Importância da segurança de TI na micro e pequena empresa

Quando se fala em segurança em TI no contexto de uma micro ou pequena empresa, é comum ouvirmos coisas como: “Ah, mas minha empresa é muito pequena pra esse tipo de coisa…”, “Minha operação é muito simples e nem uso muitos sistemas”, “Estou seguro, tenho antivírus em todas as máquinas”, “Nenhum hacker vai se interessar pelos meus dados”, …

Seja qual for a justificativa para negligenciar esse tipo de preocupação, o fato é que todas revelam crenças equivocadas, mitos e até algum nível de desconhecimento sobre o assunto.

Para mudar isso, vamos trazer luz sobre o tema, esclarecendo as questões relacionadas e tratando-o com sua devida importância.

TI nas micro e pequenas empresas

É essencial começarmos esse bate-papo tratando de TI (Tecnologia da Informação) nas micro e pequenas empresas, porque boa parte dos motivos para abdicar ou não tratar com a devida importância a respectiva segurança, apoiam-se na afirmação de que nem têm um departamento de TI.

Porém, da mesma forma que em várias dessas mesmas empresas, também não existe um departamento de Vendas, isso não significa que a empresa deixe de se preocupar em vender, correto?

É preciso compreender o conceito por trás de Tecnologia da Informação, o qual na verdade deveria ser no plural, já que resumidamente consiste do conjunto de tecnologias – e não apenas uma – que são usadas para coletar, armazenar e utilizar o universo de informações necessárias ao adequado funcionamento da empresa.

Ou seja, cada sistema, por menor e mais simples que seja, que é responsável pelos cálculos dos impostos na emissão do cupom fiscal, pelos sistemas de pagamentos das vendas feitas, pelos pagamentos aos fornecedores e prestadores de serviços, os e-mails e eventuais outras tecnologias usadas no atendimento aos clientes (WhatsApp, chat de atendimento, telefone VOIP, redes sociais, etc), representam o universo de TI da empresa, ainda que não exista um departamento formalmente constituído para tratar disso tudo.

Aliás, é comum que algum sócio com mais conhecimento no assunto, ou até mesmo um gerente, divida-se entre suas ocupações quotidianas e as questões relacionadas, porque não é sempre que elas exigem atenção. Isso porque, além do momento da escolha e implantação da solução, só precisam reservar tempo para o assunto, quando algo não funciona como deveria.

Em resumo, muita gente acredita que TI é exclusividade de grandes empresas, envolve muitos sistemas grandes e sofisticados e um departamento repletos de nerds e profissionais com pós-graduação obtida nas melhores universidades, cuidando de centenas de computadores.

De fato a realidade de TI nas empresas de grande porte é muito diferente, como é também quando o assunto é Marketing e Vendas, ou é na área fiscal e contábil, no financeiro, em compras, enfim, em tudo. O que não justifica que a micro ou pequena empresa abra mão de nada disso, não é mesmo?

Os mitos sobre segurança em TI

Uma vez que tenhamos esclarecido a questão de TI junto àqueles que a condicionam ao tamanho da empresa, é chegado o momento de falarmos sobre os mitos mais comuns envolvendo a segurança associada.

1. Porte da empresa

É fato e, portanto, indiscutível que as grandes empresas são alvo frequente e preferido dos criminosos digitais. Porém, engana-se quem também acredita que só elas estão sob ameaça.

O mito que só associa grandes ganhos como fator de risco, em parte deve-se ao cinema, que consolidou o estereótipo do cracker – o hacker que usa seu conhecimento em benefício próprio ou para prejudicar empresas e pessoas – que vive a vida na frente do computador e se concentra em invadir sistemas de multinacionais, governos e agências de inteligência.

Os incontáveis casos de pessoas físicas, que independente do montante em sua conta bancária, foram afetadas por todo tipo de ameaça do mundo digital, demonstra que qualquer pessoa – e empresa também – é um alvo em potencial.

2. Poucos sistemas

Ter poucos sistemas ou baixo índice de transformação digital na empresa, também não é garantia de estar imune.

Não existe sistema operacional 100% seguro, como também nenhum software que roda neles.

Assim, exceto se a operação da empresa é totalmente analógica, o que é bastante improvável atualmente, a cada sistema utilizado há uma probabilidade de exposição a alguma ameaça digital.

3. Confiança nos sistemas usados

É sabido que existem sistemas mais e menos seguros, mas como já mencionamos, não há nenhum 100%.

Também é errôneo pensar que fazer uso de um antivírus, por mais bem avaliado que seja, é suficiente para garantir que nenhum malware afete a segurança dos dispositivos e programas neles instalados.

Também não se deve admitir que por essa razão, que eles são inúteis, bem como outras camadas de proteção, como o firewall, autenticação multi-fator (MFA), Provas de Conhecimento Zero (ZKP), VPN, entre outras que existem e que são possíveis de instituir nas empresas, mesmo nas menores.

4. O problema é a Internet

A Internet não foi responsável pelos malwares. “Vírus de computador”, como genericamente são chamados, existem bem antes do seu surgimento e popularização.

Logo, ainda que os usuários nem façam uso da Internet em suas atividades diárias, o que é improvável, já que se enviam / recebem e-mails, estão sim usando-a, há uma série de outras formas de terem seus dados / informações afetados.

Há riscos quando:

  • Utiliza-se software pirata ou cuja procedência não é assegurável;

  • Mídias removíveis (pendrive, microSD, CD Rom, etc), especialmente os usados para fins pessoais também, são conectados nos computadores da empresa;

  • Há uma rede Wi-Fi cujo alcance excede os limites físicos da empresa ou quando está acessível aos visitantes;

  • Usuários conectam seus dispositivos pessoais na rede da empresa;

  • Dispositivos de trabalho (ex: notebook ou smartphone) são conectados em outras redes, particularmente em Wi-Fi público.

Qualquer uma das alternativas acima, representa uma oportunidade de um malware ser introduzido na rede de computadores da empresa ou em algum equipamento e mesmo que esse equipamento esteja isolado fisicamente da rede, seus sistemas podem estar sob risco ou ainda, quando uma mídia removível é usada para compartilhar arquivos com outras máquinas / usuários.

6. É muito caro

Realmente investir em segurança digital, não é das coisas mais baratas e no caso de algumas empresas, pode ter um peso importante no orçamento.

Todavia, a prática tem demonstrado que muitas empresas afetadas, têm perdas que superam em muito o que seria necessário para prevenção.

As bem pequenas, não precisam ter um departamento constituído para cuidar da segurança, até porque na maioria das vezes, nem um só profissional, é justificável.

Para casos assim, a terceirização ou a contratação de consultores com notado conhecimento e experiência, pode ser suficiente.

7. Não tenho muito a perder

Esse tipo de “desculpa”, geralmente é dada quando se compara com as somas que as grandes empresas têm quando acontece um problema em seus sistemas.

No entanto, há perdas que podem ser proporcionalmente significativas para o pequeno negócio também.

Como quantificar o que a empresa poderia ganhar com um novo cliente, que não assumiu tal condição porque não conseguiu contato com a empresa, devido ao seu site ter sido invadido? Ou o impacto de clientes reclamando e comprometendo sua reputação digital, porque seus dados pessoais foram vazados? E se esses mesmos clientes abrirem processos contra a empresa por negligencia e perdas e danos?

Os desdobramentos de uma falha na segurança cibernética, podem ser incalculáveis!

8. Estou sempre bem informado

É importantíssimo que o responsável por definir as questões envolvendo a TI da empresa, mantenha-se bem informado.

Contudo, isso nem sempre é suficiente e nem torna dispensável alguém que é expert no assunto e que faz do seu conhecimento e experiência sua profissão. Da mesma forma que ler muito sobre medicina, ou quem sabe sobre engenharia, evita que se tenha que recorrer a um médico ou engenheiro quando necessário.

O conhecimento a respeito de segurança, precisa ser compartilhado com todos os usuários envolvidos nos sistemas de informação da empresa, pois frequentemente os problemas de segurança estão associados ao mau uso e falta de informação ampla a respeito.

Em segurança, costuma-se dizer a força de uma corrente, é determinada por seu elo mais frágil.

Qual o trabalho de segurança em TI?

O trabalho de segurança em TI visa uma série de objetivos:

  • Usar ferramentas (software) que fortalecem o ambiente (ex: criptografia);

  • Adoção de sistemas mais seguros;

  • Revisar e elaborar protocolos mais seguros para gestão da informação;

  • Garantir confidencialidade, disponibilidade, integridade e autenticidade dos dados;

  • Instituir políticas de acesso aos dados, aos sistemas e à infraestrutura;

  • Orientar e treinar os usuários, de forma que eles sejam capazes de identificar situações que algumas vezes são evitáveis, como phishing, ransomware e e-mail spoofing;

  • Elaborar um plano de contingência para as situações críticas / emergenciais, a fim de garantir a continuidade do ambiente de dados.

Essa lista compreende ações macro que normalmente estão sob responsabilidade do profissional da área, mas invariavelmente há desdobramentos, bem como questão que são interdependentes. Assim, por exemplo, a política de backup e redundância de sistemas sensíveis e essenciais, está intimamente ligado ao plano de contingência.

Conclusão

Os impactos do crescente número e variedade de ameaças digitais, torna cada vez mais importante o papel da segurança de TI em empresas de todos os portes.

Artigos relacionados

Marketing de Conteúdo
Atraindo visitantes com lacunas / carências de conteúdo
Marketing de Conteúdo
Conteúdo “evergreen” e sua importância no Marketing de Conteúdo?
Marketing de Conteúdo
O que é copywriting? 10 dicas de como ele pode ajudar a vender?

Comentários ({{totalComentarios}})