Organizações que não possuem políticas formalizadas de segurança tendem a apresentar comportamentos inconsistentes entre seus colaboradores, o que pode ampliar a exposição a riscos informacionais e comprometer a efetividade dos controles tecnológicos existentes. Suponha que uma organização possua controles informacionais avançados, mas não tenha políticas de segurança claramente definidas e comunicadas. Qual consequência tende a ocorrer com maior probabilidade?

Alternativa A - Aumento de comportamentos inadequados no uso da informação

Análise do Cenário

O enunciado descreve um cenário clássico de insegurança onde há uma lacuna entre a tecnologia disponível e as políticas (processos e normas).

• Controles Tecnológicos: São ferramentas (firewalls, antivírus, criptografia) que protegem sistemas.
• Políticas de Segurança: São as regras que definem como as pessoas devem agir (ex: senhas fortes, não compartilhar dados, bloquear telas).

Sem políticas formalizadas e comunicadas, os colaboradores não têm diretrizes claras sobre como proceder. Isso gera comportamentos inconsistentes, pois cada pessoa age conforme sua própria interpretação ou conveniência.

Justificativa Detalhada

Vamos analisar ponto a ponto por que a alternativa A é a correta e as demais estão erradas:

• Alternativa A (Correta): A falta de regras claras leva à ação espontânea e muitas vezes negligente. Se ninguém sabe o que é permitido ou proibido, aumenta-se a chance de vazamento de dados, cliques em links maliciosos e más práticas de gestão de senhas. O próprio texto da questão alerta para "comportamentos inconsistentes".
• Alternativa B (Incorreta): Sem políticas, o uso não será homogeneizado; será caótico e variável de pessoa para pessoa. A padronização só ocorre quando há normas impostas.
• Alternativa C (Incorreta): Leis de proteção de dados (como a LGPD) exigem explicitamente que organizações tenham políticas de segurança documentadas. A ausência delas configura descumprimento legal, não garantia.
• Alternativa D (Incorreta): A necessidade de treinamento não diminui; na verdade, torna-se mais urgente para explicar as boas práticas básicas, já que não há documentos formais para consulta.
• Alternativa E (Incorreta): O risco humano nunca é totalmente eliminado, especialmente sem orientações. A tecnologia mitiga riscos técnicos, mas o fator humano continua sendo o elo mais fraco se não for gerido por políticas.

Conclusão

Em Segurança da Informação, a tríade Confidencialidade, Integridade e Disponibilidade depende do alinhamento entre Tecnologia e Pessoas. Ter ferramentas avançadas sem definir regras de uso para as pessoas resulta inevitavelmente em aumento de comportamentos inadequados.