Implementa¸c˜ao de Controlos

O objectivo desta etapa ´e, subretudo, assegurar que os controlos de redu¸c˜ao de risco s˜ao implementados correctamente e fornecem a protec¸c˜ao adequada aos recursos da organiza¸c˜ao. Nesse sentido, s˜ao executados planos de implementa¸c˜ao baseados na lista de controlos oriunda da fase de planeamento, para mitigar os riscos identificados na fase de an´alise. ´E importante garantir n˜ao apenas o correcto funcionamento de cada controlo mas igualmente o funcionamento simultˆaneo de todos os controlos seleccionados, pois podem existir incompatibilidades que os impe¸cam de serem implementados em conjunto, comprometendo todo o processo.

Problem´atica do processo de implementa¸c˜ao

Apesar de aparentar ser um processo simples, o processo de gest˜ao de risco, em particular a fase de implementa¸c˜ao de medidas de seguran¸ca ´e um processo complexo que envolve mais vari´aveis, para al´em das componentes t´ecnicas.

Segundo as referˆencias deSoares(2005) eBaskerville(1992), os principais problemas que podem assolar o processo de implementa¸c˜ao s˜ao:

• Tardia considera¸c˜ao dos requisitos de seguran¸ca. Frequentemente, as quest˜oes de seguran¸ca s´o s˜ao tidas em conta ap´os as fases de an´alise, concep¸c˜ao e implementa¸c˜ao dos sistemas, o que implica esfor¸cos acrescidos.

• As restri¸c˜oes or¸camentais. As organiza¸c˜oes dificilmente suportam os custos necess´arios `a implementa¸c˜ao eficaz dos mecanismos de seguran¸ca ou, ent˜ao, talvez considerem existir outras prioridades or¸camentais mais prementes. • Sensibilidade inadequada dos utilizadores para as quest˜oes relacionadas com a

seguran¸ca, n˜ao demonstrando possuir a preocupa¸c˜ao e postura necess´arias para garantir um comportamento promotor da seguran¸ca do SI da sua organiza¸c˜ao. • Falta de competˆencias t´ecnicas, por parte dos t´ecnicos das organiza¸c˜oes, no dom´ınio da seguran¸ca. Isto devido `a complexidade t´ecnica associada `a tarefa de prover de seguran¸ca os SI das organiza¸c˜oes.

• A atribui¸c˜ao das responsabilidades de seguran¸ca a uma unidade organizacional independente das unidades operacionais conduz ao surgimento de conflitos. Embora esta atribui¸c˜ao e estrutura¸c˜ao possa fazer sentido sob o ponto de vista da racionaliza¸c˜ao de recursos, na pr´atica verifica-se que os requisitos definidos pela unidade respons´avel pela seguran¸ca afectam, por vezes de forma gravosa, os requisitos de neg´ocio da parte operacional e s˜ao muito dispendiosos ou mesmo imposs´ıveis de implementar. Al´em disso, constata-se que os restantes agentes organizacionais n˜ao nutrem qualquer sentimento de propriedade em rela¸c˜ao `as medidas de seguran¸ca adoptadas, dada a sua defini¸c˜ao ser promovida por uma unidade externa.

Estes problemas apontam para a necessidade de se ponderarem, para al´em dos aspectos t´ecnicos da implementa¸c˜ao, as influˆencias dos factores organizacionais, humanos e sociais como parte do processo. A falta de considera¸c˜ao destes factores pode levar a que a implementa¸c˜ao das medidas de protec¸c˜ao encontre resistˆencia por parte das pessoas, especialmente quando as pr´aticas de neg´ocio e normas vigentes entram em conflito com as restri¸c˜oes impostas pelas medidas de seguran¸ca.

Tal como afirmaSoares (2005), ”apesar da implementa¸c˜ao de medidas de seguran¸ca beneficiar da conjuga¸c˜ao da perspectiva tecnol´ogica com a perspectiva funcional, essa implementa¸c˜ao s´o ser´a bem sucedida se tamb´em se reconhecer o papel desempenhado pelos aspectos ´eticos e humanos na prossecu¸c˜ao de um ambiente com o n´ıvel de seguran¸ca adequado”.

Visto isto, de modo a garantir o sucesso da implementa¸c˜ao das medidas de seguran¸ca seleccionadas para assegurar a protec¸c˜ao do SI da organiza¸c˜ao ´e necess´ario estarem reunidas v´arias condi¸c˜oes, principalmente a n´ıvel humano.

Acima de tudo, ´e vital que exista uma rela¸c˜ao de coopera¸c˜ao e uma combina¸c˜ao das vis˜oes e experiˆencias, entre os gestores e os especialistas com responsabilidades t´ecnicas, para que se possam minimizar os eventuais conflitos que emanam de uma vis˜ao de neg´ocio que raramente compreende as complexidades t´ecnicas das solu¸c˜oes tecnol´ogicas de seguran¸ca e de uma vis˜ao t´ecnica que muitas vezes n˜ao leva em considera¸c˜ao as especificidades funcionais e operacionais das unidades para as quais os controlos s˜ao projectados.

Ao reconhecer-se a interdependˆencia entre estas duas vis˜oes e a necessidade da sua conjuga¸c˜ao, estar-se-´a a contribuir para que o processo de implementa¸c˜ao possa ser bem sucedido. Caso contr´ario, o processo de implementa¸c˜ao poder´a deparar-se com v´arios obst´aculos, ficando o esfor¸co de seguran¸ca aqu´em do inicialmente almejado. O apoio da gest˜ao de topo tem um papel crucial, pois permite dar continuidade ao desenvolvimento dos projectos e responder de forma c´elere e econ´omica a mudan¸cas que se verifiquem durante a implementa¸c˜ao.

´

E igualmente vital que aqueles que v˜ao ter que adoptar novas medidas de seguran¸ca, ou que por elas v˜ao ser afectados no seu dia-a-dia, participem no processo de mudan¸ca de um ambiente percepcionado como insuficientemente seguro para um novo ambiente com um n´ıvel de seguran¸ca reconhecido como mais apropriado. Para isso, ´e necess´ario que a par da implementa¸c˜ao dos controlos seleccionados, a organiza¸c˜ao institua um conjunto de recompensas que facilite a adop¸c˜ao dos novos controlos e que preveja um per´ıodo inicial para que as pessoas se possam adaptar `a nova forma de trabalhar. Em determinados casos, poder´a ser necess´ario investir-se em programas de sensibiliza¸c˜ao e educa¸c˜ao, que ensinem `as pessoas novos valores, novos conhecimentos na ´area de seguran¸ca, de modo a que se consigam enquadrar e adaptar a uma nova pol´ıtica de seguran¸ca.