Informação é um ativo do negócio como máquinas, equipamentos, prédios e mobiliário; todos sabem disso. Por que então não se protegem as informações como os outros ativos do negócio?
Acredito que o primeiro ponto é a falta de compreensão do que deve ser protegido ou de que informação realmente tem valor e é propriedade da empresa. Informação é uma ferramenta que assume dezenas de formatos, e com a digitalização sua transferência ficou tão rápida quanto a sua obsolescência. Documentos em papel, arquivos, imagens, áudios, podem ser publicados em instantes; tão rápido que não se tem tempo de avaliar se é importante, se tem valor, quem deveria ou não ter acesso.
Muitas vezes, por essa falta de compreensão e pelo hábito ou rotina de acesso a uma base de dados, por exemplo, um colaborador pode simplesmente usar para benefício próprio algo que se levou anos de investimento e pesquisa para se construir.
É muito comum os casos de pessoas que fazem seu “bico” aproveitando-se de bases de dados, métodos ou informações das empresas onde trabalham. Isso é ilícito. Tão ilícito quanto a comercialização de produtos roubados ou contrabandeados.
Um segundo ponto é uma dificuldade das equipes de TI em se comunicar com as equipes de negócio e vice-versa. Teoricamente a equipe de Tecnologia da Informação deveria cuidar da Informação, mas não é esta a realidade. Quem gera a informação deve cuidar dela. É quem produz a informação quem sabe da sua importância e, portanto, pode classifica-la e demandar a proteção exigida.
Proteger uma rede com segmentação física, firewall, senhas e áreas restritas não é suficiente. Não adianta também restringir o acesso a informação criando níveis e níveis de responsabilidade, isso se torna contraproducente.
Além da proteção contra os ataques externos é fundamental o treinamento dos colaboradores. Controles são importantes, mantêm as pessoas atentas, mas o treinamento contínuo inclui na rotina a atenção aos detalhes e aos movimentos inesperados. Treine sua equipe.