Este é um tema muito discutido, mas pouco compreendido nas pequenas empresas e startups. A gestão da segurança da informação costuma ser erroneamente associada a algo que somente as grandes empresas e as multinacionais necessitam ou podem pagar.

Carlos A. I. Bernardo

(Artigo publicado originalmente no Boletim da Câmara Portuguesa de São Paulo)

A segurança da informação é a disciplina que trata da proteção da confidencialidade, da integridade e da disponibilidade da informação e está diretamente relacionada com o sucesso de uma empresa.

Uma empresa que não conta com informações confiáveis e nem possa proteger seus ativos mais valiosos está fadada a ter problemas na entrega de seus produtos e serviços, pode colocar seus clientes em risco e estar sujeita à golpes e fraudes.

Não é por outro motivo que o art. 46 da Lei Geral de Proteção de Dados (LGPD) coloca a segurança como uma condição obrigatória para a realização de tratamento de dados pessoais.

Os riscos mais divulgados na mídia, como os sequestros de dados (ransonware) e invasões de sistemas são apenas a ponto do iceberg. Existe uma gama enorme de outros problemas, inclusive mais comuns e de causas internas, que podem afetar uma empresa que tenha medidas de segurança frágeis.

Até mesmo sintomas que impactam cotidianamente muitas empresas como lentidão nos sistemas, quedas recorrentes, sumiço de pastas e arquivos podem estar relacionados à acessos indevidos, uso irregular dos recursos da empresa e ações mal intencionadas que passam desapercebidos pela ausência de controles de segurança da informação.

Para lidar com os riscos, a gestão da segurança da informação aplica técnicas que permitem identificar as vulnerabilidades e as ameaças ao ambiente de tecnologia da informação da empresa e emprega medidas de tratamento que minimizam sua incidência.

As boas práticas de segurança da informação estão ao alcance de todas as empresas. Sua aplicação é feita de acordo com a exposição aos riscos e assim se ajusta ao contexto de cada caso. Mesmo em termos de custo, elas se ajustam as necessidades da empresa, pois estão mais ligadas com o uso adequado dos ativos de tecnologia da informação que ao emprego de soluções específicas.

Inclusive, um dos passos mais importantes no estabelecimento da segurança da informação é a empresa conhecer quais são seus ativos de tecnologia da informação, como eles são utilizados em seus processos de trabalho e estabelecer as políticas adequadas para a sua proteção.

Naturalmente para que as políticas sejam aplicadas, a empresa precisa se estruturar e estabelecer os papéis e responsabilidades em segurança da informação. Ela pode recorrer ao mercado, além de empresas especializadas em serviços de segurança da informação, há consultorias, mentorias e cursos que podem ajudar na implantação e operação das medidas de controle técnicas e administrativas.

Recomenda-se sempre que a alta direção da empresa lidere o estabelecimento das políticas e das medidas estratégicas. Isso decorre naturalmente do seu papel de condução dos negócios e da sua responsabilidade perante as leis e a sociedade.

Assim, em ordem de prioridades, o passo inicial é que a alta direção busque os conhecimentos gerais sobre o que compõe um sistema de gestão de segurança da informação e tome a decisão de como trazê-lo para a sua realidade.

Não há uma fórmula mágica, mas, existem recomendações de órgãos como a Autoridade Nacional de Proteção de Dados (ANPD) e boas práticas internacionais, que no caso brasileiro estão representadas pelas normas ABNT NBR ISO/IEC 27001 (Sistema de Gestão de Segurança da Informação) e ABNT NBR ISO/IEC 27701 (Sistema de Gestão de Privacidade da Informação).

Para empresas que usam sistemas em nuvem são importantes também as normas ABNT NBR ISO/IEC 27017 (práticas de segurança para sistemas em nuvem) e ABNT NBR/ISO 27018 (práticas de privacidade para sistemas em nuvem).

Detalhe fundamental é que a gestão de segurança da informação é um processo contínuo e que vai sendo melhorado ao longo do tempo. Querer esperar o momento certo de crescimento da empresa para custear a implantação do processo perfeito, não só é um objetivo pouco realista, como normalmente faz com que a empresa nunca dê início ao processo de segurança que a atenderia de fato.

Cybersecurity

Tags

Gestão de Riscos de TI Gestão de Segurança da Informação Lei Geral de Proteção de Dados LGPD Privacidade Eletrônica segurança cibernética
CA

Autor

Carlos Bernardo

Consultor, Instrutor e Mentor em Segurança da Informação e Gestão de Riscos
IT SECURE Consulting · São Paulo, Brasil

Consultor em Segurança da Informação com formação em Engenharia pela Escola de Engenharia Mauá e MBA em Governança, Riscos, Controles e Compliance. Possui ampla experiência no desenvolvimento e implantação de soluções em hardware, software, sistemas distribuídos, infraestrutura de TI, ambientes internet, segurança da informação, gerenciamento de riscos tecnológicos e computação forense. Atua também como professor em cursos de Segurança da Informação, Segurança Cibernética e Gestão de Riscos na ABNT, no Instituto Mauá de Tecnologia e na TIexames.

Perfil no LinkedIn