprendizado Organizacional: Implementação de mecanismos de comunicação e aprendizado coletivo para que as lições extraídas de incidentes sejam disseminadas e absorvidas.
Reflexão sobre Consequências: Demonstração de impactos reais das violações de segurança, tornando a proteção da informação uma responsabilidade pessoal e coletiva.
Entendimento de Gestão de Riscos: as decisões para situações não previstas de uma maneira estrutural e não registradas em regulamentos, devem ser avaliadas e decididas pelos usuários aplicando a Gestão de Riscos.
Entendimento da Responsabilidade Individual, para o bem Coletivo: o usuário entende da sua responsabilidade pessoal, mas também da importância do grupo.

Quando os controles de segurança são internalizados, os colaboradores deixam de agir apenas por obrigação e passam a adotá-los de maneira espontânea, resultando em:

Redução de falhas humanas e otimização da resposta a incidentes.
Melhor aceitação das diretrizes, pois são compreendidas como fundamentais e não apenas como imposição.
Engajamento coletivo na proteção dos dados e ativos da empresa. Maior fortalecimento da Cultura de Proteção da Informação.
Prevenção proativa, reduzindo vulnerabilidades, falhas e erros no ambiente de informação.

Conclusão

A internalização de controles é um estágio avançado de maturidade em segurança da informação, e sua consolidação depende de um processo contínuo de conscientização generativa. Ao transformar a segurança da informação em um valor compartilhado, as organizações deixam de depender exclusivamente da imposição de regras e passam a contar com a adesão ativa e espontânea dos seus colaboradores, tornando o ambiente mais resiliente e seguro.

É um tema fascinante. Vamos conversar mais sobre este assunto?

Grande abraço!

CONSELHEIR@

Edison Fontes

Sou Profissional de Proteção da Informação, Continuidade de Negócio, Resiliência Digital, Conformidade com Direcionadores Estratégicos e Proteção da Privacidade. Mestre em Tecnologia e Certificado CISA – Certified Information System Auditor, CISM – Certified Information Security Manager, CRISC – Certified in Risk and Information Systems Control, todas ISACA-USA.

Desempenhei função de Gestor de Segurança em instituições financeiras e empresa internacional de alta disponibilidade. Adaptei para o Brasil metodologia global de gestão de continuidade de negócio de consultoria internacional, onde fui executivo responsável pelo produto continuidade de negócio.

Sou professor convidado de pós-graduação e autor de oito livros sobre segurança da informação.