fbpx

Vivemos a era da informação. Dados são armazenados e processados em uma grande velocidade. Milhares de cadeias de conhecimento são geradas e analisadas e, cada vez mais, aumenta uma preocupação específica: a segurança da informação.

Como saber se os dados que sua empresa possui estão realmente seguros? Essa pergunta ronda constantemente a cabeça de qualquer gestor, seja de grandes empresas ou pequenos empreendimentos. A questão é tão séria nos dias de hoje que, segundo um levantamento da PWC — uma empresa de consultoria —, cerca de 69% dos executivos estão investindo em tecnologias de segurança da informação. Mas afinal, você sabe o que é?

Segurança da informação

Ao abordar o assunto segurança voltada para a informação, estamos falando de proteger os dados sob guarda de sua empresa de potenciais ameaças. Dentre elas, podemos citar as intencionais e não intencionais.

Uma ameaça pode se manifestar por meio de um desastre natural que danifique seus servidores e coloque um fim no seu sistema de armazenamento, ou uma invasão de hackers com o intuito de roubar informações importantes ou clientes de sua empresa.

Em 31 de julho de 2017, o canal de televisão HBO teve seus dados roubados por hackers. Cerca de 1,5 terabytes de dados — entre esses, relatórios financeiros, roteiros e episódios de séries — ainda não lançados foram copiados. Após se apossarem das informações, os hackers pediram um resgate milionário pelos dados.

Um outro caso emblemático foi em 2014, quando a Sony Pictures, estúdio de cinema, foi alvo de uma invasão em que vários filmes ainda não lançados pela empresa foram vazados para o público, causando um alto prejuízo para o estúdio. Alguns e-mails de atores e diretores também foram divulgados, o que gerou mal-estar entre os profissionais.

Esses tipos de ataques não têm como alvo apenas os dados de empresas. De maio a julho deste ano, criminosos cibernéticos invadiram servidores da Equifax, um dos maiores serviços de proteção ao crédito dos EUA, conseguindo acesso a dados de 143 milhões de clientes. Entre os dados, estavam o nome completo, o número do seguro social, o endereço e outras informações que poderiam ser utilizadas para realizar roubo de identidade.

Com todos esses grandes ataques contra empresas, fica claro a necessidade de se investir pesado em segurança da informação. Uma estratégia deve ser pautada por análise da realidade atual de sua empresa e planejamento de uma implementação de processos e ferramentas que visem aumentar a segurança de seus dados.

Verificação da segurança dos dados

Existem algumas maneiras de avaliar se seus dados estão realmente seguros ou se existem falhas em seus sistemas que favoreçam a perda de informações. Analisar primeiramente todo o seu ambiente de TI em busca de gaps de segurança é o primeiro passo para implementar uma boa estratégia contra a perda de dados.

Assessment de segurança

Esse serviço é capaz de identificar o grau de risco que seu ambiente de TI possui. Ele pode ser realizado por meio de um análise de GAP para padrões, de normas com ISO 27001 e de vulnerabilidades.

Diante das possíveis ameaças internas e externas, poderão ser direcionados os investimentos em segurança. Como principais benefícios pode se esperar um entendimento sobre a atual situação dos sistemas e suporte às decisões.

Business Impact Analysis

Para empresas que possuem um maior estágio de maturidade, a solução ideal seria realizar um BIA, com a construção de um inventário de todos os ativos de TI associados a processos de negócio sob responsabilidade da empresa.

Por meio dessa metodologia, se espera não só identificar e analisar os riscos inerentes à segurança, como também prever quais os impactos e perdas financeiras que podem ocorrer ao negócio da empresa.

Atributos para alcançar a segurança da informação

De acordo com a norma ISO 27001, existem duas formas de buscar a segurança da informação nas empresas: a gestão de riscos e a conformidade com olhar para a confiabilidade, integridade e disponibilidade. A norma serve para que as empresas adotem um modelo de sistema de gestão de segurança da informação.

Confidencialidade

Esse atributo trata dos limites impostos ao acesso à informação. Apenas pessoas autorizadas, munidas de identidade e login, podem entrar em contato com os dados armazenados. Dentre as autorizações possíveis, estão acessar, processar e modificar dados dentro da estrutura.

Integridade

A necessidade aqui é que os dados mantenham suas características originais sem alterações. O que se espera é que os dados se mantenham íntegros conforme foram criados ou manipulados. Dados que não se mantêm íntegros perdem em confiabilidade e já não podem ser utilizados para geração de conhecimento.

Disponibilidade

É o que garante que os dados estarão disponíveis para as funções para as quais eles foram armazenados. Espera-se que todos aqueles que possuem as credenciais de segurança necessárias possam ter o acesso aos dados a qualquer tempo sem impedimentos.

Ferramentas de segurança

A busca por esses atributos pode ser feita com a implementação de controles e políticas de segurança. Listaremos algumas medidas que você pode fazer uso em sua empresa.

As ferramentas de segurança podem ser divididas em dois grupos: o controle físico e o controle lógico.

Controle físico

Podemos entender esse controle por todas as barreiras físicas impostas a quem busca entrar em contato com os dados. É a proteção direta da empresa para a sua infraestrutura de armazenamento.

Aqui, vale citar trancas, portas, paredes, blindagem, vigias etc. Esse tipo de obstáculo protege o hardware de contatos diretos.

Controle lógico

Nesse tipo de controle, as ferramentas e barreiras são virtuais, que impedem o acesso aos dados eletronicamente. As soluções de segurança também conhecidas como controles podem ser dos seguintes tipos:

Preventivas

Medidas de segurança que têm como finalidade evitar que os incidentes aconteçam. Como exemplo, podemos referenciar: Política de Segurança da Informação, firewall, antivírus, entre outros.

Corretivas

Medidas de segurança que têm como finalidade a correção, remediação ou redução de impacto realizadas por estruturas tecnológicas ou humanas. Exemplo que podemos referenciar: plano de recuperação de desastres, backups e equipes para emergências.

Detective

Medidas de segurança que têm como finalidade identificar condições de ameaça com o objetivo de evitar que essas ameaças explorem as vulnerabilidades. São alguns exemplos: sistema de detecção de intruso, alarmes, monitoramento, análise de logs, câmeras.

Erros em segurança

Uma pesquisa recente realizada pela Symantec, empresa desenvolvedora de um popular antivírus, revelou que em 2016 os brasileiros perderam cerca de 33 milhões de reais apenas com a atuação de cibercriminosos.

Muito desse prejuízo poderia ter sido evitado se alguns erros não fossem cometidos. Não planejar suas ações em segurança da informação pode ser desastroso para o seu negócio e é um erro comum.

Outro erro que acontece muito é não alinhar a política de segurança com a diretoria da empresa. Dessa maneira, os gestores podem associar os recursos alocados com segurança como um simples gasto, e não como um investimento.

O treinamento da equipe e a implantação de regras de segurança são outros itens que merecem sempre atenção da sua parte.

Como pudemos verificar ao longo deste post, a segurança da informação é algo a se planejar e investir com o intuito de evitar prejuízos e dores de cabeça. A melhor alternativa é sempre contar com uma consultoria especializada em segurança para ajudar sua equipe a lidar com as especificidades da proteção de dados.

Continue conosco e leia sobre a importância de monitorar a segurança da informação para a sua gestão!