Quando se fala em segurança da informação, as pessoas normalmente pensam em grandes corporações tentando proteger dados altamente secretos, o que não é mais realidade. Neste artigo, Marcelo Okano, professor de pós-graduação em redes da Fiap, explica o que um microempresário precisa saber para implementar políticas de segurança da informação.
A Tecnologia da Informação (TI) não é mais privilégio das grandes empresas. Hoje em dia, a maioria das empresas – não importando o seu tamanho – está conectada à Internet e está sujeita aos riscos que a rede mundial de computadores sofre, tais como invasões e ataques. Sendo assim, a preocupação com a segurança da informação é comum a todas elas, sendo diferente apenas na forma como está implantada e como ela vem sendo mantida.
Para a pequena empresa, a preocupação com as informações começa quando elas se tornam fundamentais para a sua sobrevivência no mercado de atuação, tais como o projeto de um novo produto ou serviço, seu planejamento estratégico ou seus planos confidenciais. Para que a segurança de dados não se transforme em um problema, o gestor da pequena empresa deve estar sempre atento às funções que a área da segurança da informação não pode deixar de exercer: o estabelecimento de uma política de segurança; a manutenção da confidencialidade, integridade e disponibilidade das informações; a proteção dos ativos computacionais e sistemas; e a definição do nível de segurança desejado. Atualmente, existem normas que padronizam estes conceitos como a ISO/IEC 17799 e a ISO/IEC 27000.
É importante também que a pequena empresa se utilize de algumas técnicas e ferramentas de segurança da informação para proteger e garantir a integridade, confidencialidade, disponibilidade e legalidade de seus dados. Para começar, deve-se elaborar uma política de segurança, que conterá um conjunto formal de regras que todos os colaboradores da empresa deverão seguir. Estas regras deverão garantir:
Integridade. As informações e os recursos devem estar íntegros e protegidos contra modificações não autorizadas.
Confidencialidade. As informações não podem ser disponibilizadas ou divulgadas sem autorização do seu dono.
Disponibilidade. A informação deve estar disponível sempre que o usuário necessitar.
Legalidade. As informações devem estar em conformidade com os preceitos da legislação em vigor.
O segundo passo é divulgar a política de segurança e os procedimentos que dela se originarem, para que todos os colaboradores saibam as regras formais e as punições para quem infringi-las. Se necessário, peça ciência em um documento. Isto é importante para que os colaboradores se conscientizem do que é proibido e do que é permitido fazer com os recursos da empresa.
O terceiro passo é utilizar ferramentas para implementar a política de segurança, tais como:
Firewall – É o responsável pelo controle do tráfego entre a rede de computadores e a Internet. Permite a transmissão e a recepção dos tipos de dados autorizados.
Proxy – Controla o acesso aos sites da Internet seguindo regras estabelecidas pela empresa.
Antivírus – Detecta e combate os vírus. É importante que seja instalado no servidor de arquivos e nas estações.
Backup – Realiza cópias de segurança das informações para que, no caso de ocorrência de falha, vírus ou ataque, se possa recuperar as informações perdidas ou corrompidas.
Controle de acesso às informações – Permite o acesso às informações conforme regras estipuladas pela empresa, protegendo o acesso aos dados por meio de senhas. A maioria dos servidores de arquivos tem os softwares de controle de acesso.
A implementação da segurança da informação envolve custos que variam de acordo com o nível de segurança desejado. É importante lembrar que o controle dos recursos não só implementam a segurança da informação como também melhoram a produtividade da empresa, uma vez que as ferramentas não permitem que se gaste tempo com visitas a sites não pertinentes ao trabalho da empresa, bem como com softwares de mensagens, etc.
Pode ser que a complexidade da implementação de uma área de segurança da informação necessite de auxílio de consultores e empresas especializadas. Mas será um investimento em uma área vital de sua empresa. Pense nisso! E não se esqueça de verificar as credenciais desses prestadores de serviços antes de contratá-los, para não colocar em risco a segurança de sua empresa.
*Marcelo Tsuguio Okano é Mestre em Administração, professor de pós-graduação em redes da FIAP e consultor de TI para a área de servidores. Trabalha desde 2000 com projetos de virtualização para servidores Unix e Linux, e participou de vários projetos de consolidação de servidores na IBM. Possui várias certificações como IBM-AIX, Linux, LPI entre outras.
