Ponto de Interrogação

O Paradoxo da Segurança da Informação

Por que empresas não investem ou investem pouco em segurança da informação?

Rafael Batista

Resumo

A segurança da informação é crucial para proteger as empresas na era digital, mas muitas não investem o suficiente nesse aspecto, o que pode ter consequências graves. As violações de segurança estão aumentando, comprometendo dados sensíveis e causando prejuízos financeiros. A falta de conscientização é um fator significativo, pois muitas empresas subestimam os riscos e o impacto de uma violação. A falta de recursos também é um obstáculo, pois investir em segurança demanda recursos financeiros, tecnológicos e humanos. As empresas enfrentam prioridades concorrentes, o que leva a negligenciar a segurança da informação em favor de objetivos imediatos. É importante equilibrar as prioridades e incorporar a segurança da informação em todas as fases dos projetos e processos empresariais. A falta de conformidade regulatória e a complexidade das ameaças também podem representar desafios. Para superar esses obstáculos, é necessário investir em conscientização, alocar recursos adequados, buscar conhecimento especializado e estar em conformidade com as regulamentações. Proteger os ativos de informação é como proteger um castelo, e investir em segurança é um investimento estratégico que vale a pena para a continuidade dos negócios e a preservação da confiança dos clientes.

Essencial para o Bom Funcionamento e Proteção

A segurança da informação é um dos pilares fundamentais para o bom funcionamento e proteção das empresas na era digital. No entanto, apesar dos crescentes riscos de violações e ataques cibernéticos, muitas organizações ainda não investem adequadamente nesse aspecto crucial. Essa negligência pode ter consequências graves, que vão além do aspecto financeiro, afetando também a reputação e a confiança dos clientes.

As violações de segurança estão se tornando cada vez mais frequentes e sofisticadas, comprometendo dados sensíveis, interrompendo operações e resultando em prejuízos substanciais. O impacto financeiro é evidente, com custos associados à recuperação, investigação forense, indenizações e possíveis multas regulatórias. Além disso, a reputação de uma empresa pode ser irremediavelmente abalada quando a confidencialidade dos dados de clientes é comprometida.

A Segurança da Informação como Obrigação de Compliance

De acordo com o artigo 46 da Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018) as empresas que efetuam tratamento de dados pessoais “devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Considerando ainda que a proteção da confidencialidade, da integridade e da disponibilidade, que é o objeto da segurança da informação, é essencial para que a privacidade seja garantida em sistemas de tecnologia da informação e comunicação que armazenam, tratam ou comunicam dados pessoais, ela representa uma obrigação de compliance para o atendimento, nos processos de negócios das empresas, de um direito fundamental do cidadão garantido pela Constituição (art. 5º – Inciso X).

Em adição à questão da proteção dos dados pessoais, podemos também lembrar que, o Código de Defesa do Consumidor (Lei 8.078/1990) e a regulamentação que o complementa, trata em diversos pontos da segurança nas relações de consumo. De forma bastante clara, seu artigo 6º diz que “são direitos básicos do consumidor, a proteção da vida, saúde e segurança contra os riscos provocados por práticas no fornecimento de produtos e serviços considerados perigosos ou nocivos”. Considerando o papel da tecnologia da informação e comunicação no fornecimento de produtos e serviços das empresas,  isto aponta para a necessidade da segurança da informação na empresa como sustentação da segurança do consumidor.

Esta necessidade de garantir a segurança do consumidor nos processos que dão sustentação à entrega de produtos e serviços, aparece de forma destacada entre as diretrizes do decreto nº 7.963/2013 que institui o Plano Nacional de Consumo e Cidadania: “Art 2º – VII: autodeterminação, privacidade, confidencialidade e segurança das informações e dados pessoais prestados ou coletados, inclusive por meio eletrônico”.

Indo mais além, a segurança da informação é condição para o cumprimento de obrigações legais e regulatórias específicas em atividades que têm o sigilo das informações em sua própria essência. Isto ocorre, por exemplo, nos setores de saúde (o prontuário do paciente), no financeiro (os dados bancários) e no jurídico (as informações trocadas entre o advogado e seu cliente). 

O Paradoxo

Então, por que tantas empresas não investem ou investem insuficientemente em segurança da informação? Existem diversas razões que contribuem para essa realidade preocupante. A falta de conscientização é um fator significativo. Muitas empresas não estão plenamente cientes dos riscos envolvidos e subestimam a importância da segurança da informação. Elas podem não compreender totalmente o impacto financeiro e reputacional que uma violação pode causar.

A falta de recursos é outro obstáculo enfrentado pelas organizações. Investir em segurança da informação demanda recursos financeiros, tecnológicos e humanos. Restrições orçamentárias podem impedir a alocação adequada de recursos para implementar medidas de segurança eficazes. Em um cenário empresarial competitivo, as empresas também enfrentam prioridades concorrentes, como aumentar a receita, expandir o mercado e desenvolver novos produtos. Infelizmente, a segurança da informação muitas vezes é negligenciada em favor dessas prioridades imediatas.

Subestimando os Riscos

A falta de conscientização é uma das principais razões pelas quais muitas empresas não investem adequadamente em segurança da informação. Quando as organizações não compreendem plenamente os riscos associados às violações de segurança, é natural que subestimem a importância de implementar medidas efetivas de proteção. No entanto, os impactos financeiros e reputacionais de uma violação podem ser devastadores.

Imagine a segurança da informação como a construção de um castelo. Sem a conscientização adequada, as empresas podem estar construindo seus “castelos de dados” em terrenos instáveis, sem se dar conta do perigo que isso representa. Elas podem ignorar as ameaças potenciais, como ataques cibernéticos, malware ou até mesmo ações internas maliciosas, acreditando erroneamente que tais eventos são improváveis ou insignificantes.

No entanto, assim como um castelo sem proteção adequada é vulnerável a invasões, as empresas desprotegidas estão suscetíveis a violações de segurança. Uma única violação pode resultar em uma série de consequências financeiras negativas, incluindo o custo de investigações forenses, recuperação de sistemas e dados, indenizações a clientes afetados e até mesmo a perda de contratos e oportunidades de negócios.

Além dos impactos financeiros, as violações de segurança também podem causar danos significativos à reputação de uma empresa. A perda de confiança dos clientes é um efeito colateral comum quando informações confidenciais são expostas. Assim como um castelo enfraquecido pode abalar a confiança dos moradores em sua proteção, uma empresa que não valoriza a segurança da informação pode minar a confiança de seus clientes e parceiros comerciais.

A conscientização sobre as consequências financeiras e reputacionais de uma violação de segurança é crucial para mudar a mentalidade das empresas em relação à segurança da informação. É essencial que as organizações compreendam que os riscos existem e que investir em segurança é uma necessidade premente. Assim como um castelo bem fortificado é capaz de resistir aos ataques, empresas com uma cultura de segurança sólida estão melhor preparadas para enfrentar os desafios da era digital.

Falta de Recursos

As restrições orçamentárias são um desafio comum para as empresas de todos os tamanhos. Muitas vezes, os recursos disponíveis são direcionados para outras áreas consideradas mais estratégicas ou urgentes. No entanto, é importante lembrar que a segurança da informação é essencial para o sucesso a longo prazo e a sustentabilidade de uma organização.

Uma maneira de contornar as restrições orçamentárias é otimizar os recursos existentes. Isso pode ser feito por meio da implementação de práticas eficientes de gestão da segurança da informação, priorizando os investimentos com base em uma avaliação de riscos adequada. É fundamental identificar os ativos de informação mais críticos e direcionar os recursos disponíveis para protegê-los de maneira adequada.

Além disso, uma alternativa interessante para empresas com recursos limitados é a terceirização de algumas atividades de segurança da informação – ou até mesmo de todas elas. Ao transferir parte ou todas as responsabilidades de segurança para provedores especializados, as empresas podem aproveitar o conhecimento e a experiência desses profissionais, sem a necessidade de investir em contratações internas e treinamentos complexos.

Portanto, embora a falta de recursos possa ser um obstáculo, existem estratégias para superar essa limitação. A otimização dos recursos existentes e a terceirização de atividades de segurança da informação podem ser alternativas viáveis para empresas com restrições orçamentárias. O importante é reconhecer a importância da segurança da informação e buscar soluções adaptadas às necessidades específicas de cada organização.

Prioridades Concorrentes

No ambiente empresarial competitivo, as empresas enfrentam uma infinidade de prioridades, desde o aumento de receita até a expansão de mercado e o desenvolvimento de produtos inovadores. Nesse contexto, a segurança da informação é muitas vezes negligenciada.

O foco em metas financeiras imediatas pode levar as empresas a direcionar seus recursos e esforços para áreas que trazem resultados tangíveis e visíveis a curto prazo. A segurança da informação, por sua vez, pode ser vista como um investimento de longo prazo, cujos benefícios nem sempre são imediatamente perceptíveis.
No entanto, é essencial encontrar um equilíbrio entre as prioridades concorrentes e a proteção dos ativos de informação. Ignorar a segurança da informação pode resultar em consequências graves, como violações de dados, perda de confiança dos clientes e danos à reputação da empresa. Portanto, é fundamental considerar a segurança da informação como uma prioridade estratégica e integrá-la ao planejamento global da organização.

Uma maneira de equilibrar essas prioridades é incorporar a segurança da informação desde o início em todas as fases dos projetos e processos empresariais. Isso envolve a avaliação dos riscos de segurança, a implementação de controles apropriados e a conscientização de todos os funcionários sobre as melhores práticas de segurança.

Além disso, é importante promover uma cultura de segurança em toda a organização, na qual a proteção dos dados seja valorizada por todos os membros da equipe. Isso pode ser alcançado por meio de treinamentos regulares sobre segurança da informação, comunicação clara das políticas de segurança e recompensas por boas práticas de segurança.

Ao considerar a segurança da informação como um componente essencial do sucesso empresarial, as empresas podem garantir que as prioridades concorrentes sejam equilibradas. É importante reconhecer que a segurança da informação é um investimento estratégico que protege os ativos mais valiosos da empresa: suas informações confidenciais e a confiança dos clientes.

Conclusão – Razões do Paradoxo e Busca de Soluções

Ao longo deste artigo, exploramos algumas das razões pelas quais muitas empresas não investem adequadamente em segurança da informação. A falta de conscientização, a escassez de recursos e as prioridades concorrentes foram apresentadas como obstáculos comuns que podem levar à negligência da proteção dos ativos de informação. No entanto, é importante ressaltar que essas razões são apenas algumas entre várias outras que podem justificar a falta de investimento nessa área crucial. Há várias outras, como a falta de conhecimento interno, a complexidade das ameaças em constante evolução e a necessidade de atualizações regulares também podem representar um desafio para as organizações.

Outro fator que pode influenciar é a falta de conformidade regulatória. Algumas empresas podem não ser obrigadas por leis ou regulamentos específicos a investir em segurança da informação, o que pode levar à falta de incentivo para implementar medidas adequadas. No entanto, é importante destacar que a conformidade regulatória não deve ser o único motivador para investir em segurança. As consequências de uma violação de segurança vão além das multas e penalidades; elas envolvem danos à reputação, perda de confiança dos clientes e potenciais perdas financeiras significativas.

Portanto, é fundamental que as empresas superem esses obstáculos e façam os investimentos necessários em segurança da informação. Proteger os ativos de informação é como proteger um castelo. Assim como um castelo requer defesas robustas para resistir a invasores, uma empresa precisa implementar medidas de segurança eficazes para proteger seus dados confidenciais, sistemas e infraestrutura.

Investir em conscientização, alocar recursos adequados, equilibrar prioridades, buscar conhecimento especializado e estar em conformidade com as regulamentações aplicáveis são etapas cruciais para fortalecer as defesas do “castelo” empresarial. Além disso, é importante adotar uma mentalidade proativa em relação à segurança da informação, antecipando ameaças e atualizando continuamente as medidas de proteção.

Ao enfrentar os desafios e investir em segurança da informação, as empresas podem mitigar riscos, proteger seus ativos mais valiosos e garantir a continuidade dos negócios. Lembre-se de que as consequências de uma violação de segurança podem ser graves, afetando a reputação da empresa, a confiança dos clientes e até mesmo sua sobrevivência no mercado competitivo.

Em um mundo cada vez mais conectado e digital, a segurança da informação é uma necessidade essencial. Proteger seu “castelo de dados” é um investimento estratégico que vale a pena. Portanto, não adie mais. Avalie as vulnerabilidades, implemente controles adequados e faça dos investimentos em segurança uma prioridade. Somente assim sua empresa estará preparada para enfrentar os desafios de um cenário empresarial em constante evolução, preservando a confidencialidade, integridade e disponibilidade de suas informações valiosas.

 


Imagem de capa: Banco de Imagens pixabay.com