As pequenas e médias empresas (PME) são frequentemente referidas como a espinha dorsal da economia, fornecendo uma fonte potencial de emprego e crescimento econômico.

As PME são definidas pela Comissão Europeia como tendo menos de 250 pessoas empregadas. Devem também ter um volume de negócios anual de até 50 milhões de euros, ou um balanço total não superior a 43 milhões de euros (Recomendação da Comissão de 6 de maio de 2003). (1)

No Brasil existem 6,4 milhões de estabelecimentos. Desse total, 99% são micro e pequenas empresas (MPE). As MPEs são caracterizadas por um faturamento de até 3,6 milhões de reais e respondem por 52% dos empregos com carteira assinada no setor privado (16,1 milhões). (2)

Nos EUA, os pequenos empresários são responsáveis por mais de 30,2 Mi. de empresas, sendo responsável por cerca de 99.9% do volume de negócios do país, e responsável por cerca de 47% dos empregos formais (aprox. 59 Mi. de postos de trabalho). O emprego no setor privado aumentou 1,8% durante o período de 12 meses encerrado em fevereiro de 2018. Isso foi superior ao aumento de 1,0% no período de 12 meses anterior. (3)

as PMEs acabam por trabalhar direta ou indiretamente com ou para as grandes que, por sua vez, contratam parceiros e prestadores de serviços com critérios mais elevados de exigência

Em um cenário onde as pequenas empresas são a força motriz das grandes economias globais, as PMEs acabam por trabalhar direta ou indiretamente com ou para as grandes que, por sua vez, contratam parceiros e prestadores de serviços com critérios mais elevados de exigência. Em muitos casos passam a também exigir que uma PME (ou SMB em inglês) demonstre controles de segurança para serem contratadas e eventualmente apresentem programas próprios de compliance que atendam aos requisitos dos grandes players.

“… por um lado é necessário apresentar controles de segurança e compliance (…), mas os pequenos negócios muitas vezes não têm orçamento (…), como então se resolve esta equação?”

E aqui encontramos uma dicotomia difícil de resolver. Se por um lado é necessário apresentar controles de segurança e compliance para atender aos requisitos dos grandes clientes, mas se os pequenos negócios muitas vezes não têm orçamento ou estrutura para investir nestas melhorias, como então se resolve esta equação?

Os empresários vêem números e faturamento. O que justificaria um investimento desse tipo é basicamente o benefício comercial ou financeiro que a sua empresa pode vir a ter. A abordagem, muitas vezes diplomática e acadêmica, de que a segurança é importante e que não proteger a operação pode causar danos irreparáveis é pouco sustentável se comparada às cifras necessárias para que um programa de gestão da segurança da informação seja implementado em uma empresa.

Como referido no artigo “Por que se preocupar com segurança?” (19/03/2019), os principais fatores que podem convencer o empresário em um sério investimento para o desenvolvimento de um programa de segurança geralmente podem ser resumidos em:

  • experiências negativas que tenham causado danos financeiros para a empresa;

  • obrigatoriedade de mercado que imponha o atendimento a alguma lei ou regulamentação; ou

  • proatividade estratégica, no sentido de identificar uma oportunidade de destaque frente à concorrência.

E, muito comumente, os motivadores são apresentados nesta ordem de prioridade. O paralelo que se faz ao dizer que se coloca alarmes na casa só depois de ter tido a primeira janela quebrada ou porque há uma lei que se obrigue a isso é classicamente bem adequada a esta percepção.

Então, para juntar o útil ao necessário, é importante ter uma forma de adequar as melhores práticas da gestão de segurança com algumas iniciativas de baixo custo financeiro, mas que ainda assim sejam capazes de agregar valor ao negócio de forma a demonstrar ao mercado em geral que, mesmo em uma PME, há a preocupação com temas críticos e caros às grandes empresas.Segurança da informação para PME?

Logo em nossas primeiras atividades em Portugal, tivemos a oportunidade de colaborar com a certificação na ISO 27001 de uma empresa categorizada como PME. Tivemos 10 meses para que a empresa estivesse pronta para a auditoria, e o fundamental de todo o processo foi trazer alguma formalidade a muitas práticas que no fundo já eram feitas, mas de maneira quase ad hoc. Essencialmente o importante não está em comprar coisas, mas mudar como as coisas são feitas. E, só aí, é quase certo de aumentar em muito a aderência às melhores práticas.

Formalizar é algo que dá trabalho, mas principalmente força à gestão tomar decisões que nem sempre são confortáveis, como forçar a ter registros, restringir acessos administrativos às máquinas, implementar processos de mudança com aprovações, estabelecer metodologias e padrões transversalmente, identificar e nomear responsáveis (e cobrar-lhes os resultados), estabelecer métricas de acompanhamento, e por aí vai… Mas quanto a isso, não tem muito jeito. Compliance e gestão são dois temas que exigem naturalmente certos protocolos e rotinas que em uma estrutura de empresa pequena é quase sempre impossível de ser posto em prática by the book. É sempre preciso um ajuste para a melhor adequação.

Mesmo em empresas grandes, mas com iniciativas isoladas e tímidas de se implementar uma metodologia de segurança por proatividade estratégica, o principal desafio acaba por passar pela descontrução da visão complexa que ficou sobre o tema.

A grande falha que se encontra em muitos dos casos em que vemos é uma tentativa frustrada de ter a implementação de controles de segurança com um padrão de exigência tão disproporcional à estrutura da empresa, que os torna insustentáveis e, em muitos casos, geram controles natu mortis. Isso gera frustração, descrença e, principalmente, criam-se barreiras para novas tentativas de investimentos, já que a gestão questionará com alguma razão qual o ganho efetivo quando já se teve um grande investimento “para nada”.

Deparamo-nos com alguma frequência com esse tipo de desafio. Mesmo em empresas grandes, mas com iniciativas isoladas e tímidas de se implementar uma metodologia de segurança por proatividade estratégica, o principal desafio acaba por passar pela descontrução da visão complexa que ficou sobre o tema.

Na Shield, com as nossas experiências em projetos anteriores, somos capazes de contribuir com um plano de aderência a normas, regulamentações e leis que são ao mesmo tempo eficientes e ajustados às realidades de cada negócio. Nem todos os controles, nem todas as formas de fazer as coisas são aplicáveis a todos os tipos de realidade. É sempre necessário uma compreensão de como o negócio opera e quais os recursos disponíveis para que se possa estabelecer planos e metas realistas, e que contribuam de fato para a melhoria da operação.

Conte suas impressões

O que achou desse texto? Gostaria de contribuir com impressões, opiniões ou suas próprias experiências? Então deixa um comentário ou entra em contato direto. E se estivermos por perto, tomamos um café e conversamos.

(1) https://ec.europa.eu/eurostat/web/structural-business-statistics/structural-business-statistics/sme

(2) https://m.sebrae.com.br/sites/PortalSebrae/ufs/sp/sebraeaz/pequenos-negocios-em-numeros

(3) https://www.sba.gov/sites/default/files/advocacy/2018-Small-Business-Profiles-US.pdf