Sem sombra de dúvidas, a Segurança da Informação (S.I.) tornou-se elemento essencial na sustentabilidade de qualquer empresa atualmente. Afinal, você deve concordar comigo: praticamente nada acontece no mercado fora da internet ou sem a utilização de ferramentas digitais, seja na comunicação, seja na gestão, seja na operação do seu negócio diariamente.
Ora, e o que circula nesses ambientes, senão "informação"? Todos os dias, inúmeros dados pessoais, financeiros, comerciais e técnicos transitam por email, WhatsApp, softwares, bancos de dados, planilhas, CRM, sites e outros canais de comunicação e armazenamento que, todavia, nem de longe recebem a atenção e proteção que deveriam.
Muitos falam que dados são o novo petróleo, de modo que "informação" vai se tornando o principal ativo das empresas no mundo digitalizado em que vivemos. Isso, por outro lado, quer dizer que, se não estiverem seguros, esses dados, tão valiosos quanto sensíveis, podem pôr em risco qualquer negócio, se sofrerem algum tipo de incidente, como sequestro, bloqueio, perda ou vazamento.
E, para piorar, temos a Lei Geral de Proteção de Dados (LGPD) prevendo inúmeras obrigações, penalidades administrativas e responsabilidade judicial para as empresas que não adotarem medidas aptas a proteger dados pessoais contra acessos não autorizados, ou incidentes de destruição, perda, alteração, comunicação, ou contra qualquer forma de tratamento inadequado ou ilícito.
Justamente por isso, muitos empresários têm investido na gestão de segurança da informação, isto é, um conjunto de políticas, processos e práticas voltado à proteção e segurança dos dados corporativos. O objetivo desse serviço é assegurar a continuidade do negócio, evitando perdas financeiras, danos à reputação e problemas legais.
Muita gente, porém, não sabe nem por onde começar. Por isso, compartilho este pequeno "guia", que foi pensado para empresários que querem aprender como organizar a S.I. na sua empresa, prevenir responsabilidades e ganhar a confiança do mercado. Portanto, se você está perdido, siga pelo menos os seguintes passos:
- Estabeleça uma Política de Segurança da Informação (PSI). A primeira etapa para uma boa gestão de segurança da informação é definir uma norma-mãe. A função da PSI é contemplar os princípios básicos de segurança, com regras que garantam a integridade, confidencialidade e disponibilidade dos dados utilizados no trabalho.
- Defina diretrizes e responsabilidades internas, pois é crucial que todos os colaboradores entendam as suas obrigações em relação à S.I. E isso vai desde tomar conhecimento da P.S.I. (compromisso formal), até a compreensão dos impactos da sua conduta (inclusive trabalhistas).
- Implemente controles de acesso. Eles são fundamentais para proteger as informações que estão nos sistemas e diretórios de armazenamento da empresa. Para tanto, será necessário que você defina clara e formalmente quem pode acessar o quê, restringindo o máximo possível a exposição dos dados.
- Execute a gestão de riscos. A identificação, a análise e o gerenciamento das vulnerabilidades encontradas ao longo dos processos internos da empresa são etapas importantes para auxiliar a reduzir ameaças e implementar ações corretivas. Essa tarefa exige o mapeamento e análise dos riscos cibernéticos, legais, estruturais etc.
- Capacite a sua equipe sobre segurança e privacidade. Afinal, acompanhando a cadeia de dados da empresa, a S.I. é uma responsabilidade compartilhada. Por isso, treinamentos regulares e programas de conscientização são essenciais para manter todos os colaboradores informados e vigilantes. Eles são os principais atores.
- Implemente medidas de segurança nos processos do RH (Recursos Humanos). Obviamente, a S.I. deve ser incorporada em todos os aspectos da gestão de pessoas, desde a contratação até o desligamento. Isso implica no dever de sigilo com os dados pessoais dos candidatos, assim como em mudanças nos contratos de trabalho.
- Tenha cuidado com o uso de dispositivos móveis e com o trabalho remoto. Com a crescente do trabalho à distância (home office), tornou-se vital estabelecer regras claras (e formais, escritas) de uso seguro, como definir que tipo de equipamento pode ser utilizado, talvez prever o rastreamento dos equipamentos, dentre outras medidas preventivas.
Como visto, implementar um sistema de gestão de S.I. na empresa exige algum trabalho, embora não seja nenhum bicho de sete cabeças. Essa tarefa, para ser eficiente, precisa se tornar um processo contínuo, exigindo compromisso de toda a organização – senão, não funciona.
Espero que este pequeno guia possa ajudar a quem está começando nessa jornada. Lembre-se, contudo, de sempre buscar ajuda profissional.
Gabriel Fortes, advogado na área de proteção de dados e segurança digital do escritório Fortes Nasar Advogados.
