Considerações sobre segurança da informação

Os dados sempre foram dos bens mais importantes de qualquer organização. A diferença é que há alguns anos a informação mais crítica para a empresa poderia ser guardada e trancada dentro da gaveta. Atualmente, independente do estágio de tecnologia da organização a proteção da informação deve ser uma das preocupações dos executivos e proprietários das empresas. O executivo não precisa ser um especialista em segurança da informação, mas precisa conhecer requisitos básicos sobre o assunto. Relacionamos abaixo os principais aspectos que você deve conhecer:

a) Não é um assunto somente de tecnologiaAtualmente, os computadores processam e armazenam a maioria das informações operacionais e estratégicas da empresa. Por isso esse ambiente precisa ser protegido. Para tanto é necessário contar com a ajuda de especialistas. O erro está em pensar que somente com soluções técnicas, como programas de antivírus, estaremos protegendo nossos dados. Coerente com o porte, sua empresa deve ter melhor proteção tecnológica. Mas, saiba que isso é fundamental, mas não o suficiente.

b) É uma decisão empresarialProteger a informação é uma decisão corporativa porque seu objetivo é proteger o negócio da organização. Se acontecer um fato em que a empresa tenha um grande prejuízo ou seja impedida de continuar a realizar o seu negócio, serão os acionistas que perderão o investimento realizado.

c) Não acontece por milagreA proteção da informação exige dedicação de recursos financeiros, de tempo e de pessoas. Em termos financeiros, toda organização tem condições de realizar uma proteção adequada. Se o recurso financeiro estiver sendo usado como desculpa, algo está errado. Até o usuário doméstico tem condições de proteger adequadamente a sua informação.

d) Deve fazer parte dos requisitos de negócioO gasto com a segurança da informação deve fazer parte do negócio da organização. É mais um item que compõe o preço final para o seu produto. Cuidado com o “canto da sereia” do retorno de investimento. Encare a segurança da informação como um elemento do negócio.

e) Exige postura profissional das pessoasUma regra básica é tratar o assunto de segurança da informação de forma profissional. Devem existir regulamentos, normas e políticas que valem para todos. Se outros assuntos da organização não são tratados de forma profissional, esse fato dificulta o processo de proteção.

f) É liberar a informação apenas para quem precisaUma regra básica é: somente o usuário que precisa da informação para o desempenho profissional das suas atividades na organização deve ter acesso à informação. Se alguém não precisa da informação: não deve ter acesso! Independente do seu nível hierárquico.

g) Deve-se instituir o gestor da informaçãoHistoricamente a área de tecnologia era responsável pela autorização e liberação da informação para o usuário. Pode até continuar sendo assim, porém, tem que existir uma autorização da área proprietária daquele dado. A área de tecnologia é apenas uma prestadora de serviço. Por exemplo, quem deve autorizar o acesso às informações financeiras deve ser a diretoria financeira.

h) Deve contemplar todos os colaboradoresA organização conta com funcionários, prestadores de serviço, terceirizados, consultores e trabalhadores temporários. Todos são colaboradores e devem ser contemplados no processo de segurança da informação. Os parceiros da sua organização devem ter o mesmo nível de comprometimento que os seus funcionários.

i) Ter nas pessoas um elemento vitalSão as pessoas que fazem a organização. São as pessoas que fazem acontecer a segurança da informação. Pouco adianta ter uma super estrutura de proteção se seus colaboradores não internalizam os conceitos de segurança.

j) Exige alinhamento com o negócioAs ações de segurança devem estar alinhadas ao negócio da organização. Porém, essa é uma via de mão dupla. As iniciativas de negócio devem considerar esse aspecto desde o início. Não se deve estruturar e implementar um novo produto de negócio para depois considerar a proteção da informação.

De forma semelhante ao dito “a ética é um princípio sem fim”, a segurança da informação é um processo que não termina nunca. Mas ela não existe por si só. Ela existe para possibilitar que o negócio da empresa aconteça de forma protegida no que diz respeito aos dados. Finalizando, a segurança da informação é uma decisão empresarial. É um decisão que o executivo ou proprietário deve fazer!

A decisão é sua! Tome uma boa decisão: proteja a informação da sua empresa!