Atualmente, 58% das empresas brasileiras com acesso à Internet têm suas informações completamente vulneráveis e expostas a todos os tipos de ameaças! É o que afirma o TIC Empresas 2008, estudo conduzido anualmente pelo NIC.br (Núcleo de Informação e Coordenação do Ponto BR).
Se filtrarmos os dados do estudo e considerarmos apenas empresas que possuem entre 10 e 49 funcionários (98% das companhias formais no Estado de São Paulo, segundo o SEBRAE-SP), chegamos aos alarmantes 63% que declaram “não ter adotado nenhuma medida de apoio à segurança de suas informações.
Na prática, isso significa dizer que 63% das empresas pequenas e médias podem deixar de existir ou, pelo menos, sofrer um prejuízo de ordem financeira e operacional tão grande que inviabilize a continuidade de sua operação! Basta, para isso, que sejam vítimas de qualquer ameaça virtual mais grave, risco iminente na sociedade moderna, ou ainda que sejam vítimas de alguma catástrofe natural, incêndio ou ação de vandalismo virtual.
Esse quadro de saúde terminal das PME’s brasileiras deve-se a um grave descuido de seus administradores com a famigerada “Segurança da Informação”. As justificativas são inúmeras: falta de conhecimento sobre os riscos existentes; falta de conhecimento sobre como se proteger adequadamente; falta de capital para investimento, etc. Nenhuma, porém, capaz de explicar claramente esse “dar de ombros” do pequeno e médio empreendedor.
Além disso, entre aqueles que se protegem (ou pelo menos tentam), não faltam exemplos dos que investiram pesado em firewall’s e supervisores de conteúdo de última geração, antivírus corporativo e supervisor de mensageiros instantâneos, anti-spam, anti-spyware e etc, mas que ainda assim tiveram registros de sinistros mais ou menos graves em seu parque informático. Esses e aqueles, sem saber, pecam no mesmo quesito: o planejamento.
Se concordarmos que hoje a informação é o principal ativo das empresas, então, a segurança deixa de ser uma questão técnica e passa a ser uma questão gerencial, preponderante para a continuidade do negócio. Sendo assim, é hora do administrador, independente do tamanho de sua organização, tratar este assunto com o profissionalismo e o comprometimento que ele merece.
É importante sabermos que uma boa Política de Segurança da Informação começa no papel e independe de investimentos vultosos e ferramentas de última geração! Antes de tudo, o administrador deve apoiar-se sobre o conhecimento disponibilizado por um especialista de sua confiança e, junto a ele, criar um documento personalizado que ditará a regra geral sobre o que se pode e o que não se pode fazer com os recursos computacionais da empresa.
Essa ação deve preceder a contratação de qualquer recurso técnico de segurança e deve ainda embasar campanhas de treinamento e/ou conscientização dos funcionários, pois, como costumo dizer, a empresa e as ferramentas tecnológicas constituem a política, mas a Segurança da Informação em si, quem faz é o usuário.
Veja algumas dicas sobre como começar a sua própria Política de Segurança e Uso dos Recursos Computacionais:
- Deve ser feito à quatro mãos: o conhecimento técnico é de responsabilidade do especialista, porém, a minúcia do seu negócio, aquela necessidade específica que só sua empresa tem, somente você poderá agregar ao documento;
- Utilize uma Política de Segurança da Informação já consolidada como modelo para a sua. Grandes empresas como a BOVESPA, Humaitá Investimentos e alguns órgãos governamentais disponibilizam suas políticas de segurança gratuitamente pela Internet. Aproveite!
- O documento deve conter regras claras, objetivas e deve ser o mais curto possível;
- Deve ser revisado periodicamente sob pena de cair em desuso ou ficar desatualizado;
- Deve ser ampla e constantemente divulgada entre os funcionários. Utilize eventos internos para a apresentação e promova campanhas de conscientização;
- Faça com que a Política de Segurança da Informação torne-se parte do contrato de trabalho de sua empresa, de modo que cada novo colaborador tome conhecimento dela já no momento da contratação;
- Contrate ferramentas de bloqueio de acordo com o que sua política definir, nem mais, nem menos!
Carlos Augusto Cruz é diretor da CTECH Informática.
Se filtrarmos os dados do estudo e considerarmos apenas empresas que possuem entre 10 e 49 funcionários (98% das companhias formais no Estado de São Paulo, segundo o SEBRAE-SP), chegamos aos alarmantes 63% que declaram “não ter adotado nenhuma medida de apoio à segurança de suas informações.
Na prática, isso significa dizer que 63% das empresas pequenas e médias podem deixar de existir ou, pelo menos, sofrer um prejuízo de ordem financeira e operacional tão grande que inviabilize a continuidade de sua operação! Basta, para isso, que sejam vítimas de qualquer ameaça virtual mais grave, risco iminente na sociedade moderna, ou ainda que sejam vítimas de alguma catástrofe natural, incêndio ou ação de vandalismo virtual.
Esse quadro de saúde terminal das PME’s brasileiras deve-se a um grave descuido de seus administradores com a famigerada “Segurança da Informação”. As justificativas são inúmeras: falta de conhecimento sobre os riscos existentes; falta de conhecimento sobre como se proteger adequadamente; falta de capital para investimento, etc. Nenhuma, porém, capaz de explicar claramente esse “dar de ombros” do pequeno e médio empreendedor.
Além disso, entre aqueles que se protegem (ou pelo menos tentam), não faltam exemplos dos que investiram pesado em firewall’s e supervisores de conteúdo de última geração, antivírus corporativo e supervisor de mensageiros instantâneos, anti-spam, anti-spyware e etc, mas que ainda assim tiveram registros de sinistros mais ou menos graves em seu parque informático. Esses e aqueles, sem saber, pecam no mesmo quesito: o planejamento.
Se concordarmos que hoje a informação é o principal ativo das empresas, então, a segurança deixa de ser uma questão técnica e passa a ser uma questão gerencial, preponderante para a continuidade do negócio. Sendo assim, é hora do administrador, independente do tamanho de sua organização, tratar este assunto com o profissionalismo e o comprometimento que ele merece.
É importante sabermos que uma boa Política de Segurança da Informação começa no papel e independe de investimentos vultosos e ferramentas de última geração! Antes de tudo, o administrador deve apoiar-se sobre o conhecimento disponibilizado por um especialista de sua confiança e, junto a ele, criar um documento personalizado que ditará a regra geral sobre o que se pode e o que não se pode fazer com os recursos computacionais da empresa.
Essa ação deve preceder a contratação de qualquer recurso técnico de segurança e deve ainda embasar campanhas de treinamento e/ou conscientização dos funcionários, pois, como costumo dizer, a empresa e as ferramentas tecnológicas constituem a política, mas a Segurança da Informação em si, quem faz é o usuário.
Veja algumas dicas sobre como começar a sua própria Política de Segurança e Uso dos Recursos Computacionais:
- Deve ser feito à quatro mãos: o conhecimento técnico é de responsabilidade do especialista, porém, a minúcia do seu negócio, aquela necessidade específica que só sua empresa tem, somente você poderá agregar ao documento;
- Utilize uma Política de Segurança da Informação já consolidada como modelo para a sua. Grandes empresas como a BOVESPA, Humaitá Investimentos e alguns órgãos governamentais disponibilizam suas políticas de segurança gratuitamente pela Internet. Aproveite!
- O documento deve conter regras claras, objetivas e deve ser o mais curto possível;
- Deve ser revisado periodicamente sob pena de cair em desuso ou ficar desatualizado;
- Deve ser ampla e constantemente divulgada entre os funcionários. Utilize eventos internos para a apresentação e promova campanhas de conscientização;
- Faça com que a Política de Segurança da Informação torne-se parte do contrato de trabalho de sua empresa, de modo que cada novo colaborador tome conhecimento dela já no momento da contratação;
- Contrate ferramentas de bloqueio de acordo com o que sua política definir, nem mais, nem menos!
Carlos Augusto Cruz é diretor da CTECH Informática.