26 de agosto de 2016
Segurança da informação: 3 situações comuns que colocam a empresa em risco
Saber quais as principais ameaças a que a empresa está sujeita, conhecer as vulnerabilidades e o impacto que tais ameaças podem causar no ambiente corporativo, pode ajudar a evitar ocorrências indesejadas e a verificar qual o melhor investimento que deve ser aplicado em infraestrutura de segurança.
Essa é a principal função da análise de risco que, depois de executada, vai auxiliar no desenvolvimento de uma política interna de segurança da informação, prevenindo eventuais ataques ou incidentes. Na rotina corporativa, muitas são as situações que expõem a empresa a riscos, sem que ninguém perceba claramente. Confira as principais delas:
Não implantar uma política de segurança
A maioria das empresas até conta com uma política de segurança da informação, mas os colaboradores só têm conhecimento dela através de um e-mail ou quando é solicitado para que assinem a política no primeiro dia de trabalho.
Essa prática não ajuda na prevenção de incidentes de segurança, já que não cria uma cultura de segurança da informação entre os funcionários. Para funcionar, a política de segurança precisa ser implantada. E para isso, são necessários treinamentos, palestras, vídeos, campanhas de endomarketing, entre outras ações, para que a política seja parte viva da cultura da organização. É importante também que a implantação envolva as gerências da empresa, para que elas assumam um papel atuante neste processo.
Um plano de continuidade não aderente ao negócio
Muitas empresas possuem um certo grau de continuidade de negócio, ou até um plano de continuidade, mas se este plano não estiver fortemente alinhado com os processos de negócio da organização, não será eficaz. Para um plano de continuidade de negócio aderente, é necessário envolver todos os setores da companhia e fazer o levantamento de processos de negócio que mais dependem de continuidade.
Negligência nas liberações de acesso e uso de senhas
Um controle mais específico que muitas vezes é negligenciado nas organizações é a liberação de acesso. Em algumas empresas todos têm acesso a tudo ou ao que não precisam para o trabalho, nos sistemas de informação. Também pode ocorrer que as liberações de acesso não são registradas ou formalmente autorizadas por um colaborador com função específica para isto. Outro grande problema é o compartilhamento de senhas indiscriminado dentro da companhia, o que abre brechas para sabotagens internas e vazamento de informações.
Todo o gestor deve conhecer os riscos aos quais está sujeito. Geralmente ele apenas “desconfia” de alguns riscos que corre, mas de maneira informal. Com um projeto de análise de risco, é possível implantar uma metodologia abrangente que irá identificar além dos riscos “básicos” ou “óbvios”, em categorias antes não avaliadas.
Também é importante alinhar a linguagem entre o setor operacional e a gestão. Muitas vezes o operacional conhece os riscos no dia a dia, mas não repassa para a gestão, considerando a situação como “normal”. A análise de risco vai ajudar no alinhamento entre a visão da operação e da gestão.
*Paulo Silva é doutor pela UFSC e sócio da Tracker Segurança da Informação, com mais de 10 anos de experiência em Gestão de Governança da Informação. Realizou projetos em empresas como SICOOB-SC/RS, Unimed, Fiesc e Electro Aço Altona. É professor de Pós-Graduação há mais de 11 anos. Autor de artigos publicados em eventos nos Estados Unidos, Canadá, Austrália, França e Espanha.
