Qual o papel dos colaboradores na segurança da informação de uma empresa?
Gestão

Qual o papel dos colaboradores na segurança da informação de uma empresa?

Falar de Segurança da Informação tem sido algo não só rotineiro, mas imprescindível, do ponto de vista da continuidade de um negócio. Isso porque a informação se tornou o bem mais valioso do mundo moderno, gerando grande vantagem competitiva.

Assim, a preocupação com a compliance na segurança da informação passou a ser adicionada ao rol de prioridades dos gestores e empresários, em vista da facilidade com que a informação passa de mãos em mãos, desde a popularização da Internet e com a consolidação da tecnologia como grande parceira das empresas  sejam elas pequenas ou grandes corporações.

A seguir, vamos falar sobre algumas consequências disso e também a respeito da importância do engajamento dos colaboradores para evitar as ameaças existentes.

A importância da informação para uma empresa

A informação é valiosa; logo alguém que não é o dono tem interesse nela. Milhões e milhões de informações estão, neste momento, circulando pelas redes de milhares de empresas no mundo. Isso não se limita a suas intranets: muitas delas estão trafegando pela grande rede.

Para ter uma imagem clara do perigo que você corre, imagine um pescador procurando um lugar no mar onde há cardumes e mais cardumes de peixes disponíveis, e no qual tudo o que ele precisa fazer é usar a isca certa. Isso mesmo: há muita gente interessada na informação da sua empresa.

Assim, se você não percebe o quanto ela é valiosa, possivelmente não está tomando as devidas precauções. 

Ao entender que a informação é o bem mais caro o mundo corporativo moderno, você percebe que precisa garantir que os dados da minha empresa só sejam acessados pelas pessoas certas.

Imagine se os funcionário da sua empesa tivessem acesso aos salários de todos os colaboradores, inclusive da alta gestão? Que problemas isso traria? Esse é apenas um exemplo simples, diante das possibilidades de danos por vazamento de informações sigilosas.

O papel da TI como aliada do negócio

Para evitar isso, o primeiro passo é ver a tecnologia como uma parceira no negócio e não apenas um centro de custo. Todo gasto em tecnologia deve ser encarado pelos tomadores de decisão como um investimento na continuidade do negócio.

A TI — tanto a interna quanto aquela que conta com suporte especializado  saiu do papel de simples assistente no ambiente corporativo e passou, principalmente na última década, a ocupar um papel cada vez mais estratégico na gestão dos negócios.

A visão ultrapassada de que ela é uma consumidora voraz das verbas da empresa está ficando para trás: a TI agora é reconhecida como poderosa aliada, respondendo às demandas por respostas cada vez mais rápidas e informações cada vez mais precisas.

O papel dos colaboradores para a segurança da informação

Grande parte dos incidentes envolvendo perda de dados ou vazamento de informações é causada pelos funcionários da própria empresa. Essa estatística aponta para uma necessidade de ação urgente: estabelecer uma política de controle de acesso que seja capaz de inviabilizar — ou pelo menos minimizar — essa possibilidade.

A falta de padronização de uma cultura organizacional bem definida deixa os próprios colaboradores à mercê da desinformação. Em muitas empresas, nunca é dito ao colaborador o que ele pode ou não fazer com os recursos de TI que recebe, como:

  • liberação de acesso à Internet;
  • uso de e-mail corporativo ou pessoal no ambiente de trabalho;
  • utilização de celulares, tablets ou notebooks na rede da empresa.

Em alguns casos, as regras até existem, mas faltam ações para garantir o seu cumprimento  restrições técnicas e comunicação interna, por exemplo.

Os meios de garantir a compliance na segurança da informação

Algumas atitudes podem ser tomadas como medidas de proteção à informação. Veja:

Implantação de uma política de compliance

Mas o que é a compliance? Em termos práticos, é a definição de uma política capaz de orientar sobre o que é correto, ético e seguro dentro do ambiente corporativo. Ou seja, é um conjunto de orientações que visa estabelecer um comportamento alinhado com a organização, com a legislação e os órgãos reguladores.

A compliance pode ser auditada, para ver em que pontos as normas não estão sendo seguidas como deveriam. Os principais itens de uma política de compliance são:

  • alinhamento com leis, órgãos reguladores, normas técnicas e com a cultura da empresa;
  • boa política de comunicação interna que seja assertiva, esclarecendo o que se pode ou não fazer/acessar;
  • informação clara para cada colaborador de seu papel como membro de um organismo vivo, que é a empresa. Se há sentimento de pertencimento, a adequação se torna mais fácil;
  • interação com a TI para garantir a eficácia das ações definidas.
  •  

Eis alguns exemplos de requisitos que têm sido muito úteis para garantir a segurança da informação:

  • troca de senha periódica para acesso ao ambiente de TI;
  • política de acesso bem definida e auditada;
  • sistema de acesso integrado às rotinas de admissão/demissão, bloqueando acesso de usuários desligados;
  • restrição ao uso de periféricos como pendrives, notebooks na rede da empresa etc.

É muito importante incluir também controles de níveis de acesso, em que cada colaborador só tem permissão para acessar a parte do sistema que lhe diz respeito. Por exemplo, a equipe técnica/operacional de uma empresa não precisa visualizar o módulo de folha de pagamento do ERP da organização.

Certificação de qualidade de segurança da informação

    É interessante buscar uma certificação como a ISO 27000, que garante que as normas estabelecidas foram implantadas no ambiente corporativo. Além de trazer mais segurança, ela agrega mais valor e confiabilidade à empresa junto ao mercado.

    Controle de acessos externos

    Hoje é praticamente um requisito que as empresas ofereçam acesso externo a seus gestores, vendedores ou à equipe de TI. São utilizadas com frequência ferramentas como:

    • reuniões por meio de videoconferências;
    • tablets e celures para vendedores;
    • acesso remoto on-line aos sistemas internos etc.

    Além disso, a terceirização da TI também pode requisitar acesso externo para técnicos e analistas.

    Essa realidade deve estar contemplada na política de segurança da empresa. Nem sempre o bloqueio dos acessos é viável, mas é possível auditar quem fez o que, de onde e quando. Essa ação, por si só, já inibe o uso indevido do recurso para fins fora do estabelecido.

    Plano de continuidade e recuperação de desastres

    Dispor de um plano de ação para recuperar a informação em virtude de uma indisponibilidade  independentemente da origem do problema — é um requisito básico para qualquer empresa.

    Ter o servidor do banco de dados comprometido, sem que haja nenhum plano de ação desenhado para recuperar esse ambiente, é quase um suicídio corporativo.

    Contar com recursos contingenciais — como sistemas em nuvem, backup remoto, sites backup e redundância de informação — não é nenhum luxo, mas sim a garantia de continuidade e sobrevivência da empresa.

    O que achou do nosso texto? Conseguiu entender a importância de se preocupar com a compliance na segurança da informação em sua empresa? Então, compartilhe este texto em suas redes sociais e colabore com a construção de empresas mais seguras!

    Você também pode gostar
    governanca-de-ti-a-chave-para-agregar-valor-ao-seu-negocio
    Governança de TI: a chave para agregar valor ao seu negócio
    Compreenda a importância dos indicadores de desempenho de TI para o crescimento do setor
    como-mensurar-o-roi-dos-processos-de-uma-empresa-de-ti
    Como mensurar o ROI dos processos de uma empresa de TI?

    Deixe seu comentário

    Seu comentário*

    Nome*
    Site

    Share This