Como implantar uma estratégia de segurança da informação na sua empresa

Em períodos de crise econômica, cada vez mais, o Brasil torna-se um País empreendedor. De acordo com o Sebrae, as pequenas e médias empresas são responsáveis por mais de 90% dos negócios do país, totalizando mais de 6,4 milhões de estabelecimentos que atuam em diversos setores.

Além de toda infraestrutura física e financeira, muitos gestores de PMEs são céticos em relação a como as políticas de segurança podem tornar as empresas mais rentáveis. Não contam, por exemplo, com sistemas para assegurar os dados de suas empresas, como também não se importam em capacitar os funcionários.

O primeiro passo antes de explicar quais são as vantagens em aplicar normas de segurança da informação é compreender, de fato, o que são “políticas de segurança da informação”. Não é necessariamente um documento com mais de 300 páginas, com regras complicadas que ninguém vai ler ou pôr em prática. Ao contrário, é bem mais simples do que se possa imaginar. É possível utilizar modelos e guias já existentes que comuniquem o compromisso da empresa a respeito da proteção dos dados confidenciais e capacitem colaboradores sobre como evitar riscos que podem afetar a empresa.

Depois de estudar e avaliar quais materiais são úteis para as melhores práticas, o passo seguinte é adaptá-los em função de fatores como: quais tipos de informações confidenciais e propriedade intelectual são armazenados na empresa, por exemplo, informações financeiras, desenhos de produtos, listas de clientes e software patenteado. Assim como, quais funcionários estão mais expostos às ameaças ou quais seriam os alvos mais atrativos para os crackers, como executivos e vendedores que viajam, representantes de serviço ao cliente, pessoal financeiro e de engenharia.

Claro que as empresas devem cumprir com normas específicas. E, dependendo do setor que atuam, precisarão de políticas mais amplas, como os provedores de atendimento médico e as empresas que lidam com dados de cartões de crédito, por exemplo. Ainda assim, os princípios básicos são os mesmos: focar em um conjunto limitado de políticas que possam ser compreendidas e aplicadas no dia a dia (em oposição a tentar abarcar um amplo conjunto de regras que cubram todas as eventualidades imagináveis), e capacitar seu pessoal de forma periódica sobre a evolução das tecnologias e vetores de infecção de ameaças emergentes.

Responsabilidade legal

A segurança da informação também pode ser útil em casos de necessidade de estabelecer a responsabilidade legal de uma empresa em uma ação. Se acontece um vazamento de dados, a empresa estará menos exposta a demandas e a sanções se puder demonstrar que tomou as precauções razoáveis para proteger as informações.

As pequenas e médias empresas não devem confiar que, por terem operações menores, não correm os mesmos riscos que as das grandes empresas. É possível que sejam objeto de uma auditoria ou ainda que tenham que pagar multas devido ao descumprimento de padrões ou incidentes relacionados; ou ainda, podem cair mais facilmente em armadilhas de hackers e crackers mal-intencionados.

Se as políticas estão documentadas e se seu cumprimento é fiscalizado, isso é uma maneira de demonstrar aos auditores que a empresa fez um grande esforço para proteger os dados de clientes e empregados. As políticas de segurança da informação podem ser utilizadas para comunicar aos clientes que a empresa é atenciosa na implementação das melhores práticas de segurança.

*Carlos Baleeiro é country manager da Eset no Brasil