O mundo e os negócios são cada vez mais digitais. A tecnologia transformou e continua transformando a forma como trabalhamos, nos divertimos e nos comunicamos. Com isso, a Segurança da Informação também precisa estar presente para defender todo tipo de trabalho digital.
Informações e dados são cada vez mais importantes para empresas que querem prosperar no meio digital. Empresas buscam informações de potenciais clientes. Competidores buscam descobrir informações para conseguir desbancar concorrentes.
O preço da informação está cada vez mais caro, e um simples vazamento de informação pode ser o diferencial entre o sucesso e o fracasso de uma empresa ou produto.
Sabendo disso, é cada vez mais frequente empresas e pessoas maliciosas tirarem proveito de brechas e falhas na segurança das empresas e roubar / sequestrar / vazar dados estratégicos. E é justamente por isso que é importante entender sobre Segurança da Informação.
Nesse post você vai conhecer mais sobre esse tema, entendendo os principais riscos que devem ser tratados, o que sua empresa pode fazer, e quais são algumas das principais dicas para proteger seus dados, de sua empresa e de seus clientes.
O que é Segurança da Informação?
A Segurança de Informação (SI) é um conjunto de práticas ou ações para proteger dados e informações, bem como o valor que elas possuem, de uma empresa ou pessoa. Essas práticas buscam garantir que os “Pilares da Segurança da Informação” sejam mantidos. São eles:
1. Confidencialidade
A informação só deve ser acessada pelas pessoas que foram autorizadas pelo proprietário da informação.
2. Integridade
A informação, mesmo tendo aprovação para ser modificada, deve continuar íntegra, mantendo as características definidas pelo proprietário, sem faltar nada que caracterize a informação.
3. Disponibilidade
Os dados precisam estar acessíveis no momento que forem requisitados. A disponibilidade garante a continuidade das atividades das empresas independentemente do que venha a ocorrer.
4. Autenticidade
Os dados são autênticos se eles forem provenientes da fonte anunciada como detentora dos dados e se não sofreram modificações durante seu armazenamento/tratamento. Um dos objetivos da autenticidade, além do citado, é garantir o não-repúdio. Isso significa que o autor da informação não pode dizer que não gerou ou é o dono do dado.
Quem deve conhecer SI?
Você já deve ter percebido que o tópico Segurança da Informação abrange vários setores de uma empresa. Por isso, é importante ressaltar que TODOS da empresa precisam conhecer as regras de segurança da informação e os riscos associados.
Imagine essa situação do dia-a-dia: A empresa definiu suas políticas e regras de segurança de informação. Implementou várias ferramentas e proteções em seus computadores e redes. Fez treinamento com seus colaboradores para explicar as regras e a importância da segurança da informação.
Porém, Fulano faltou no treinamento e não leu as políticas e regras. No dia seguinte, Fulano decidiu enviar um e-mail a um colega de trabalho contendo credenciais de acesso a um sistema com dados sigilosos e, acidentalmente, errou o destinatário, enviando para uma pessoa que não era o alvo desejado.
Fulano acabou de vazar, sem perceber, uma informação sigilosa. Enquanto o vazamento não for identificado e se o receptor for uma pessoa com más intenções, ela pode utilizar as credenciais para roubar os dados ou, dependendo do acesso concedido, modificar os dados. O acesso indevido já fere o pilar da Confidencialidade, e, caso a pessoa altere os dados, irá ferir também o pilar da Integridade. Perceba como uma simples desatenção pode ser crítica para uma empresa com dados sigilosos.
Quem você precisa para implementar SI?
Para definir as regras e políticas e implementar os controles necessários, você precisará de pessoas com um conhecimento mais aprofundado em segurança da informação. Para a parte de definição de processos e políticas de segurança, você pode procurar profissionais com expertise em normas de segurança e conhecimento da LGPD.
Porém, para implementar controles, ferramentas e proteções nos sistemas, computadores e redes de sua empresa, é importante buscar profissionais de infra-estrutura com experiência em implementação de firewalls, VPNs, segurança de rede e conhecimento em ferramentas de monitoramento, automação e proteção.
Por fim, sua empresa pode optar também por um profissional especializado em garantir a proteção dos dados da empresa e a adequação da empresa à LGPD. Esse profissional é o DPO (Data protection Officer) – um profissional certificado e dedicado exclusivamente a esse assunto.
Implementar segurança da informação é Gerenciar Riscos!
É importante esclarecer que, ao implementar Segurança de Informação, estamos fazendo gerenciamento de riscos o tempo inteiro. É impossível garantir 100% de eficácia contra vazamentos ou incidentes de segurança. No entanto, quanto mais controles, ferramentas e regras tivermos, menor é a chance dos problemas ocorrerem.
Só que, ao mesmo tempo, implementar esses controles têm um custo. Caso o custo para implementar essas seguranças seja maior que o prejuízo causado por um vazamento, incidente ou multa, então talvez não seja necessário tantos controles. Porém se os prejuízos forem maiores, é bom já começar a pensar bem nos controles que você vai implementar.
Como implementar?
Para implementar Segurança da informação, é necessário fazer mudanças físicas, lógicas, ferramentais, comportamentais e processuais.
Abaixo são exemplificadas algumas dessas mudanças (também chamados de controles) para melhorar a proteção dos dados de sua empresa.
Controles físicos:
- Salas fechadas com acessos restritos
- Blindagens, câmeras de segurança, catracas
- Registro e controle de entrada de visitantes
- Guardas e seguranças
Controles lógicos:
- Criptografia (dados codificados que só conseguem ser lidos pelo destinatário dos dados)
- Firewalls (para proteger as redes e computadores de conexões não autorizadas)
- Anti-vírus, Anti-spyware e Anti-malware (para evitar contaminação com vírus, malwares e ransomwares)
- Registro de logs (para que possa rastrear os eventos e identificar falhas e ameaças)
- Certificado SSL (camada extra de proteção para informações trafegadas na internet, assegurando um canal seguro de conexão por meio de uma sessão criptografada. Ou seja, não é possível roubar os dados ao navegar em um site com essa proteção)
- Ter backups e/ou computação na nuvem
- Bloqueio de USBs, emails pessoais e sites perigosos
- Realize testes de penetração periodicamente com uma empresa independente (para identificar se os seus sistemas estão expostos a vulnerabilidades)
Controles ferramentais:
- Ferramenta de inventário (para controlar o que tem instalado em cada máquina
- Ferramenta para gestão de patches (para fazer atualizações de sistema e dos softwares automaticamente, garantindo correções de possíveis vulnerabilidades)
- Ferramentas para garantir o desenvolvimento de software sem vulnerabilidades (para inspecionar o código desenvolvido automaticamente e identificar possíveis vulnerabilidades no sistema)
- Ferramenta para gestão de incidentes (para criar um canal para reporte, comunicação e tratamento de incidentes e problemas de segurança)
- Ferramenta de monitoramento (para permitir um monitoramento em tempo real dos servidores)
Controles processuais:
- Definição de processos com atividades que tenham preocupação com segurança, como revisões e aprovações
- Definição de políticas bem claras, explícitas e acessíveis, para que todos saibam o que precisam fazer para garantir a segurança e qual o tamanho de sua responsabilidade.
- Criação de planos de contingência (para casos de desastres como vazamento de dados, incêndios, etc)
Controles comportamentais:
- Treinamentos de segurança da informação (para explicar as políticas e regras de segurança, e engajar toda a empresa)
- Orientar a sempre bloquear o computador ao sair de sua mesa
- Conscientizar a equipe para não deixarem senhas e credenciais em post-its ou em cima da mesa
- Não usar credenciais de acesso de terceiros para executar atividades
- Alertar sobre golpes de engenharia social (onde alguém mal intencionado tenta se passar por alguém ou persuadir a pessoa para roubar informações ou acessos)
- Sempre insistir para terem senhas seguras
Quais são as normas existentes?
Existem algumas normas que atestam a segurança de informação de uma empresa.
- ISO 27001: é o padrão e a referência Internacional para a gestão da Segurança da informação. Ela tem como requisitos os principais controles para que um sistema de gestão de segurança de informação seja implementado.
- ISO 27701: é uma extensão da norma ISO 27001 e inclui controles para garantir a privacidade dos dados pessoais. Ela foi criada com base nos requisitos da GDPR (que equivale a LGPD no Brasil).
Existe também, como citado acima, a Lei Geral de Proteção de Dados (LGPD). Essa é uma lei que entra em vigor em Agosto/2020 e passa a exigir das empresas um cuidado maior durante o tratamento e armazenamento dos dados pessoais que ela possui.
As empresas estão se adequando a essa nova realidade, que começou na Europa com a criação da Global Data Protection Regulation (GDPR). Muitas empresas no Brasil estão implementando a ISO 27001 em conjunto com a ISO 27701 para implementar os controles requeridos pela nova LGPD e evitar possíveis multas e encargos. Caso queira saber mais sobre a ISO 27701 e o que ela trata, veja nosso sobre isso nesse link.
Agora que você conhece mais sobre a importância da Segurança de Informação e viu algumas dicas de como implementá-la, você já pode dar o próximo passo e começar o movimento da segurança da informação em sua empresa.
Mesmo que você ainda não consiga aplicar essas práticas na sua empresa, garantimos que muitas delas você pode aplicar até mesmo em sua casa para proteger seus dados pessoais! E lembre-se, caso precise de apoio especializado no assunto, a ProMove Soluções tem experiência com as normas ISO e com a LGPD e pode ajudar sua empresa a implementar os controles e melhorar a segurança dos seus dados! Não perca tempo e comece essa mudança!