Consultor indica aplicação de 10% a 15% do faturamento em segurança da informação

por mfmunhoz — publicado 02/11/2010 10h41, última modificação 02/11/2010 10h41
São Paulo - Valores variam conforme porte e segmento de atuação, explica consultor.

O investimento em segurança da informação precisa ganhar maior espaço no orçamento das companhias, atingindo de preferência entre 10% e 15% do faturamento conforme o porte e o segmento de atuação, sustenta Edson Melo, sócio-diretor da DW2 Consultoria Empresarial. Os recursos, de acordo com ele, devem ser direcionados a criação e aperfeiçoamento de controles físicos e tecnológicos, mas principalmente a conscientização dos colaboradores por meio de treinamentos, palestras e códigos de conduta que indiquem os limites de acesso e utilização de informações corporativas.

“Geralmente, as organizações não dão a importância devida à segurança da informação, priorizando investimentos em infraestrutura e tecnologia que se tornam ineficientes ao longo do tempo, ou implementando políticas de segurança sem observar restrições legais, com desrespeito à privacidade dos colaboradores”, disse Melo, que participou do comitê de Secretariado Executivo da Amcham-São Paulo nesta quarta-feira (20/10).

Ele acrescenta que a maior parte dos vazamentos de informações sigilosas ocorre nas companhias de pequeno porte, que acreditam ser suficiente apenas a adoção de sistemas de antivírus nas máquinas ou o bloqueio a determinados sites. “São erros cruciais, pois não é por esse caminho que se barram problemas relacionados à segurança da informação”, ressaltou.

Políticas

Melo acredita que a violação e o vazamento de informações requerem mais orientação do que criação de políticas internas de segurança. Nesse sentido, ele recomenda que a área de Recursos Humanos, nas contratações, além de avaliar conhecimentos técnicos e experiência dos candidatos, dê ênfase a aspectos comportamentais, diretamente relacionados a ações de violação de informação.

Rony Vainzof, sócio da Opice Blum Advogados, por sua vez, defende a criação de regulamentos internos, porém com cuidado para não haver exageros em termos de dispositivos proibitivos.

“Para evitar práticas de concorrência desleal, violação de segredo e má utilização da tecnologia, as organizações devem criar políticas de segurança da informação que esclareçam a postura do colaborador no ambiente de trabalho e informem que ele será monitorado no uso das ferramentas corporativas sem violar a privacidade”, destacou o advogado.

Na visão de Vainzof, esse tipo de regra é fundamental para punir as infrações cometidas e proteger os próprios funcionários de prováveis situações ilícitas, além de demonstrar boa fé e transparência da companhia, e dar mais agilidade a eventuais discussões judiciais, já que o método de formação de provas judicial é de conhecimento prévio dos colaboradores.

“É essencial, no caso de algum ato ilícito, que as empresas ajam rapidamente com medidas repressivas como busca e apreensão contra o autor do ilícito e processos, não só na esfera administrativa como procedimento cível e até mesmo criminal”, concluiu Vainzof.

Plano

Para facilitar a adoção de um plano de segurança da informação, o sócio-diretor da DW2 Consultoria Empresarial indicou alguns passos essenciais:

  • Criação e divulgação de regulamentos internos sobre uso das ferramentas de informação, com acesso aos funcionários desde a contratação;
  • Restrição estratégica de informações, disponibilizando conteúdos em quantidade e profundidade somente o necessário a cada colaborador;
  • Conscientização dos colaboradores sobre a importância do sigilo das informações, a partir de treinamentos, palestras e publicações;
  • Atualização contínua dos mecanismos tecnológicos de proteção da informação corporativa, além de investimentos em infraestrutura de controle de acesso físico a áreas estratégicas.


Ele salientou que os investimentos para dar esses passos podem ser considerados altos inicialmente, mas que a tendência é que os desembolsos diminuam com o tempo, restando apenas aqueles destinados a manutenção e atualização de sistemas e equipamentos.

registrado em: