Proteger as organizações dos ataques digitais, das falhas humanas, dos desvios de conduta por parte dos colaboradores e dos desastres naturais, sob uma visão geral, esses são os principais objetivos da segurança da informação.
Mais do que estratégica, ela é de fundamental relevância para o sucesso da empresa. Por quê? Pelo simples fato de que é por meio de suas práticas que o negócio terá garantido as suas atividades. Imagine o que poderia acontecer a sua empresa se os seus dados corporativos sumissem de uma hora para outra sem a possibilidade de recuperá-los.
É provável que você nem mesmo queira pensar no assunto, certo? Pois então, é por esse motivo que eles devem ser protegidos com “unhas e dentes”. Neste artigo, mostraremos tudo o que você precisa saber sobre a segurança da informação. A leitura é importante e por isso merece toda a sua atenção. Não perca!
O que faz parte da segurança da informação?
Computadores, dispositivos de acesso, softwares, hardwares, redes e colaboradores, todos os ativos do negócio estão envolvidos de alguma maneira na segurança da informação. Cada um deles com um diferente papel.
Computadores e dispositivos de acesso
Os computadores, ou estações de trabalho, são o principal meio de manipulação de dados, onde normalmente as informações são criadas e alteradas. Hoje porém, também são utilizados outros dispositivos para acesso, como smartphones e tablets. Em vista disso, faz-se necessário protegê-los das ameaças, empregando o uso de programas e soluções específicas para essa finalidade.
Sistemas e aplicações
A perda de qualquer tipo de dado pode acarretar em perdas relevantes para qualquer empresa. Por isso, é possível contar com sistemas e aplicações que servem para armazenar e tratar dados financeiros, informações de clientes, funcionários e fornecedores, informações estratégias e sigilosas, entre outras coisas.
Esses sistemas são implementando em todos os setores da organização, e precisam garantir o máximo de proteção para o fluxo de dados. É possível alocar todos as informações em sistemas de nuvem, por exemplo, uma tecnologia que facilita o acesso remoto e possui maior escalabilidade de armazenamento.
Hardwares
Além das estações de trabalho e os sistemas de armazenamento em nuvem, existem diversas aplicações e sistemas que precisam ser implantados dentro da rede da empresa, seja por requisitos de segurança, disponibilidade ou custo. Esses equipamentos formam o data center das empresas com storage e servidores virtuais ou físicos.
É possível encontrar hardwares do tipo appliance que funcionam como firewall, sendo capazes de proteger várias máquinas de maneira simultânea. O firewall fica responsável por analisar o fluxo das informações, analisando o IP do computador de origem e do destinatário, além de diversas funcionalidades, como filtro de conteúdo web, IPS, antivírus de gateway, comunicação VPN, relatórios de acesso e muito mais. Essa rastreabilidade oferece maior segurança para toda rede.
Colaboradores
É essencial deixar os colaboradores cientes das normas de segurança. Do contrário, podem eles próprios se tornarem um ponto de ataque. Se um indivíduo violar as regras e encontrar (mesmo que involuntariamente) uma brecha nos seus sistemas, ele pode comprometer toda a sua rede.
Nesse contexto, vale salientar o envolvimento dos profissionais cuja função incide diretamente no gerenciamento das atividades e rotinas de proteção. Sejam contratados pelo negócio ou parceiros terceirizados, certifique-se de que eles saibam o que estão fazendo e assegure a sua confiabilidade.
Quais são os pilares da segurança da informação?
A segurança da informação era formada até pouco tempo por três pilares, a confidencialidade, a integridade e a disponibilidade. No entanto, ao passar dos anos, três novos itens foram incorporados nessa lista, a autenticidade, a irretratabilidade e a conformidade, totalizando, assim, seis.
Confidencialidade
Esse pilar se refere a todas as ações que se destinam à proteção dos dados, garantindo que eles trafeguem de modo sigiloso. Para tal, diversas condutas são adotadas, a exemplo da criptografia das informações.
Além do que, a confidencialidade também engloba as restrições de quem pode ou não ter acesso a determinados arquivos e documentos.
Integridade
A integridade é remetida à condição de que as informações não sofram nenhum tipo de alteração sem o devido consentimento. Aqui, é necessário ter a certeza de que elas não sejam modificadas durante seu tráfego, processamento ou armazenamento.
Disponibilidade
Particularidade que corresponde à disposição dos dados no momento em que aos usuários deles precisarem, essa é a disponibilidade. Softwares, hardwares, conexões e informações, enfim, tudo o que é oferecido a eles deve considerar esse pilar: logicamente, respeitando, antes de qualquer “coisa”, o princípio da confidencialidade.
Autenticidade
Para certificar que os dados sejam provenientes de uma fonte em que se possa confiar, foi estabelecido o pilar da autenticidade. Para tal, é necessário manter um “registro de autor” que determine e ateste a veracidade de determinada informação, por exemplo.
Irretratabilidade (ou não repúdio)
Pensando em evitar a negação de autoria por parte dos usuários, foi criado o pilar da irretratabilidade. Na prática, ele garante a autenticidade dos dados por impedir que tanto os autores quanto os receptores contestem qualquer transação por eles realizadas.
Conformidade
A conformidade corresponde à obediência das normas e leis que foram regulamentadas para a segurança da informação. Nessas linhas, são diversos os preceitos a respeitar. Dentre os principais estão protocolos ISO 27001 e ISO 27002, a PCI-DSS, a SOX, a ISC2 e algumas leis, como o Marco Civil da internet e a Lei Geral de Proteção de Dados (LGPD).
ISO 27001
Norma que estabelece os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI), é disso que se trata a ISO 27001. Baseada em uma abordagem de riscos de negócio, ela estipula, opera, implementa, revisa e monitora todas as práticas relacionadas à proteção dos dados.
O SGSI engloba políticas, responsabilidades, processos, recursos, procedimentos, atividades de planejamento e estrutura organizacional, sendo bastante conhecido entre os profissionais de TI. Cabe salientar que a ISO 27001 é principal norma que uma companhia deve usar como suporte para receber a certificação empresarial em gerenciamento da segurança da informação.
ISO 27002
Apesar de não ser propriamente dita uma norma, a ISO 27002 é importante pois ajuda na aplicação do SGSI. Em resumo, estamos nos referindo a um código de práticas que contém um amplo conjunto de controles para a prestação desse auxílio.
A recomendação é para utilizá-la em união com a ISO 27001. No entanto, muitas vezes é consultada de modo independente para servir apenas de apoio para a adoção das boas práticas. Um ponto interessante em relação à ISO 27002 é que ela é a única norma em gerenciamento de segurança para a qual existem certificações de cunho profissional.
PCI-DSS
Trata-se de uma certificação necessária para qualquer organização que armazene, transmita ou processe dados sigilosos de portadores de cartões. Ou seja, o Payment Card Industry — Data Security Standard é um padrão de segurança que estabelece a proteção de dados como nome, número do cartão e código de segurança. Os padrões são bastante rigorosos, por exemplo, todas as informações devem ser criptografadas.
SOX
A Sarbanes Oxley é uma lei norte-americana que tem como objetivo a criação de mecanismos de auditoria e segurança confiáveis nas empresas. Ela foi sancionada em 2002, como resposta a uma série de escândalos financeiros que atingiu diversas organizações nos Estados Unidos.
O vazamento de informações sigilosas impulsionaram a criação da SOX que estabelece padrões para combater e prevenir ataques e fraudes que possam impactar o desenvolvimento financeiro das empresas, garantindo o compliance.
Marco Civil da internet
No Brasil, o Marco Civil da internet foi criado por meio da Lei Nº 12.965/12. Ela regula o uso da internet no país por meio de previsão de princípios, direitos, deveres e garantias. Além disso, ela estabelece diretrizes a serem seguidas na atuação do Estado.
O documento trata de questões sobre neutralidade da rede, privacidade, retenção de dados, além de obrigações de responsabilidade civis para os usuários e provedores.
LGDP
A Lei nº 13.709/2018 alterou a forma como as empresas podem coletar, armazenar e tratar os dados privadas dos cidadãos. São previstas uma série de punições para quem não seguir os princípios, alterando a abordagem feita até o ano anterior a vigência da Lei.
Por exemplo, para coletar ou tratar qualquer tipo de informação deixada por um internauta, a organização precisa de um consentimento legal. Sempre deixando a possibilidade da pessoa consultar ou solicitar a exclusão dessas informações do banco de dados da empresa.
Quais são as práticas essenciais para a segurança da informação?
Garantir a proteção de dados da empresa envolve cuidado e planejamento. É necessário criar uma estrutura coerente e investir em equipamentos que garantam a infraestrutura digital necessária para proteger todo o fluxo.
Dentre as ações que devem ser estabelecidas pelas empresas estão:
- criar uma política de segurança da informação: estabelecer um documento formal com orientações e processos a serem seguidos;
- proteção ao acesso à internet: um dos pontos mais vulneráveis para ataques é a disposição de acesso à internet de todos os colaboradores da empresa, por isso é necessário contar com um firewall completo, capaz de controlar o acesso dos usuários e impedir a contaminação de malware e ataques de terceiros;
- proteção do endpoint: tanto o usuário como a estação precisam de controles e proteções que o firewall muitas vezes não consegue garantir, por isso uma solução de antivírus é fundamental para fornecer a proteção do endpoint;
- Data Loss Protection (DLP): processos, controles e recursos que garantam a proteção contra o vazamento de informações internas.
Quais outras medidas as serem tomadas?
Criptografia de dados
Indiscutivelmente uma das maiores aliadas da segurança da informação, assim é a criptografia de dados. Sua implantação é obrigatória, afinal, essa tecnologia evita, por exemplo, que os arquivos sejam lidos e interpretados em casos de roubo ou sequestro de dados.
Veja bem, ela não elimina as chances de você sofrer esses tipos de ataque, porém, se porventura for atacado nessas linhas, os cibercriminosos não conseguirão entender absolutamente nada do que roubaram. Por quê? Porque os dados estão criptografados: o único agente que consegue liberá-los para a leitura é o seu provedor de hospedagem.
Backups
Tão relevante quanto estão os backups, que funcionam como um “plano B” para a manutenção das atividades do cotidiano. Diante de todas as possibilidades que podem resultar na perda dos dados (falhas nos servidores, roubos, desastres naturais etc), são eles que permitirão recuperá-los.
A forma de fazer os backups varia de acordo com a necessidade, hoje uma das opções mais recomendadas é os serviços de backup em nuvem, por questões de custo e por garantir a recuperação das informações mesmo em casos de incidentes no ambiente físico, como incêndios, curto-circuíto, etc.
Para concluir, é válido esclarecermos que a segurança da informação é um pouco diferente da segurança da TI. A observação, aqui, é que os dados podem ser usados a administrados de diversas formas, tanto no meio físico quanto no digital.
A segurança da informação diz respeito a todas elas, estabelecendo as melhores práticas, políticas e procedimentos para o tratamento desses registros. Isso inclui, por exemplo, o acesso a determinados espaços cujas atividades ali desenvolvidas não devem sair do conhecimento de um específico grupo de pessoas.
A segurança de TI, por sua vez, é direcionada para o gerenciamento da infraestrutura tecnológica da empresa. Sistemas de bancos de dados, softwares, equipamentos de hardwares, computadores e outros dispositivos, enfim, tudo isso a mais um pouco está incluso.
Diante dos riscos e complicações que podem surgir em decorrência das falhas, erros ou atitudes criminosas ou de má fé, a segurança da informação é coisa séria. Por isso, o ideal é contar com empresa especializada na área.
Neste post descrevemos algumas das práticas essenciais a serem tomadas para a segurança das informações, entretanto cada empresa tem particularidades e necessidades específicas. Em alguns casos, podem ser tomadas medidas como a Gestão de Dispositivos Móveis (MDM), Rede Wireless Segura, Controle de Eventos (SIEM), entre outras ações.
A terceirização dos cuidados relativos à proteção dos dados é para muitos a melhor alternativa. Isso acontece porque ao ter profissionais comprometidos com o seu negócio e verdadeiramente especializados no assunto, você terá ao seu lado um arsenal de defesa inteligente e vigoroso: parte dos seus serviços é ajudá-lo na aplicação da Lei Geral de Proteção de Dados (LGPD).
Por esse motivo, entre em contato com a Athena Security agora mesmo. Somos especialistas em segurança da informação, monitoramento e infraestrutura!
Thiago Cabral
Bacharel em administração e pós-graduado em Gestão e Governança de TI pela FIAP. Com cerca de 10 anos de experiência no mercado de segurança da informação, ajudou a fundar a empresa Athena Security, onde atua como Sócio-Diretor responsável pelas estratégias de Marketing e pela qualidade de atendimento ao cliente. Acredita que a chave para o sucesso é a especialização, atendimento consultivo e visão inovadora.