TI é responsável pela segurança dos dados na organização, certo? É uma preocupação, problema e esforço deles. Alguém está cuidando disso e, na condição de gerentes de projeto, não precisamos nos preocupar com isso em nossos projetos individuais… correto? Hum… esse pensamento pode nos trazer grandes problemas – especialmente em projetos sensíveis, de alto investimento ou de grande visibilidade.

Enquanto funcionários de uma organização, nós geralmente assumimos que os dados com os quais estamos trabalhando estão sendo adequadamente manipulados pelos grupos de TI e de segurança, e são tão seguros ou não seguros quanto realmente devem ser. Posso dizer que durante meus dias de desenvolvedor de aplicativos e líder de tecnologia que eu não me preocupei muito com os dados. Bem, eu me preocupei em algum grau, principalmente porque eu estava trabalhando em um contrato do governo com informações confidenciais de ajuda financeira para estudantes, mas eu já tinha o nível mais alto do certificado de segurança do governo. Assim, naturalmente, eu entendia que já tinha feito o que eu precisava fazer. Nós temos essa sensação de segurança de “eu sou um funcionário, e se acontecer alguma coisa eu tive minhas impressões digitais colhidas e passei meus antecedentes, então a responsabilidade será da minha empresa“. Pelo menos eu me sentia assim e assim se sentia praticamente todo mundo no projeto.

Atualmente eu sou um consultor independente de TI. Eu ajudo pequenas, médias e grandes organizações em quase tudo o que eu posso – sempre inovando e oferecendo novos serviços, a fim de permanecer relevante e, é claro, financeiramente viável. Eu sou apenas uma pessoa, já que não costumo trazer minha própria equipe para dar consultoria. Eu já liderei grupos de consultores externos com os quais eu nunca tinha trabalhado ou conhecido antes – equipes montadas pelo cliente. Mas, de longe, o cenário mais comum para mim é ir a uma organização e trabalhar individualmente ou liderar um grupo de seus funcionários em um projeto, tarefa de reengenharia de processos, implementação de software, nova iniciativa, etc.

Nesses cenários, o consultor trabalha com os dados do cliente e gerencia a equipe de funcionários da empresa que manipula os dados. Muitos dados confidenciais são tratados por membros da equipe do projeto ou funcionários da empresa que trabalham com consultores, e muitas vezes pouca supervisão é dada à transição e proteção dos dados. Na verdade, eu já estive em ambos lados da moeda e muitas vezes o conceito de responsabilidade e segurança de dados nunca é realmente tocado, ou é muito minimizado. Você tem aquela zona cinza do consultor supondo que isso deve ser resolvido pela organização e da equipe assumindo que o consultor é aquele que precisa se preocupar com isso. Quem está certo? O que devemos fazer? O que o consultor pode fazer para garantir que eles estejam protegidos se funcionários inescrupulosos em sua equipe propositalmente ou acidentalmente expuserem dados confidenciais, criando assim falhas de segurança?

Primeiro, se o consultor estiver trabalhando com dados confidenciais, ter seguro de responsabilidade é uma obrigação. Na verdade, o consultor independente deve ter este tipo de cobertura em qualquer situação, só por acaso, porque um cliente frustrado também poderia voltar pedindo indenização não importa de quem foi a culpa pela falha no projeto.

Segundo, se dados confidenciais estão sendo manipulados durante o serviço de consultoria, então algumas cláusulas adequadas devem ser adicionadas ao contrato para ajudar a minimizar as responsabilidades do consultor quando os funcionários da empresa estão lidando com os dados. Os dados confidenciais às vezes saem com os funcionários da empresa – que podem ser ameaças maiores do que os hackers, especialmente se alguém com posse dos dados é demitido. Na condição de consultor, é melhor fazer o que puder para ter isso no contrato antes mesmo de começar o trabalho… imagine o pior e espere o melhor.

Finalmente, peça e assegure que as autorizações de segurança adequadas, se necessário, já estejam em vigor para os funcionários da empresa que manipularão os dados. É claro que isto torna parcialmente responsabilidade sua garantir que outras pessoas sem autorização não manipulem os dados confidenciais.

Resumo

A questão aqui é que todos os dados estão em risco. Todos os dados, a qualquer momento, em todos os projetos. Temos de calculá-lo como um risco em cada projeto que gerenciamos. Alguns projetos envolvem dados muito confidenciais, e esta situação realmente importa. Alguns envolvem processos importantes, mas os dados só são importantes para a organização, de modo que o risco é mínimo. A resposta definitiva é sim, devemos nos preocupar com a segurança de dados em nossos projetos, mas precisamos pesá-lo com o valor e o risco dos dados, assim não nos esforçamos muito para protegê-los se não for realmente necessário. Isso cabe ao gerente de projeto, equipe e clientes. Mas a questão é que tudo está em risco. Ponto.

Autor: Brad Egeland - Consultor de gerenciamento de projetos de TI com mais de 25 anos de experiência, incluindo iniciativas em projetos de governo, manufatura, hospitalidade, aviação varejo, entre outras.

Artigo publicado originalmente no site Stakeholdernews