Segurança da informação: muito mais do que investimentos em TI

Definitivamente, a segurança da informação não se encontra restrita à tecnologia da informação.

Com efeito, há uma gama de elementos que necessitam ser analisados, quando se pretende proteger informações sensíveis, especialmente no âmbito das empresas e organizações.

Infelizmente, muitos ainda equiparam segurança da informação a um anti-virus atualizado rodando nas estações e um bom firewall na borda da rede, evitando, assim, ameaças externas.

No entanto, inúmeros estudos demonstram que, na maioria das vezes, a conduta de funcionários e colaboradores da própria empresa ou organização traz consigo riscos muito mais elevados do que as ameaças externas.

Ora, no meio corporativo pouco se nota a preocupação de CEO’s e CIO’s em relação à classificação e proteção de seus ativos informacionais. É patente a negligência em relação aos controles de acesso indispensáveis a permitir que determinadas informações somente cheguem ao conhecimento de quem realmente necessita e pode conhecê-las.

E que fique claro: não estou aqui tratanto somente da informação armazenada ou transportada em meio digital. Como disse no início, a segurança da informação possui alcance muito mais amplo, indo desde documentos deixados sem qualquer cautela sobre a mesa de trabalho, até a base de dados com informações de clientes.

Diante de tal quadro,  mostra-se imperioso que as organizações repensem seus procedimentos no que diz respeito à forma como tratam os dados indispensáveis ao êxito de seus negócios.

Não basta investir apenas em tecnologia, se o elo mais fraco do processo – o ser humano – for negligenciado.

Engenharia social, insatisfação com o trabalho, desejo de obter proveito econômico com o repasse de informações privilegiadas são apenas algumas das facetas inerentes ao complexo ambiente interno das empresas.

Identificação dos ativos sensíveis e a elaboração de políticas de segurança eficazes são alguns dos primeiros passos necessários à obtenção de um nível satisfatório de proteção às informações vitais de seu negócio, seja ele pequeno, médio ou grande.