Feeds:
Posts
Comentários

Archive for setembro \17\America/Sao_Paulo 2013

Questões ligadas a diferentes percepções de risco por parte de analistas de RH e TI modelam diferentes orientações para a detecção, a identificação e a mitigação de comportamentos anômalos dentro do ambiente corporativo e sistemas de informação. O problema se baseia em um sistema dinâmico influenciado por múltiplos fatores internos e externos, mas comumente, as políticas que norteiam as soluções são baseadas em análises estáticas, lidando somente com as ameaças imediatas, com pouca consideração para a gestão de um sistema em evolução cada vez mais rápido. Políticas mal construídas costumam resultar em soluções intuitivas, que para serem assertivas dependem mais de um modelamento baseado em teses cientificas do que pela aprendizagem promovida pelo monitoramento técnico (TI) e não técnico (RH). O valor destes monitoramentos é elevado se estiverem alinhados com matrizes de decisão construídas sobre predições precisas e absolutas, onde os atos maliciosos sejam identificados como tal. Validar estas matrizes de decisão não é tarefa fácil, visto que é muito difícil conseguir consenso sobre o que é comportamento de risco, mesmo em ambientes mais “transparentes” como o computacional. E assim sendo, gestores de segurança corporativa são pressionados por políticas pífias, opiniões conflitantes e resultados cada vez mais exigentes pela complexidade dos desafios. As ainda atuais crises geradas pelos recentes vazamentos de informações norte-americanos promovidos por um militar – Manning/Weakleaks e um funcionário civil contratado como analista da NSA – Snowden, demonstram o tamanho deste desafio. O primeiro caso motivou o presidente Obama a implantar em outubro de 2011 o denominado “Insider Threat Program”, que traduzido seria algo como Programa de Ameaças de Internos, voltado a monitorar e identificar ações de espionagem e sabotagem por militares, funcionários públicos e terceiros que pudessem colocar em risco a segurança nacional, mas que não conseguiu impedir o segundo. O programa prevê ações de monitoramento de sistemas computacionais e telefônicos, bem como, promove a denúncia de comportamentos considerados de risco pelos colegas de trabalho. E neste sentido, os problemas de direitos humanos, invasões de privacidade e denúncias motivadas por vinganças pessoais, perseguições raciais, escolhas religiosas, entre outros direitos civis, potencializam crises internas de forma contundente. Se não houver maturidade no processo de denúncia, como a percepção clara e correta por parte dos colegas de trabalho do denunciado sobre as ações administrativas corretivas quando da aplicação das penalidades, que devem ser sempre isentas e coerentes, o sistema ruirá por si mesmo, pois a confiança no sistema é o que faz com que as pessoas façam denúncias. Se pudermos deixar de lado a discussão geral sobre as questões ligadas aos meios inerentes ao programa governamental americano e nos concentrarmos no ambiente corporativo, e particularmente na questão das matrizes de decisão sobre a identificação de ameaças comportamentais, acredito que colheremos frutos, pois sempre afirmei que podemos identificar anomalias comportamentais que devemos considerar como sinais de alerta. Se nos mantivermos atentos para as questões iniciais de RH e TI, sem menosprezarmos outras áreas de apoio, podemos afirmar que TI se voltará a monitorar os processos, enquanto que o RH desejará manter os funcionários motivados. Pois a solução seria algo como “Processo de Pessoas”, ou seja, suas características pessoais, motivacionais, emocionais e suas relações com o ambiente de trabalho (por favor, não me lembrem da medição de clima interno). Existem pessoas de alto risco e comportamentos de alto risco, é preciso diferenciá-las. Sabemos dos processos de recrutamento e seleção, há muito desenvolvidos, contudo estes processos dependem de constante evolução, já que, como os que estamos discutindo, não são suficientes para a desejada assertividade na redução de riscos internos. Acredito ser imensamente difícil um analista de RH identificar a natureza da insatisfação de um colaborador, em razão do mesmo ter se manifestado agressivo, impulsivo, irreverente, insubordinado ou começar a dar indícios que deseja ser mandado embora, sem que acompanhe outros indicadores pessoais e do ambiente com maior atenção. E a chave da solução está exatamente nesta questão, a natureza do sentimento de insatisfação. Somente entendendo o que causou o estresse, ou gatilho emocional da reação de um indivíduo, poderemos tentar fazer as devidas conexões de risco imediato ou futuro. Posso afirmar que não existe um consenso científico sobre a questão e outros programas de análise comportamental semelhantes ao citado anteriormente, como o usado nos aeroportos norte americanos, tem deixado a desejar e trás muitas discussões à tona. Não podemos esgotar o assunto e nem apontar modelos a serem seguidos neste ensaio, mas aponto para o horizonte e possível reflexão sobre a “metamorfose” interna do ambiente corporativo e suas consequências. Hipoteticamente, se analisarmos entre outros aspectos não menos relevantes, a conjunção do alto nível de exigência pessoal (capacitação e empenho) e a cada vez maior impessoalidade na entrega do resultado, já que o profissional sofre pressões imensas e grandes influências interpessoais para atender à expectativa de muitos, podemos antecipar que uma maior sensibilidade estará presente e o consequente desgaste às possíveis criticas poderá ser assimilada de forma errada, gerando um novo fator de risco. Possivelmente uma solução seria de fato certo nível de monitoramento adequado aos riscos inerentes ao negócio, bem como, o incentivo de denúncias baseadas em matrizes de casos específicos, ficando o aconselhamento pessoal para os casos onde o alerta ocorreu, mas ainda não há convicção sobre o perfil de risco, ajudando assim, que a percepção de controle iniba estes indivíduos. Recomendamos que leiam ou releiam outros artigos aqui publicados onde discutimos fatores como percepção de risco, identificação de ameaças, vazamentos de informações, espionagem empresarial e investigação de fraudes entre outros, que contribuirão sobremaneira para a percepção de novos cenários e o amadurecimento do proposto.

Read Full Post »