A Tecnologia da Informação (TI) não é mais privilégio das grandes empresas. Hoje em dia, a maioria das empresas – não importando o seu tamanho – está conectada à Internet e está sujeita aos riscos que a rede mundial de computadores sofre, tais como invasões e ataques. Sendo assim, a preocupação com a segurança da informação é comum a todas elas, sendo diferente apenas na forma como está implantada e como ela vem sendo mantida.

Para a pequena empresa, a preocupação com as informações começa quando elas se tornam fundamentais para a sua sobrevivência no mercado de atuação, tais como o projeto de um novo produto ou serviço, seu planejamento estratégico ou seus planos confidenciais. Para que a segurança de dados não se transforme em um problema, o gestor da pequena empresa deve estar sempre atento às funções que a área da segurança da informação não pode deixar de exercer: o estabelecimento de uma política de segurança; a manutenção da confidencialidade, integridade e disponibilidade das informações; a proteção dos ativos computacionais e sistemas; e a definição do nível de segurança desejado. Atualmente, existem normas que padronizam estes conceitos como a ISO/IEC 17799 e a ISO/IEC 27000.

É importante também que a pequena empresa se utilize de algumas técnicas e ferramentas de segurança da informação para proteger e garantir a integridade, confidencialidade, disponibilidade e legalidade de seus dados. Para começar, deve-se elaborar uma política de segurança, que conterá um conjunto formal de regras que todos os colaboradores da empresa deverão seguir. Estas regras deverão garantir:

• Integridade. As informações e os recursos devem estar íntegros e protegidos contra modificações não autorizadas.
• Confidencialidade. As informações não podem ser disponibilizadas ou divulgadas sem autorização do seu dono.
• Disponibilidade. A informação deve estar disponível sempre que o usuário necessitar.
• Legalidade. As informações devem estar em conformidade com os preceitos da legislação em vigor.

O segundo passo é divulgar a política de segurança e os procedimentos que dela se originarem, para que todos os colaboradores saibam as regras formais e as punições para quem infringi-las. Se necessário, peça ciência em um documento. Isto é importante para que os colaboradores se conscientizem do que é proibido e do que é permitido fazer com os recursos da empresa.

O terceiro passo é utilizar ferramentas para implementar a política de segurança, tais como:

• Firewall – É o responsável pelo controle do tráfego entre a rede de computadores e a Internet. Permite a transmissão e a recepção dos tipos de dados autorizados.
• Proxy – Controla o acesso aos sites da Internet seguindo regras estabelecidas pela empresa.
• Antivírus – Detecta e combate os vírus. É importante que seja instalado no servidor de arquivos e nas estações.
• Backup – Realiza cópias de segurança das informações para que, no caso de ocorrência de falha, vírus ou ataque, se possa recuperar as informações perdidas ou corrompidas.
• Controle de acesso às informações – Permite o acesso às informações conforme regras estipuladas pela empresa, protegendo o acesso aos dados por meio de senhas. A maioria dos servidores de arquivos tem os softwares de controle de acesso.

A implementação da segurança da informação envolve custos que variam de acordo com o nível de segurança desejado. É importante lembrar que o controle dos recursos não só implementa a segurança da informação como também melhora a produtividade da empresa, uma vez que as ferramentas não permitem que se gaste tempo com visitas a sites não pertinentes ao trabalho da empresa, bem como com softwares de mensagens, etc.

Pode ser que a complexidade da implementação de uma área de segurança da informação necessite de auxílio de consultores e empresas especializadas. Mas será um investimento em uma área vital de sua empresa. Pense nisso! E não se esqueça de verificar as credenciais desses prestadores de serviços antes de contratá-los, para não colocar em risco a segurança de sua empresa

Marcelo Okano é Mestre em Administração, professor de pós-graduação em redes da FIAP e consultor de TI para a área de servidores. Trabalha desde 2000 com projetos de virtualização para servidores Unix e Linux; participou de vários projetos de consolidação de servidores na IBM e possui várias certificações como IBM-AIX, Linux, LPI entre outras.