Nas organizações onde “tradição” e laços de família podem se sobrepor aos protocolos, os resultados podem ser danosos. Mas é possível mudar hábitos antigos para garantir a integridade de dados e sistemas
Companhias que faturam centenas de milhões ou até mesmo bilhões de reais deveriam priorizar a segurança da informação, certo? Parece uma premissa básica, mas quem navega pelo mercado há anos percebe que o óbvio muitas vezes é subestimado, inclusive se estamos falando de empresas familiares que estão amarradas à “tradição”.
Estou falando aqui de companhias que não estão entre as quinhentas ou mil maiores do Brasil, mas que tampouco podem ser consideradas pequenas ou médias. Muitas delas são empreendimentos familiares que enfrentam os desafios de um recente crescimento acelerado.
Os comportamentos de risco encontrados frequentemente em empresas desse tipo incluem desde negligenciar o uso de firewalls e fatores de dupla autenticação, até a adoção de modelos inadequados de segregação de funções em seus ERPs. A razão para isso, muitas vezes, é a crença de que confiança é suficiente para proteger sistemas.
Mas se confiança não basta nem ao menos para proteger dispositivos pessoais, o que dizer sobre sistemas corporativos cheios de dados sensíveis? Muitas empresas ainda não assimilaram a lição de se antecipar a ações maliciosas com ferramentas tecnológicas de alta performance, e os resultados tendem a ser altamente danosos.
Equívocos comuns
Há uma série de características que aumentam a vulnerabilidade tecnológica de uma empresa familiar. A principal delas é que são poucas as organizações desse tipo que preparam uma sucessão estruturada, de modo que o familiar que sucede o fundador muitas vezes mimetiza “o que sempre foi feito”, perpetuando hábitos defasados na gestão de TI.
Outra questão recorrente é o nível de acesso atribuído a secretárias e/ou assessores diretos.
Não há um modelo de permissões ou mesmo um conceito claro de confidencialidade: de dados sensíveis da empresa a senhas de contas bancárias pessoais, esses profissionais costumam ter acesso a todo tipo de informação.
Aspectos fundamentais da segurança – permissão, consentimento, confidencialidade – são relativizados, pois colocar em dúvida um acesso pode ser entendido como um sinônimo de “duvidar da família”. Um cenário ainda mais preocupante é quando não há critério para conceder permissões a não ser uma decisão individual do dono naquele determinado momento.
Em outras palavras, governança e compliance não podem ser entendidos como normas que se aplicam aos funcionários, mas não à família do fundador.
Déficit tecnológico
O problema da segurança da informação tem raízes em outra questão, além da cultural. Com alguma frequência, empresas familiares mostram um nível significativo de defasagem tecnológica. Isso é ainda mais comum naquelas que experimentaram crescimento rápido, ou tiveram uma capilarização em unidades espalhadas pelo País ou mesmo no exterior. Esse déficit começa na infraestrutura e se estende até os endpoints – e, claro, passa pela segurança da informação.
“São riscos que andam em conjunto, aumentando a vulnerabilidade da empresa para indisponibilidade operacional, vazamentos de dados, ransomware e outros dessa natureza”
As melhores ferramentas de segurança da informação pouco podem fazer diante de computadores defasados ou sistemas obsoletos. Quanto maior a defasagem tecnológica, maior será o investimento necessário para adotar tecnologias adequadas para proteger os sistemas da empresa.
Aprendizagem tardia
Como o problema nasce em uma questão mais comportamental que sistêmica, a correção dessa situação é difícil. Mas, obviamente, é possível, e pode ocorrer de duas maneiras: pela dor ou pela conscientização.
Depois de sofrer perda de dados, ver os sistemas indisponíveis ou ser vítima de ransomware – o “cardápio” de ameaças é imenso e não para de crescer –, é bem provável que alguém da família que esteja no comando reconheça que chegou a hora de não correr mais riscos.
Mas o outro caminho é quando a empresa encara o processo de se transformar tecnologicamente. A adoção de alguma inovação pode ser o momento propício para implementar uma política efetiva de segurança da informação – dependendo de qual seja o profissional no qual a direção se apoia para fazer isso, claro. Se ela conta com um bom gestor de TI que goza da confiança dos proprietários, este vai poder falar abertamente sobre os riscos envolvidos na mudança, e dos meios de se proteger deles.
Esse é um momento propício para uma correção de rota, a hora em que o líder de TI consegue trazer o “pessimismo necessário” para tornar a empresa mais segura. Sim, pessimismo. Afinal, uma espécie de “complexo de invulnerabilidade” sustenta os maus comportamentos corporativos quanto à segurança da informação. Vale o clichê de que ameaças digitais vão se concretizar, e a questão não é “se”, mas “quando”.
Nessa correção de rota, as empresas devem implementar processos de conscientização, como escrevi em outro artigo: “Segurança da informação precisa ser um assunto presente no radar – de forma perene. Se for apenas ‘mais um treinamento’ na agenda corporativa, vai ser encarado de forma superficial ou dispersa pela maioria dos colaboradores”.
Ou seja, mesmo no cenário menos doloroso, o tema tem que ser pauta permanente na organização. E, como são empresas que não possuem acionistas ou conselho, deve também virar assunto de família.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
