Política de segurança e gestão de risco se mede em cifrões

O levantamento Global Data Protection Index, realizado pela Vanson Bourne e divulgado esta semana, deixou corporações do país todo de orelhas em pé: segundo os dados, falhas na segurança da informação custaram US$ 26,9 bilhões às empresas brasileiras nos últimos 12 meses, sendo US$ 2,8 bilhões por perda de dados e US$ 24,1 bilhões por paradas nos sistemas.

Já mundialmente, o estudo revelou que de 3,3 mil companhias ouvidas em 24 países, 59% amargaram perda de dados ou inoperância de sistemas nos últimos 12 meses.

Como se proteger? Com a velha e boa política de segurança da informação, é claro. Porém, é bom saber que dentre as mesmas 3,3 mil empresas globais entrevistadas, 62% não confiam totalmente em seus projetos de proteção de dados.

Algo está errado. E para corrigir, as boas práticas recomendadas têm de ser seguidas. Vamos a elas.

Em primeiro lugar, faça um planejamento completo, levantando o perfil da empresa. Só assim será possível perceber o que deve ser protegido interna e externamente.

Certifique-se de que este planejamento esteja alinhado às ações e anseios não apenas da diretoria, mas de todos os setores da companhia. Do contrário, em algum momento sua política de segurança poderá ser furada.

Segundo, verifique sua base de proteção atual: sistemas, regras, tudo. Verifique se a estrutura atual é suficiente, considerando novos recursos tecnológicos e comportamentos de usuário. Lembre-se: todo dia aparece um novo gadget, uma nova tecnologia, um novo padrão, e as pessoas costumam segui-los. Sua empresa é formada por… Isso mesmo, pessoas. Esteja atento e acompanhe a inovação trazida pelo usuário, pois é ele que dita a segurança de seus dados, em última instância.

Isso tudo analisado, enumere possíveis gargalos e fatores de risco, partindo diretamente para citar opções de solução aos mesmos.

O que vem em seguida é a elaboração de novas regras, compondo sua política de acesso e segurança perfeitamente atualizada. Isso valerá para sistemas, documentos, diretórios, Internet, e-mail e todos os outros aspectos que seu negócio demandar.

Não se esqueça de, em meio a este processo todo, fazer uma consulta ao RH. Sim, o departamento de Recursos Humanos é tão importante neste processo quanto o de TIC, pois é preciso avaliar se as normas, parâmetros, direitos e deveres estabelecidos em sua política de segurança estão em perfeito acordo com as leis trabalhistas e o próprio regimento de pessoal da empresa. Acredite: isso pode evitar dores de cabeça significativas no futuro.

Ok, tudo aprovado, vamos à aplicação da nova estratégia, certo? Errado. Jamais implante uma nova política de segurança sem antes dar o passo básico do treinamento.

Agende com suas equipes e mostre, um a um, todos os itens da nova política de segurança, dando muita atenção aos porquês de cada parâmetro estabelecido. Isso fará com que seus colaboradores não apenas saibam o que devem seguir daqui para a frente, mas principalmente as razões que levaram a empresa a decidir por tais regras, o que é fundamental para gerar engajamento, ao invés de pura obrigação.

A partir disso, seu caminho para uma corporação menos exposta a ataques cibernéticos e vazamento de dados estará aberto. Entretanto, não dá para confiar cegamente: olho vivo, sempre, sobre sistemas, processos e comportamentos de usuário. Além disso, avaliação periódica da própria política de segurança, gestão de risco e acesso é extremamente recomendada.

Lembre-se: as ameaças não param de evoluir, sua empresa também não pode parar. Regras e procedimentos claros, usuários informados, alinhados e treinados, setores integrados e uma TIC aberta a ouvir e perceber demandas e comportamentos do usuário são bons ingredientes para construir a receita certa rumo ao sucesso de sua política de segurança – e, de quebra, evitar estar entre as estatísticas de prejuízo do próximo levantamento da Vanson Bourne, certo?