Conceitos de Gestão Segura do Conhecimento

A Gestão do Conhecimento tem se tornado uma das mais evidentes fontes de vantagem competitiva e sustentável das organizações (KOGUT e ZANDER apud PARK et al, 2006, p. 421). Como conseqüência dessa necessidade, existe a crescente dependência de tecnologias de gerenciamento do conhecimento, como data wharehouses, repositórios e sistemas interativos de gerenciamento do conhecimento. Sendo que esse crescimento tecnológico na área tem gerado novos desafios para uma eficiente proteção das informações e do acúmulo de conhecimento, agora distribuídos e compartilhados em larga escala e em tempo real nas organizações (LEE et al apud PARK et al, 2006, p. 421).

Para que o conhecimento seja utilizado de forma a integrar as atividades do negócio, alavancar oportunidades e promover sua sustentabilidade, ele deve ser eficazmente disponibilizado de forma a atingir o alvo específico no tempo certo. Fomentar sua criação e

distribuição ao mesmo tempo em que são protegidas as informações e conhecimentos organizacionais já adquiridos é o desafio conjunto que compete aos pesquisadores e estudiosos da área de Segurança da Informação e Gestão do Conhecimento.

Para Park et al (2006, p. 421) pesquisadores que outrora estavam associados a disciplina de Segurança da Informação agora são requisitados para cobrir um leque mais amplo de práticas de Gestão do Conhecimento como criação, armazenamento, comunicação e promoção do conhecimento organizacional. Barth (apud UPADHYAYA, RAO e PADMANABHAN, 2005) acrescenta a essa linha de pensamento, que o momento é de integrar as atividades de inteligência e segurança a outras estratégias e processos de Gestão do Conhecimento.

Upadhyaya, Rao e Padmanabhan (2005) explicam que os métodos de segurança para os Sistemas de Gestão do Conhecimento devem incluir autenticação ou senhas, programas de criptografia, sistemas de detecção de intrusões ou sistemas de controle de acesso. Além disso, questões como proteção às ameaças internas da organização, proteção da infra-estrutura, o estabelecimento de políticas adequadas e o refinamento e a certificação de cumprimento dessas políticas.

A Gestão Segura do Conhecimento pode ser compreendida através dos três Cs: Comunicação; Colaboração e Conteúdo; agindo como portais corporativos para acesso ao repositório de conteúdo intelectual. Destacam ainda, três questões que devem ser tratadas através da Gestão Segura do Conhecimento, sendo elas: Linguagens Seguras; Gerenciamento de direitos digitais e Segurança em Gestão de Conteúdo; descritas da seguinte forma (UPADHYAYA, RAO e PADMANABHAN, 2005).

• Linguagens Seguras: compreende o uso de linguagens seguras para comunicações e colaboração entre colaboradores e organizações, podendo reforçar a segurança dos Sistemas de Gestão do Conhecimento. Entre as ações

realizadas por essas linguagens está o controle de acesso de usuários ou gerenciamento de identidade. As linguagens seguras são complementadas pelos “círculos de confiança” que têm por objetivo prover a segurança de comunicação entre duas ou mais organizações compartilhando autenticação de fornecedores ou consumidores através de uma interface única.

• Gerenciamento de direitos digitais: os sistemas de gerenciamento de direitos digitais têm sido tradicionalmente utilizados com foco na segurança e criptografia para atenuar os problemas relacionados a infrações e uso desautorizado de direitos autorais. Esses sistemas agem de forma a bloquear conteúdo e limitar a distribuição a consumidores subscritos. As soluções de gerenciamento de direitos autorais incluem a descrição, identificação, negociação, proteção, acompanhamento e monitoramento de todas as formas de direitos usados através de ativos tangíveis e intangíveis incluindo o gerenciamento dos titulares do direito.

• Segurança em Gestão de Conteúdo: auxilia na correta rotulação de conteúdo relacionado ao negócio. Entre as ferramentas que compõem esse tipo de solução estão as que atendem ao interesse de implementar políticas corporativas, as de cumprimento às regulações de privacidade, as que limitam a responsabilidade legal, as que aumentam a produtividade do empregado, e as de redução de consumo de banda de rede de comunicação. Ferramentas com esse fim já são comercializadas rotuladas geralmente como ferramentas de conformidade legal e de melhores práticas, antivírus, identificação proativa para bloqueio de códigos maliciosos, filtragem inteligente de e-mails e sites de internet, identificação de palavras chave para resguardar a transmissão de informações confidenciais e de

propriedade da organização através de e-mails, e soluções de centralização do gerenciamento de segurança.

A partir dessas definições, Upadhyaya, Rao e Padmanabhan (2005) apresentam o que chamam de framework da Gestão Segura do Conhecimento representada na Figura 22. O framework compreende a existência de dois triângulos conceituais interligados. A corrente maior da estrela foca nas questões de segurança, conhecimento e gerenciamento; enquanto que o triângulo no centro representa o conteúdo, comunicação e colaboração.

Figura 22 - Framework de GSC, adaptação de Upadhyaya, Rao e Padmnabhan (2005).

Para Randeree (2006) o conceito de Gestão Segura do Conhecimento ainda se encontra em estágio embrionário, isso porque o foco de pesquisas e estudos na área de Gestão do Conhecimento também é recente. Segundo observado pelo autor, a proteção do conhecimento recebeu pouca atenção na literatura científica. Pesquisa realizada por Asllani e Luthans (apud Randeree, 2006) com 307 gestores do conhecimento apontam pouca ou nenhuma evidência de

questões relacionadas à segurança entre suas atribuições de trabalho, sendo identificado como principal papel a comunicação dentro da organização.

Da mesma forma como existe confusão no uso dos termos conhecimento e informação, tal equívoco se expande para as disciplinas de Segurança da Informação e para a recente discussão do tratamento da segurança do conhecimento.

Distinguindo os conceitos, Randeree (2006) apresenta que o gerenciamento da informação envolve o processamento de dados através de planilhas, banco de dados, aplicações, programas e etc., sendo que sua representação está geralmente associada a representações explícitas e objetos codificados. Existem diversas aplicações e produtos comerciais voltados a essa área, entre as questões principais tratadas através da proteção da informação estão criptografia, autenticação segura baseada em senhas, controle de acesso a redes remota, mecanismos de autenticação e proteção física, além de envolver questões relacionadas a coleta de informações por meio de uso impróprio, erros e uso não autorizado.

Por outro lado, o gerenciamento do conhecimento é mais intangível e menos codificável, o foco está na aprendizagem, inteligência, inovação e etc. A proteção do conhecimento é mais abrangente do que a simples proteção dos dados e informações, sendo para a questão de segurança o principal desafio do conhecimento a sua natureza fluídica, ou seja, sua natureza intangível e associada à experiência (RANDEREE, 2006).

Randeree (2006) afirma que a construção do modelo de segurança do conhecimento deve estar focalizada nos atuais indicadores de conhecimento utilizados pela organização, sendo esses indicadores medições relacionadas a capacidade de pesquisa e desenvolvimento, a patentes, comparação de citações científicas da organização versus concorrentes, etc. O pesquisador chama os objetos medidos de estoques de conhecimento, e explica que apesar de tangíveis em virtude de ser possível sua medição quantitativa, esses objetos são representações explícitas do conhecimento de origem tácita.

O pesquisador Randeree, tem uma visão menos tecnicista da segurança em relação a gestão do conhecimento, ou seja, não limita o foco da questão simplesmente a questões tecnológicas, e destaca, a partir de Bloodgoog e Salisburry (apud RANDEREE, 2006), questões como o controle de acesso ao conhecimento organizacional, a preservação do conhecimento organizacional e desfoque das competências organizacionais para seus competidores, assim explicados:

• Limitar o acesso do empregado a determinadas informações: limitar através de controle de permissão individual ao acesso do conhecimento organizacional crítico. Limitar o acesso previne contra vazamento de informação e perda de vantagem competitiva;

• Certificar que nenhum empregado tenha acesso majoritário sobre as

informações em torno de um novo produto: diz respeito a não manter

informações críticas em torno de um único empregado. A questão gira em torno de fatores principais: a questão competitiva e a questão de continuidade do negócio. No primeiro caso, a saída de empregado ou grupo para outra organização pode não somente acarretar perda de conhecimento para ela, mas também o fornecimento desse conhecimento para o concorrente. A outra questão diz respeito à perda do conhecimento em si, levando-se em conta o afastamento de um empregado ou grupo em virtude de aposentadoria, desastres, entre outros. • Manter uma ambigüidade casual a respeito da capacidade organizacional

de competir com sucesso: Permite a organização mascarar suas competências

contra ameaças externas, como imitação de produtos, métodos, técnicas.

A transferência e compartilhamento do conhecimento por si só é um desafio organizacional, protegê-lo mantendo essa transferência e o compartilhamento torna ainda mais desafiador o papel do gestor do conhecimento organizacional. Uma alternativa é

incorporar ao Sistema de Gestão do Conhecimento a disciplina de segurança, ou seja, ao invés de ser uma disciplina distinta ela se torna parte do próprio SGC. Randeree (2006) apresenta através da Quadro 6 uma dimensão de nível macro de aspectos de segurança que devem ser explorados ao se desenvolver um Sistema de Gestão do Conhecimento.

DIMENSÕES DE NÍVEL MACRO DEFINIÇÕES E OUTRAS PESQUISAS

Capital de relacionamento Se refere à medida de confiança e parceria que encarna os empregados dentro da firma. A interação de nível pessoal aproximada entre empregados afeta o desempenho. Alto nível de capital de relacionamento irá fomentar mais transferência de conhecimento entre empregados. Segurança deve focar em construir confiança.

Proteção dos ativos Refere-se a medida de extensão a qual a firma protege seu conhecimento central ou recursos. Enquanto o capital de relacionamento alivia a necessidade de proteção dos ativos, a firma que procura proteger seus recursos irá mostrar que isso reconhece seus conhecimentos organizacionais centrais.

Ambiente do conhecimento Refere-se a medida de extensão a qual a firma cria um ambiente de aprendizagem. Fomentando aprendizagem do empregado e criando ambientes onde a troca de idéias são ajudas compartilhadas para incrementar a probabilidade de transferência e externalização do conhecimento. A confiança foi encontrada como antecedente para ao compartilhamento.

Transferência do conhecimento Refere-se a medida da força da habilidade da firma de transferir conhecimento dentro da organização a partir dos empregados. A transferência do conhecimento depende o quanto fácil o conhecimento pode ser transportado, interpretado e absorvido. Mecanismos de segurança não devem inibir esse processo, mas devem proteger quanto a acessos não autorizados.

Ambigüidade Refere-se a medida de competência e capacidade de transferência de conhecimento dos empregados. Uma forte barreira a imitação origina da inabilidade dos competidores compreenderem as competências que são a origem da vantagem competitiva.

Nível de conhecimento tácito Refere-se a medida da percepção vista sobre quanto é tácito o conhecimento na organização. Definido como o implícito e não codificável acúmulo de habilidades que resultam do aprendizado através da ação (do fazer).

Quadro 6 - Dimensões para criar Sistemas de Gestão do Conhecimento seguros, adaptação de Randeree (2006)

A Gestão Segura do Conhecimento consiste em estratégias, processos e métricas de segurança. Web semântica segura, preservação de privacidade em data mining são algumas tecnologias possíveis de serem empregadas em Gestão Segura do Conhecimento, enquanto

que controle de acesso e gerenciamento de confiança são algumas técnicas que podem ser empregadas em conjunto com as tecnologias mencionadas (BERTINO et al, 2006, p. 430).

Segundo Bertino et al (2006, p. 430) a Gestão Segura do Conhecimento é composta pelos aspectos de estratégias de segurança, processos de segurança, tecnologias de segurança, métricas de segurança e técnicas de segurança (Figura 23).

Figura 23 - Aspectos da Gestão Segura do Conhecimento, adaptação de Bertino et al (2006, p. 430).

Os aspectos de Gestão Segura do Conhecimento podem ser compreendidos através das seguintes descrições (BERTINO et al, 2006, p. 430).

• Estratégias: incluem políticas e procedimentos que uma organização define para proteger dados e compartilhamento de informações, bem como a proteção da propriedade intelectual;

• Procedimentos: incluem processo de fluxo de trabalho seguro bem como processos seguros de contratação, compra e ordens administrativas. A segurança

precisa ser incorporada ao processo de negócio para o fluxo de trabalho, contratação e compras.

• Métricas: métricas para Gestão Segura do Conhecimento devem focar no impacto da segurança para as métricas de Gestão do Conhecimento. Quando a segurança é incorporada, algumas métricas de Gestão de Conhecimento podem ser afetadas, como número de documentos publicados. A organização deve realizar experimentos determinando o impacto da segurança nas métricas alcançadas.

• Técnicas: incluem controle de acesso, gerenciamento de confiança, bem como controle de privacidade. Essas técnicas são empregadas em todos os estágios dos processos de Gestão de Conhecimento.

• Tecnologias: incluem data mining, web semântica, bem como tecnologias para gerenciamento de dados e informações. Os componentes tecnológicos têm que ser seguros para se assegurar a Gestão Segura do Conhecimento.

Bertino et al (2006, p. 430) apresenta por meio da Figura 24 uma arquitetura para Gestão Segura do Conhecimento, sendo composta por gerenciador seguro de criação do conhecimento seguro, gerenciador seguro de representação do conhecimento, gerenciador seguro de manipulação e sustentação do conhecimento e gerenciador seguro para disseminação e transferência do conhecimento.

Figura 24 - Arquitetura de Gestão Segura do Conhecimento, adaptação de Bertino et al (2006, p. 430).

Os componentes da arquitetura de Gestão Segura do Conhecimento apresentados por Bertino et al (2006, p. 430) são entendidos da seguinte forma:

• Gerenciador seguro de criação do conhecimento seguro: entre as tarefas desse componente incluem a criação do conhecimento bem como especificar políticas de segurança executadas baseadas no conhecimento.

• Gerenciador seguro de representação do conhecimento: incluem tarefas de representação do conhecimento bem como políticas em linguagem de máquina. Linguagem de representação de conhecimento tais como regras e frames bem como algumas das mais recentes linguagens de web semântica, tais como

resource descriptive framework (RDF) e linguagens ontológicas, são apropriadas para o conhecimento e políticas de representação.

• Gerenciador seguro de manipulação e sustentação do conhecimento: incluem tarefas de consulta e atualização de base de conhecimento. Em adição, o conhecimento ganho tem que ser sustentado tanto tempo quanto possível. Diversos processos devem estar em vigor para sustentar seguramente o conhecimento.

• Gerenciador seguro para disseminação e transferência do conhecimento: incluem tarefas de disseminação e transferência do conhecimento a indivíduos autorizados.

CAPÍTULO 4 -

AMEAÇAS À PROTEÇÃO E PRIVACIDADE