O papel da segurança da informação para reduzir riscos
Longinus Timochenco, da Stefanini Rafael
OUÇA O ÁUDIO COMPLETO
Com uma sociedade cada vez mais conectada, o tema segurança se tornou sensível e de fundamental importância na forma como as pessoas se relacionam entre elas e com o ambiente corporativo. Por isso, gostaríamos de aproveitar este espaço para refletir sobre o tema, além de apresentar algumas dicas que poderão auxiliar na prevenção de riscos.
Durante algumas décadas atribuímos a responsabilidade da segurança da informação exclusivamente para os departamentos de TI. Porém, as ameaças podem surgir de todas as partes, sendo fundamental que cada pessoa física ou colaborador de uma empresa saiba como proceder para que não sejam vítimas de sequestros de dados, também conhecidos como ransomware, que exigem o pagamento de resgate (ransom) para que o usuário consiga acessar novamente seus dados.
Nosso objetivo, após a leitura deste artigo, é que muitos repensem a maneira como encaram a segurança da informação que, a partir de agora, chamaremos de DEFESA ou SEGURO.
Ativo importante
A informação é um ativo fundamental para a sobrevivência de qualquer organização competitiva, especialmente na era digital. Ela pode ser criada, compartilhada, armazenada e, infelizmente, destruída. Independente de onde os dados estejam (mídias sociais, apresentações ou na nuvem), eles devem ser devidamente protegidos. Você deve estar se perguntando como, não é mesmo?
Pois bem, a segurança da informação protege todos esses dados de ameaças humanas e não humanas. Para isso, existe uma norma de classificação da informação, que determina os controles de proteção necessários. O fato de algumas informações demandarem mais proteções que outras gera dois cenários indesejáveis que devem ser evitados. O primeiro deles envolve informações críticas, que podem desestabilizar uma operação e gerar prejuízos enormes em casos de incidentes, ou seja, se não são protegidos corretamente. Outro cenário se refere aos dados que não precisam de proteção, mas que são protegidos de forma excessiva, consumindo recursos desnecessariamente.
Quando adotamos uma visão de proteção focada unicamente nas ameaças e nas vulnerabilidades que um local ou um sistema possuem, corremos um grande risco de não protegermos as informações mais críticas e sensíveis ao longo de todo o seu ciclo de vida, envolvendo desde a criação e o descarte até a manipulação, processamento e armazenamento.
A melhor forma de manter esses dados seguros é analisar as demandas de segurança pela ótica do próprio ativo e suas necessidades. Para tanto, é possível combinar diversos mecanismos para obter níveis de proteção mais uniformes e eficientes.
Benefícios tangíveis
O processo de classificação da informação traz vários benefícios mensuráveis, como a conscientização dos colaboradores, definição de responsabilidades da proteção entre as equipes e sugestões dos próprios funcionários sobre os dados que exigem maior controle, além da tomada de decisões, que geralmente busca conciliar a segurança com a melhor utilização de recursos, gerando economia para as empresas.
Quando sou questionado sobre a importância de adotar a segurança da informação nas corporações e nas próprias vidas, gosto de listar alguns pontos que demonstram porque investir na proteção é o melhor caminho:
- Você consegue minimizar ou evitar danos ao negócio.
- Permite maximizar retorno de investimentos.
- Aumenta a competitividade e, consequentemente, os lucros.
- Atende corretamente aos requisitos legais.
- Preserva a imagem da organização.
- Dá continuidade ao negócio e protege a informação, de acordo com as necessidades específicas, garantindo confidencialidade, integridade e disponibilidade.
Ameaças internas
Muitas vezes, o risco mora ao lado e, por isso, é fundamental investir em campanhas de conscientização para evitar dores de cabeça com o vazamento ou compartilhamento de informações valiosas.
As ameaças internas mais comuns são o roubo de informação, alteração ou destruição de dados, danos físicos a hardware, alteração de configurações e danos à rede, falta de processos nas áreas críticas ao negócio, mudanças sem planejamento e alto índice de reincidência de incidentes.
Seguem algumas dicas para evitar ataques que podem comprometer a integridade dos dados e a segurança das organizações.
- Restringir ao máximo o acesso dos usuários às informações sensíveis à organização.
- Restringir o acesso físico às áreas críticas.
- Definir e divulgar normas e políticas de acesso físico e lógico.
- Definir responsabilidades para o uso e divulgação das informações.
- Implantar soluções de criptografia para informações críticas.
- Ativar e monitorar logs dos procedimentos críticos.
- Controlar o acesso de prestadores de serviços às áreas críticas.
Para que todos estejam alinhados e comprometidos com a proteção dos dados, é imprescindível adotar uma política de segurança da informação que defina regras claras de conduta dentro da empresa. Essa política deve ser personalizada, de acordo com o perfil de cada corporação, priorizando a conscientização das pessoas.
Os critérios de manuseio, transporte, armazenamento e descarte de informações devem ser definidos e comunicados a todos para que a segurança se transforme em um esforço comum. O melhor caminho para garantir a segurança em todos os seus aspectos é investir na educação digital. Assim como somos devidamente treinados para dirigir um automóvel, as pessoas (tanto no ambiente doméstico quanto corporativo) devem ser orientadas para que tenham ciência dos riscos e possam navegar no mundo digital com mais precaução, evitando ameaças que podem surgir a qualquer momento.
É CISO – Chief Information Security Officer & Diretor de Governança Corporativa na KaBuM!. Tem mais de 25 anos de experiência em tecnologia e possui forte atuação em defesa, governança corporativa, risco & fraude, compliance e gestão de TI. Membro do Comitê Brasil de Segurança da Informação ISO IEC JTC1 SC 27 na ABNT Brasil, Timochenco desenvolveu uma série de trabalhos junto a consultorias e grandes corporações globais no gerenciamento de projetos estratégicos, auditorias e combate a crimes cibernéticos. Premiado – Security Leaders Brasil 2014 e 2016.
