Quando uma empresa é pequena ou recentemente constituída, as regras de segurança tendem a ser mais flexíveis ou inexistem. Desta forma, o que se verifica usualmente é a utilização dos recursos da empresa, como dispositivos pessoais, o compartilhamento das informações na nuvem de forma inadequada e até mesmo a administração em conjunto dos e-mails pessoais e corporativos.
Todas essas atividades acarretam riscos adicionais à empresa, criando assim a necessidade de limitá-los e o desenvolvimento de políticas de segurança.
A segurança da informação deve ser tratada como uma necessidade do negócio e não apenas como necessidade de tecnologia, pois o conhecimento e as informações corporativas são os principais ativos de qualquer empresa e necessitam ter sua confidencialidade, integridade e disponibilidade asseguradas.
Um dos passos mais importantes para se tornarem menos vulneráveis é a definição de uma política de segurança, um conjunto de normas e diretrizes destinadas à proteção dos ativos da organização. Para que seja efetiva, convém que a política seja clara, devidamente aprovada pela alta direção e com a definição das responsabilidades na gestão da área.
O passo seguinte é a comunicação de forma oficial e funcional para todos os funcionários e partes interessadas, como clientes e acionistas, a fim de demonstrar a devida cautela e o compromisso da empresa.
As políticas não precisam ser desenvolvidas do zero. Existem modelos propostos por padrões de segurança, que são o conjunto de melhores práticas e regulamentações do setor que endereçam itens específicos para setores específicos e que são facilmente aderentes ao contexto das empresas.
Entretanto, a política de segurança não pode ser um documento estático, e sim dinâmico, pois deve se adequar às necessidades do negócio, sendo alterada e revisada regularmente.
Para que sejam realmente eficazes, seu cumprimento deve ser cobrado e fiscalizado, havendo meios bem definidos de sanções para aqueles que não observarem as regras. Estas informações devem estar bem claras e divulgadas aos responsáveis.
Usando essas ações como pilares, torna-se grande a chance de fazer as políticas de segurança atingirem o objetivo de minimizar os riscos a que uma empresa está exposta.
(*) Pedro Vieira, gerente de produtos da Arcon serviços gerenciados de segurança da informação