01.02.10

Confiantes? Sim. Preparadas? Não.

Fonte: Roberto Henrique

O excesso de confiança nos ambientes de TI não condiz com cenário real das pequenas e médias empresas.

Por que tantos executivos das pequenas e médias empresas (PMEs) ignoram os riscos dos quais a organização está exposta quando se trata de segurança da informação? O que noto muitas vezes é um ar de despreocupação, pois parece que toda a responsabilidade sobre o assunto sempre está no colo dos “meninos da informática”, como se um grupo de dois, três ou quatro profissionais pudessem proteger toda a informação de valor que circula dentro e fora da empresa através de seus computadores.

Até encontramos nestas PMEs um certo nível de consciência por parte de alguns executivos sobre a questão da segurança da informação, mas totalmente ausente de ações direcionadas e planejadas que coloquem o TI como parte integrante do negócio. É comum identificarmos altos gastos com tecnologia, como a compra de servidores, firewalls, sistemas de backup, etc. Mas todo este aparato acaba se tornando ineficiente por despreparo dos profissionais do TI com as ferramentas e a falta de conscientização dos funcionários, fornecedores e terceiros sobre suas responsabilidades com a segurança.

É o que revela a Pesquisa Symantec 2009 sobre Segurança e Armazenamento nas PMEs da América Latina. Na pesquisa, podemos constatar alguns números que derrubam a sensação de segurança passada por algumas empresas:
 29 % das PMEs não possuem se quer uma solução de antivírus;
 48 % não realizam backup das estações de trabalho;
 33 % já tiveram informações confidenciais perdidas, roubadas ou acessadas sem autorização;
 43 % indicam falta de qualificação por parte dos profissionais;
 28 % apontaram a falta de tempo e conhecimento sobre ameaças.

Para organizar o uso das diversas ferramentas com a efetiva colaboração de todos os envolvidos, é importante que ela se inicie no papel. Escrever uma política de segurança muitas vezes pode se tornar difícil, e por isso o envolvimento de várias pessoas e diversos departamentos pode ser necessário. Em muitos casos, o apoio de uma consultoria especializada é o melhor caminho para direcionar o projeto, pois muitas vezes a equipe de TI desconhece as fragilidades a qual a empresa está sujeita. E isso não é algo que deve criar algum tipo de barreira ou constrangimento, pois a responsabilidade pela segurança da informação vai além do departamento de TI, ela abrange a empresa como um todo. Por isso a criação de uma área ou função de segurança da informação deve ser independente, respondendo diretamente à diretoria da empresa para evitar que o próprio TI oculte ou ignore suas falhas no processo.

O uso de ferramentas seja ela um equipamento ou um sistema é importante para o apoio à segurança da informação, mas sem capacitação técnica dos profissionais e sem a colaboração efetiva das pessoas, todo o investimento é desperdiçado gerando frustrações e quebra de confiança no modelo idealizado da política de segurança.

Roberto Henrique é consultor da ABCTec, especializado em análise de vulnerabilidades e  no tratamento de incidentes de segurança da informação. Possui as certificações Microsoft MCP/MCDST, F-Secure Certified Sales Professional e Intel Segurança da Informação e Governança em TI.



Home  |  Contato
Parcerias International: All-About-Security | KoSiB eG | Forum Security | Network Computing | NGG e.V. | OGuedes | Steinbeis

© Fórum de Segurança o Brasil 2017