Notícias

You are here:

Importância da Segurança da Informação para as Pequenas Empresas e Startups [IT Secure]

Carlos A. I. Bernardo

carlos.bernardo@itsecure.com.br

 

Este é um tema muito discutido, mas pouco compreendido nas pequenas empresas e startups. A gestão da segurança da informação costuma ser erroneamente associada a algo que somente as grandes empresas e as multinacionais necessitam ou podem pagar.


A segurança da informação é a disciplina que trata da proteção da confidencialidade, da integridade e da disponibilidade da informação e está diretamente relacionada com o sucesso de uma empresa.
 
Uma empresa que não conta com informações confiáveis e nem possa proteger seus ativos mais valiosos está fadada a ter problemas na entrega de seus produtos e serviços, pode colocar seus clientes em risco e estar sujeita à golpes e fraudes.
Não é por outro motivo que o art. 46 da Lei Geral de Proteção de Dados (LGPD) coloca a segurança como uma condição obrigatória para a realização de tratamento de dados pessoais.
 
Os riscos mais divulgados na mídia, como os sequestros de dados (ransonware) e invasões de sistemas são apenas a ponto do iceberg. Existe uma gama enorme de outros problemas, inclusive mais comuns e de causas internas, que podem afetar uma empresa que tenha medidas de segurança frágeis. 
 
Até mesmo sintomas que impactam cotidianamente muitas empresas como lentidão nos sistemas, quedas recorrentes, sumiço de pastas e arquivos podem estar relacionados à acessos indevidos, uso irregular dos recursos da empresa e ações mal intencionadas que passam desapercebidos pela ausência de controles de segurança da informação.
Para lidar com os riscos, a gestão da segurança da informação aplica técnicas que permitem identificar as vulnerabilidades e as ameaças ao ambiente de tecnologia da informação da empresa e emprega medidas de tratamento que minimizam sua incidência.
 
As boas práticas de segurança da informação estão ao alcance de todas as empresas. Sua aplicação é feita de acordo com a exposição aos riscos e assim se ajusta ao contexto de cada caso. Mesmo em termos de custo, elas se ajustam as necessidades da empresa, pois estão mais ligadas com o uso adequado dos ativos de tecnologia da informação que ao emprego de soluções específicas.
 
Inclusive, um dos passos mais importantes no estabelecimento da segurança da informação é a empresa conhecer quais são seus ativos de tecnologia da informação, como eles são utilizados em seus processos de trabalho e estabelecer as políticas adequadas para a sua proteção.
 
Naturalmente para que as políticas sejam aplicadas, a empresa precisa se estruturar e estabelecer os papéis e responsabilidades em segurança da informação. Ela pode recorrer ao mercado, além de empresas especializadas em serviços de segurança da informação, há consultorias, mentorias e cursos que podem ajudar na implantação e operação das medidas de controle técnicas e administrativas.
 
Recomenda-se sempre que a alta direção da empresa lidere o estabelecimento das políticas e das medidas estratégicas. Isso decorre naturalmente do seu papel de condução dos negócios e da sua responsabilidade perante as leis e a sociedade.
Assim, em ordem de prioridades, o passo inicial é que a alta direção busque os conhecimentos gerais sobre o que compõe um sistema de gestão de segurança da informação e tome a decisão de como trazê-lo para a sua realidade. 
Não há uma fórmula mágica, mas, existem recomendações de órgãos como a Autoridade Nacional de Proteção de Dados (ANPD) e boas práticas internacionais, que no caso brasileiro estão representadas pelas normas ABNT NBR ISO/IEC 27001 (Sistema de Gestão de Segurança da Informação) e ABNT NBR ISO/IEC 27701 (Sistema de Gestão de Privacidade da Informação).
Para empresas que usam sistemas em nuvem são importantes também as normas ABNT NBR ISO/IEC 27017 (práticas de segurança para sistemas em nuvem) e ABNT NBR/ISO 27018 (práticas de privacidade para sistemas em nuvem).
 
Detalhe fundamental é que a gestão de segurança da informação é um processo contínuo e que vai sendo melhorado ao longo do tempo. Querer esperar o momento certo de crescimento da empresa para custear a implantação do processo perfeito, não só é um objetivo pouco realista, como normalmente faz com que a empresa nunca dê início ao processo de segurança que a atenderia de fato.

Fonte: Assessoria

 

 

Notícias Relacionadas