CAPÍTULO 5 DIRETRIZES DE GESTÃO SEGURA DO CONHECIMENTO
5.3 EDUCAR TREINAR E CONSCIENTIZAR
5.3.4 Pós implementação
Uma premissa de um programa de treinamento e conscientização de Gestão Segura do Conhecimento é que seja cíclico e se renove regularmente contemplando novas necessidades organizacionais.
Entre os fatores e processos a serem observados destacam-se: • Monitoramento dos requisitos e objetivos para o programa; • Avaliação e feedback da audiência alvo do programa;
• Gerenciamento de mudanças organizacionais e a necessidade de
acompanhamento das mudanças pelo programa de treinamento e conscientização;
CONCLUSÃO
As pessoas e organizações que se preocupam com um futuro de realizações e sucesso dependem da manutenção dos processos criativos de geração e disseminação do conhecimento organizacional. Dada a sua importância sobre o contexto organizacional, faz-se necessário identificar o conhecimento como patrimônio organizacional e prestar a ele a adequada proteção mantendo os princípios para sua criação e disseminação.
A presente pesquisa procurou:
• Identificar as ameaças e riscos com origem nos aspectos humanos a que o conhecimento organizacional está exposto;
• Apresentar diretrizes com foco nos processos organizacionais e nas pessoas para:
o Identificação dos riscos e ameaças com origem nos aspectos humanos aos quais o conhecimento está exposto
o Avaliação e tratamento dos riscos e ameaças com origem nos aspectos humanos aos quais o conhecimento está exposto
o Implementação de política, processos e procedimentos de segurança para Gestão Segura do Conhecimento;
o Implementação de processo de educação corporativa para treinar e conscientizar pessoas sobre os riscos e ameaças aos quais o conhecimento está exposto e o papel de cada um no processo de proteção do conhecimento.
Existe a predominância da abordagem tecnológica para o tratamento da proteção do conhecimento em detrimento da organização de processos institucionais e envolvimento das pessoas no contexto de proteção do conhecimento. A identificação de ameaças e riscos à
proteção do conhecimento teve como foco apurar casos reais e fatores que ameaçam a privacidade e segurança do conhecimento. Verificou-se que os diversos setores da economia e tipos de organizações estão sujeitos a ação de quebra da proteção do conhecimento e foi apontado como principais fatores de risco para o conhecimento: Espionagem, Fraudes, Sabotagem, Roubo, Vazamento. Também foi identificado que as principais fontes de ameaças são: Colaboradores, Concorrentes, Governos estrangeiros e Criminosos.
As principais vulnerabilidades exploradas pelas fontes de ameaças são: • Falta de conscientização a respeito de segurança.
• Crescente utilização dos recursos computacionais e ferramentas tecnológicas de apoio a Gestão do Conhecimento.
• Falhas de controles internos, incluindo normas e procedimentos claros e amplamente divulgados.
Em virtude da carência de informações para o tratamento da proteção do conhecimento no âmbito da Gestão do Conhecimento com foco não tecnológico, foram apresentadas diretrizes para tratamento dos riscos e ameaças à segurança e privacidade do conhecimento tendo como embasamento teórico a referência bibliográfica de Segurança da Informação, Gestão do Conhecimento e Gestão Segura do Conhecimento.
O processo de proteção de conhecimento se torna eficaz com o envolvimento de todas as audiências alvo que criam, modificam ou utilizam o conhecimento organizacional crítico, sendo necessário um processo sistematizado para organização das atividades que irão minimizar os riscos referentes a exposição do conhecimento. A pesquisa apresentou como sistematização dessas atividades os seguintes processos:
• Gestão de Riscos;
• Política, Processos, Procedimentos e Controles de Segurança. • Treinamento e Conscientização
a) Gestão de Riscos
Nessa pesquisa foi apresentado em conjunto com as diretrizes de gestão de risco, a análise de escopo e de identificação do patrimônio a ser protegido a partir do método de identificação de Fatores Críticos de Sucesso, que tem por objetivo focar a avaliação e tratamento de riscos nos pontos críticos de sustentabilidade do negócio. A partir da gestão de risco são expostos os Fatores Críticos de Sucesso para proteção do conhecimento e a apresentação de um plano de ação de tratamento dos riscos e ameaças que servirá de guia para as diretrizes e demais processos de proteção do conhecimento organizacional.
b) Política, Processos e Procedimentos
A partir da identificação dos fatores que ameaçam e expõem ao risco negativo o conhecimento organizacional e avaliadas as atividades para seu adequado tratamento, faz-se necessário o estabelecimento de regras e orientações corporativos para sua execução. A Política, Processos e Procedimentos têm por objetivo ser a cadeia de determinação das regras e orientações para a implementação dos controles corporativos de proteção do conhecimento organizacional, prevendo a orientação para implementação de recursos que minimizem o risco quanto à exposição da privacidade e segurança do conhecimento.
c) Treinamento e Conscientização
Foram apresentadas diretrizes para implementação de um programa de treinamento e conscientização com foco na proteção do conhecimento organizacional tendo como premissas contribuir para mudança de comportamento das pessoas em relação ao papel do conhecimento organizacional e contribuindo para que mudem seu foco de visão sempre que se depararem com as questões relacionadas à proteção do conhecimento (conscientização) e aprimorar as habilidades e competências a respeito do tema de proteção de conhecimento, além de tornar prática a execução de processos e práticas da Gestão Segura do Conhecimento (treinamento).
Os fatores que limitaram a pesquisa foram a escassez de literatura a respeito do tema Gestão Segura do Conhecimento ou da proteção do conhecimento. Em relação a Gestão do Conhecimento foi observado que a carência de material a respeito de sua proteção dá-se pela falta de visibilidade da comunidade científica a respeito do tema de segurança do conhecimento, além disso outro fatores podem ser limitantes como a expectativa de que a implementação de recursos de segurança atrapalhe o desempenho dos sistemas de gestão de conhecimento.
No entanto, a partir de referências de Segurança da Informação foi possível encontrar material relacionado à proteção do conhecimento, tanto com foco tecnológico (que não era objeto dessa pesquisa) quanto fatores relacionados aos aspectos humanos. Essas referências permitiram traçar em consonância com os conceitos de Gestão Segura do Conhecimento tanto a identificação das principais ameaças à segurança do conhecimento, quanto recomendações para implementação de diretrizes para proteção do conhecimento.
Apesar do caráter teórico da pesquisa entende-se que o resultado da pesquisa serve como fonte de referência para o tema tanto pelo caráter bibliográfico de compilação do conhecimento a respeito do tema quanto pelas reflexões produzidas para integração dos processos que podem minimizar a exposição do conhecimento ao risco e conseqüentemente a importantes impactos no negócio. O trabalho representa oportunidade para exploração e implementações futuras de comprovação da teoria ora apresentada.
A presente pesquisa teve foco nos aspectos humanos, em virtude disso faz-se necessária a avaliação de implementações de segurança que procurem integrar tanto os aspectos tecnológicos quanto os aspectos humanos.
Conclui-se que a presente pesquisa alcançou seu objetivo, tendo em vista a identificação das principais ameaças humanas à proteção do conhecimento e a proposição de
diretrizes para o tratamento das ameaças e inclusão das pessoas no processo de proteção do conhecimento.
TRABALHOS FUTUROS
Recomenda-se a continuidade dos estudos praticados nesse trabalho por meio da operacionalização das medidas ora propostas. Convém que sejam realizadas considerações a respeito do contexto organizacional e do ambiente em que se inserem. Recomenda-se ainda a avaliação de aspectos práticos para essa implementação, como análise de viabilidade financeira e de tempo para emprego dessas diretrizes.
Outro fator importante que pode gerar futuros trabalhos é a elaboração de taxonomia de riscos referentes à Gestão Segura do Conhecimento, visto que não foram verificados trabalhos a respeito e que podem contribuir para a implementação das diretrizes ora propostas.
REFERÊNCIAS BIBLIOGRÁFICAS
ARTHURS, Wendy. A Proactive Defence to Social Engineering. SANS Institute. 2001.
Disponível na internet em
http://www.sans.org/reading_room/whitepapers/engineering/511.php. Arquivo consultado em 13 de outubro de 2007.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC
17799:2005. Tecnologia da informação — Técnicas de segurança — Código de prática para a gestão da segurança da informação. NBR 17799. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:
2006. Tecnologia da Informação – Técnicas de Segurança – Sistemas de segurança – Sistemas de gestão da segurança da informação – Requisitos. NBR 27001. Rio de Janeiro:
ABNT, 2006.
BAND, Stephen R.; et al. Comparing Insider IT Sabotage and Espionage: A Model-Based
Analysis. TECHNICAL REPORT. CMU/SEI-2006-TR-026. December 2006. Disponível em:
http://www.sei.cmu.edu/publications/documents/06.reports/06tr026.html. Arquivo consultado em 17 de fevereiro de 2008.
BECKMAN, T. Methodology for Knowledge Management. International Association of
Science and Tecnhology for Development (IASTED) AI and Soft Computing Conference. Banff, Canada. 1997.
BERTINO, Elisa; et al. Secure Knowledge Management: Confidentiality, Trust, and
Privacy. IEEE Transactions on systems, man, and cybernetics – Part A: Systems and
Humans, Vol. 36, No. 3. May 2006.
CARALLI, Richard A.; et al. The Critical Success Factor Method: Establishing a
Foundation for Enterprise Security Management. Techical Report CMU/SEI-2004-TR-
010. Networked Systems Survivability Program. Survivable Enterprise Management Team. Software Ensgimeering Institute. Carmegie Mellon. July. 2004
CAUBIT, Rosângela. O que é a ISO 27001, a final? Modulo Security Portal, 2006. Disponível em http://www.modulo.com.br/checkuptool/artigo_16.htm. Arquivo consultado em 01 de fevereiro de 2007.
CERT. Cartilha de Segurança para Internet. Parte I: Conceitos de Segurança. Versão 3.1. Outubro, 2006. Disponível na internet em: http://cartilha.cert.br/download/cartilha-01- conceitos.pdf. Arquivo consultado em 13 de outubro de 2007.
CERT [2]. Cartilha de Segurança para Internet. Parte IV: Fraudes na Internet. Versão 3.1. Outubro, 2006. Disponível na internet em: http://cartilha.cert.br/download/cartilha-04- fraudes.pdf. Arquivo consultado em 13 de outubro de 2007.
CHAPPELL, Timothy. Plato on Knowledge in the Theaetetus. The Stanford Encyclopedia of Philosophy. 2005. http://plato.stanford.edu/entries/plato-theaetetus/
DAVENPORT, Thomas H., PRUSAK, Laurence. Working Knowledge: how organizations
manage what they know. Harvard Business School Press, USA. 2000.
EUA punem Boeing por espionage industrial. BBC News. 25 jul. 2004. Disponível na
internet em
http://www.bbc.co.uk/portuguese/economia/story/2003/07/030725_boeingrg.shtml. Arquivo consultado em 28 de outubro de 2007.
FUNCIONÁRIO de empresa de finanças vende dados de 2,3 milhões de clientes.
COMPUTERWORLD. 03 jul. 2007. Disponível na internet em http://computerworld.uol.com.br/seguranca/2007/07/03/idgnoticia.2007-07-03.2557106053/. Arquivo consultado em 28 de outubro de 2007.
GARTNER aponta aumento no prejuízo com vazamento de informações.
COMPUTERWORLD. 15 out. 2007. Disponível na internet em http://computerworld.uol.com.br/seguranca/2007/10/15/idgnoticia.2007-10-15.1219431795/. Arquivo consultado em 03 de novembro de 2007.
GOLD, A. H., MALHOTRA, A., SEGARS, A.H. Knowledge management: an
organizational capabilities perspective. Journal of Management Information Systems, v.
18, p.l85-2l4, 2001.
GORDON, Lawrence A. et al. CSI/FBI Computer Crime and Security Survey 2006. Computer Security Publications. 2006. Disponível na internet em http://www.gocsi.com. Arquivo consultado em 01 de fevereiro de 2007.
GROHMANN, M. Z. ; COLOMBELI, G. . Diferenças na gestão do conhecimento entre os
níveis gerencial e operacional: aspectos de criação, conversão, utilização e proteção do conhecimento. In: I Encontro da Administração da Informação, 2007, Florianópolis. Anais
do I ENADI, 2007.
HANSCHE, Susan. BERTI, John. HARE, Chris. Official (ISC)2 Guide to the CISSP Exam. Auerbach Publications, 2003.
HIBBARD, J. Knowing What We Know. Information Week. October 20. 1997.
HOEPERS, Cristine. STEDING-JESSEN, Klaus. Aspectos de Segurança Relacionados ao
Spam. Seminário Interno do CGI.br sobre spam, São Paulo, SP. Março, 2005. Disponível na
internet em http://www.cert.br/docs/palestras/nbso-ct-spam2005.pdf. Arquivo consultado em 12 de outubro de 2007.
HSM. A gestão do conhecimento na prática. HSM Management. Número 42, 2004.
JENNEX, Murray E.. Security and Knowledge Management Success. Workshop on Secure Knowledge Management (SMK 2006). 28-29 September. CEISARE - Center of Excellence in
Information Systems Assurance Research and Education. University at Buffalo. Nova York. New York. 2006.
LEE, JinKyu, et al. Secure Knowledge Management and the Semantic Web. Communications of the ACM. Vol. 48. No. 12. December. 2005.
LIEBOWITZ, Jay. Knowledge management handbook. CRC Press. 1999.
LIU, Shuangyan; KWOK, Lam-For. Data Integration Framework for a Knowledge Model
of Organizational Information Security Management. Workshop on Secure Knowledge
Management (SMK 2006). 28-29 september. CEISARE - Center of Excellence in Information Systems Assurance Research and Education. University at Buffalo. Nova York. New York. 2006.
MACIEIRA, André. Gestão Baseada em Riscos. Reiventando o Papel da Gestão de Riscos
Integrada ao Negócio. ELO Group. Abril, 2008. na internet em http://www.elogroup.com.br.
Arquivo consultado em 01 de maio de 2008.
MACINTOSH, A. Position Paper on Knowledge Asset Management. Artificial Intelligence Applications Institute, University of Edinburg, Scotland. May. 1996.
MITNICK, Kevin D. SIMON, William L. Mitnick: a Arte de Enganar. Makron Books. 2003.
MÓDULO SECURITY. 10º Pesquisa Nacional de Segurança da Informação. Rio de Janeiro, 2006.
MÓDULO SECURITY. 9º Pesquisa Nacional de Segurança da Informação. Rio de
Janeiro, 2003. Disponível na internet em
http://www.modulo.com.br/pdf/nona_pesquisa_modulo.pdf. Arquivo consultado em 01 de fevereiro de 2007.
NONAKA, Ikujiro, TAKEUCHI, Hirotaka. The knowledge-creating company: how
Japanese companies create. Oxford University Press. New York, Oxford. 1995.
O´DELL, C. A Current Review of Knowledge Best Practice. Conference on Knowledge
Management and the Transfer of Best Practices. Business Intelligence. London.
December. 1996.
PARK, Insu. et al. Guest Editorial Part 2: Emerging Issues for Secure Knowledge
Management – Results of a Delphi Study. IEEE Transactions on systems, man and cybernetics – Part A: Systems and Humans, Vol. 36, No. 3, May 2006.
PETRASH, G. Managing Knowledge Assets for value. Knowledge-Based Leadership
Conference. Linjage, Inc. Boston. October. 1996.
PFIZER registra a terceira fuga de dados desde junho. COMPUTERWORLD. 05 set.
http://computerworld.uol.com.br/gestao/2007/09/05/idgnoticia.2007-09-05.3624769734/. Arquivo consultado em 28 de outubro de 2007.
PRICEWATERHOUSECOOPERS. 3ª Pesquisa sobre Crimes Econômicos - Brasil 2005. 2006. Disponível na internet em http://www.pwc.com/images/bz/PesquisaGEC05.pdf. Arquivo consultado em 07 de julho de 2008.
RANDEREE, Ebrahim. Knowledge management: securing the future. Journal of Knowledge Management. Volume 10. Issue 4 PageS 145 - 156. Emerald Group Publishing
Limited. 2006. Disponível na internet em
http://www.emeraldinsight.com/10.1108/13673270610679435 . Arquivo consultado em 25 de novembro de 2007.
REYNOLDS, Paul. The world's second oldest profession. BBC News. Fevereiro, 2004. Disponível na internet em http://news.bbc.co.uk/2/hi/americas/3490120.stm. Arquivo consultado em 28 de outubro de 2007.
RICHARDSON, Robert. CSI/FBI Computer Crime and Security Survey 2007. Computer Security Publications. 2007. Disponível na internet em http://www.gocsi.com. Arquivo consultado em 12 de outubro de 2007.
ROCKART, John F.; BULLEN, Christine V. A primer on critical success factors. Center
for Information Systems Research, Sloan School of Management. Working paper (Sloan
School of Management) ; 1220-81. Report (Alfred P. Sloan School of Management. Center for Information Systems Research) ; no. 69. 1981. Disponível na internet em http://dspace.mit.edu/handle/1721.1/1988. Arquivo consultado em 07 de Julho de 2008. SALAM, A. F.; SINGH, Rahul. Secure Knowledge Exchange Across The Extend
Enterprise. Workshop on Secure Knowledge Management (SMK 2006). 28-29 september.
CEISARE - Center of Excellence in Information Systems Assurance Research and Education. University at Buffalo. Nova York. New York. 2006.
SAP é processada por espionagem industrial e roubo de dados. DW-World. 24 mar. 2007.
Disponível na internet em http://www.dw-world.de/dw/article/0,2144,2417653,00.html. Arquivo consultado em 28 de outubro de 2007.
SECRET world of industrial espionage. BBC News. 31 mai. 2005. Disponível na internet
em http://news.bbc.co.uk/2/hi/business/4595745.stm. Arquivo consultado em 28 de outubro de 2007.
SETZER, Valdemar W. Dado, Informação, Conhecimento e Competência. Site Cidade do
Conhecimento, IEA/USP. Junho de 2001. Disponível em:
<http://www.cidade.usp.br/educar2001/mod5ses2.php>. Acesso em: 07 de junho de 2007. SMALE, Will. Industrial espionage “real and out there”. BBC News. Julho, 2004. Disponível na internet em http://news.bbc.co.uk/2/hi/business/3853913.stm. Arquivo consultado em 28 de outubro de 2007.
SPURGEON, Brad. Details of McLaren’s Spying Reveal Widerspread Involvement. The New Your Times. 15 set. 2007. Disponível na internet em http://www.nytimes.com/2007/09/15/sports/othersports/15mcclaren.html?_r=1&n=Top/Refer ence/Times%20Topics/Subjects/E/Espionage&oref=slogin. Arquivo consultado em 28 de outubro de 2007.
STANDARDS AUTRALIA / STANDARDS NEW ZEALAND. AS/NZS 4360:2004. Risk
management. 2004
STEUP, Matthias. Epistemology. The Stanford Encyclopedia of Philosophy. 2005. http://plato.stanford.edu/entries/epistemology/
STEUP, Matthias. The Analysis of Knowledge. The Stanford Encyclopedia of Philosophy. 2006. http://plato.stanford.edu/entries/knowledge-analysis/#JTB
STEWART, T. A.. Capital Intelectual – A nova vantagem competitiva das Empresas. Editora Campus, São Paulo, 1998.
STONEBURNER, Gary; et al. Risk Management Guide for Information Techcology
Systems. NIST Special Publication 800-30. National Institute of Standards and Technology.
2002.
TERRA, José Cláudio Cyrineu. Gestão do Conhecimento: o grande desafio
organizacional. 2ª Edição. São Paulo. Negócio Editora. 2001.
TOFFLER, Alvin. A terceira onda. Rio de Janeiro. 3ª Edição. Editora Record, 1980.
UCL, University College London. The London Philosophy Study Guide. Londres. 2005. Acessível em, Disponível na internet em http://www.ucl.ac.uk/philosophy/LPSG/. Arquivo consultado em 01 de agosto de 2007.
UPADHYAYA, S.; RAO, Haghav R.; PADMANABHAN, S.; Secure Knowledge
Management, in David Swartz. Ed. Encyclopedia of Knowledge Management, IDEA Group,
pp. 795-801, 2005.
VAN DER SPEK, R. SPIJKERVET, A. Knowledge Management: Dealing Intelligently
with Knowledge. Knowledge Management and Its Integrative Elements. Liebowitz &
Wilcox, eds. CRC Press. 1997.
WHEATMAN, Jeffrey. Toolkit Best Practices: Selecting Security Metrics. ID Number: G00151310. Gartner for IT Leaders. 26 de setembro de 2007.
WIIG, K. Knowledge Management Foundation. Schema Press. 1993
WILSON, Mark; HASH, Joan. Building an Information Technology Security Awareness
and Training Program. NIST Special Publication 800-50. National Institute of Standards
WILSON, T. D. The nonsense of knowledge management. Information Research. Volume 8. Número 1. Paper no. 144. Outubro de 2002. Disponível em: <http://informationr.net/ir/8- 1/paper144.html>. Acesso em: 07 de junho de 2007.
XU, Shoyhuai; ZHANG, Weining. PBKM: Secure Management Framework. Workshop on Secure Knowledge Management (SMK 2004). 23-24 september. CEISARE - Center of Excellence in Information Systems Assurance Research. University at Buffalo. Nova York. New York. 2004.