Por que tantos executivos das pequenas e médias empresas (PMEs) ignoram os riscos aos quais a organização está exposta quando se trata de segurança da informação? O que noto muitas vezes é um ar de despreocupação, pois parece que toda a responsabilidade sobre o assunto sempre está no colo dos “meninos da informática”, como se um grupo de dois, três ou quatro profissionais pudessem proteger toda a informação de valor que circula dentro e fora da empresa através de seus computadores.
Até encontramos nestas empresas um certo nível de consciência por parte de alguns executivos sobre a questão da segurança da informação, mas totalmente ausente de ações direcionadas e planejadas que coloquem o TI como parte integrante do negócio. É comum identificarmos altos gastos com tecnologia, como a compra de servidores, firewalls, sistemas de backup, etc. Mas todo este aparato acaba se tornando ineficiente, por despreparo dos profissionais do TI com as ferramentas, e pela falta de conscientização dos funcionários, fornecedores e terceiros sobre suas responsabilidades com a segurança.
Podemos ver exatamente essa situação nos dados mostrados na Pesquisa Symantec 2009 sobre Segurança e Armazenamento nas PMEs da América Latina. Na pesquisa, podemos constatar alguns números que derrubam a sensação de segurança passada por algumas empresas:
* 29 % das PMEs não possuem se quer uma solução de antivírus;
* 48 % não realizam backup das estações de trabalho;
* 33 % já tiveram informações confidenciais perdidas, roubadas ou acessadas sem autorização;
* 43 % indicam falta de qualificação por parte dos profissionais;
* 28 % apontaram a falta de tempo e conhecimento sobre ameaças.
Para organizar o uso das diversas ferramentas com a efetiva colaboração de todos os envolvidos, é importante que ela se inicie no papel. Escrever uma política de segurança muitas vezes pode se tornar difícil, e por isso o envolvimento de várias pessoas e diversos departamentos pode ser necessário. Em muitos casos, o apoio de uma consultoria especializada é o melhor caminho para direcionar o projeto, pois muitas vezes a equipe de TI desconhece as fragilidades a qual a empresa está sujeita. E isso não é algo que deve criar algum tipo de barreira ou constrangimento, pois a responsabilidade pela segurança da informação vai além do departamento de TI, ela abrange a empresa como um todo. Por isso, a criação de uma área ou função de segurança da informação deve ser independente, respondendo diretamente à diretoria da empresa para evitar que o próprio TI oculte ou ignore suas falhas no processo.
O uso de ferramentas, sejam elas um equipamento ou um sistema, é importante para o apoio à segurança da informação, mas sem capacitação técnica dos profissionais e sem a colaboração efetiva das pessoas, todo o investimento é desperdiçado gerando frustrações e quebra de confiança no modelo idealizado da política de segurança.
Roberto Henrique
roberto@abctec.com.br
Este artigo também está publicado em: iMasters