Muitos especialistas dizem que, quando se trata de segurança, as pessoas são importantes do que os processos para obter sucesso. Porém, essa afirmação é muito mais politicamente correta do que realmente algo efetivo. Os profissionais são, sim, muito importantes para garantir a segurança, mas o que proteger de fato sua rede de dados é o processo implantado.
Sem um processo claramente definido, as pessoas não tem um caminho a seguir, logo, ficam perdidas e o trabalho é feito de forma confusa e sem direcionamento. Sem um bom processo, não é possível implementar tecnologias eficazes. O processo é implementado apor meio da governança. E, sem governança, seu programa de segurança não será eficaz.
Governança é composta por padrões, políticas, diretrizes, procedimentos e documentos. E o processo dentro dessa documentação é o que define as tecnologias utilizadas. Os processos indicam como usuários devem se comportar em diferentes circunstâncias e definem como tudo funciona dentro de uma organização.
É importante definir um tipo de comportamento do usuário, pois, sem um padrão, qualquer comportamento pode ser avaliado como normal. E isso é um problema, pois alguns usuários podem se comportar corretamente, outros já não. Sem definir como as tecnologias serão utilizadas, isso fica na responsabilidade dos administradores e isso por ser um problema, pois nem todos têm o discernimento de fazer a coisa certa. Portanto, antes de esperar que pessoas façam um bom trabalho em segurança, é preciso ter um processo claro definido.
Sem governança, não é possível manter a tecnologia em conformidade com as necessidades da empresa e isso acaba afetando até o orçamento. Além disso, a governança possibilita implementar as tecnologias de forma que as falhas dos usuários sejam identificadas antecipadamente e evitadas.
Muitas empresas encaram a governança apenas como uma criação de documentos e protocolos que ficarão guardados e serão utilizados apenas em auditorias e, em alguns casos, não chegam nem a serem implementadas. A governança tem com objetivo facilitar a conformidade e tonar os processos de segurança mais efetivos. Por isso, deve ser encarada com maior importância. Com padrões, políticas, diretrizes e procedimentos criados, se cria um programa de consciência para os usuários, que deverão seguir a fim de contribuir com os processos de segurança.
Um bom programa de consciência deixa claro para os funcionários como deve ser a conduta de comportamento e o que eles devem fazer no dia a dia de trabalho. E como é possível criar um bom programa de consciência? Definindo processos que atendam as necessidades de segurança da sua empresa e de acordo com seu segmento. Antes de esperar que seus funcionários se comportem da forma certa, é preciso descobrir qual é a forma certa. Você deve saber o que espera das pessoas e como quer informar isso a elas. Isso significa processo.