O mundo e os negócios são cada vez mais digitais. A tecnologia transformou e continua transformando a forma como trabalhamos, nos divertimos e nos comunicamos. Com isso, a Segurança da Informação também precisa estar presente para defender todo tipo de trabalho digital.
Informações e dados são cada vez mais importantes para empresas que querem prosperar no meio digital. Empresas buscam informações de potenciais clientes. Competidores buscam descobrir informações para conseguir desbancar concorrentes.
O preço da informação está cada vez mais caro, e um simples vazamento de informação pode ser o diferencial entre o sucesso e o fracasso de uma empresa ou produto.
Sabendo disso, é cada vez mais frequente empresas e pessoas maliciosas tirarem proveito de brechas e falhas na segurança das empresas e roubar / sequestrar / vazar dados estratégicos. E é justamente por isso que é importante entender sobre Segurança da Informação.
Nesse post você vai conhecer mais sobre esse tema, entendendo os principais riscos que devem ser tratados, o que sua empresa pode fazer, e quais são algumas das principais dicas para proteger seus dados, de sua empresa e de seus clientes.
A Segurança de Informação (SI) é um conjunto de práticas ou ações para proteger dados e informações, bem como o valor que elas possuem, de uma empresa ou pessoa. Essas práticas buscam garantir que os “Pilares da Segurança da Informação” sejam mantidos. São eles:
A informação só deve ser acessada pelas pessoas que foram autorizadas pelo proprietário da informação.
A informação, mesmo tendo aprovação para ser modificada, deve continuar íntegra, mantendo as características definidas pelo proprietário, sem faltar nada que caracterize a informação.
Os dados precisam estar acessíveis no momento que forem requisitados. A disponibilidade garante a continuidade das atividades das empresas independentemente do que venha a ocorrer.
Os dados são autênticos se eles forem provenientes da fonte anunciada como detentora dos dados e se não sofreram modificações durante seu armazenamento/tratamento. Um dos objetivos da autenticidade, além do citado, é garantir o não-repúdio. Isso significa que o autor da informação não pode dizer que não gerou ou é o dono do dado.
Você já deve ter percebido que o tópico Segurança da Informação abrange vários setores de uma empresa. Por isso, é importante ressaltar que TODOS da empresa precisam conhecer as regras de segurança da informação e os riscos associados.
Imagine essa situação do dia-a-dia: A empresa definiu suas políticas e regras de segurança de informação. Implementou várias ferramentas e proteções em seus computadores e redes. Fez treinamento com seus colaboradores para explicar as regras e a importância da segurança da informação.
Porém, Fulano faltou no treinamento e não leu as políticas e regras. No dia seguinte, Fulano decidiu enviar um e-mail a um colega de trabalho contendo credenciais de acesso a um sistema com dados sigilosos e, acidentalmente, errou o destinatário, enviando para uma pessoa que não era o alvo desejado.
Fulano acabou de vazar, sem perceber, uma informação sigilosa. Enquanto o vazamento não for identificado e se o receptor for uma pessoa com más intenções, ela pode utilizar as credenciais para roubar os dados ou, dependendo do acesso concedido, modificar os dados. O acesso indevido já fere o pilar da Confidencialidade, e, caso a pessoa altere os dados, irá ferir também o pilar da Integridade. Perceba como uma simples desatenção pode ser crítica para uma empresa com dados sigilosos.
Para definir as regras e políticas e implementar os controles necessários, você precisará de pessoas com um conhecimento mais aprofundado em segurança da informação. Para a parte de definição de processos e políticas de segurança, você pode procurar profissionais com expertise em normas de segurança e conhecimento da LGPD.
Porém, para implementar controles, ferramentas e proteções nos sistemas, computadores e redes de sua empresa, é importante buscar profissionais de infra-estrutura com experiência em implementação de firewalls, VPNs, segurança de rede e conhecimento em ferramentas de monitoramento, automação e proteção.
Por fim, sua empresa pode optar também por um profissional especializado em garantir a proteção dos dados da empresa e a adequação da empresa à LGPD. Esse profissional é o DPO (Data protection Officer) – um profissional certificado e dedicado exclusivamente a esse assunto.
Implementar segurança da informação é Gerenciar Riscos!
É importante esclarecer que, ao implementar Segurança de Informação, estamos fazendo gerenciamento de riscos o tempo inteiro. É impossível garantir 100% de eficácia contra vazamentos ou incidentes de segurança. No entanto, quanto mais controles, ferramentas e regras tivermos, menor é a chance dos problemas ocorrerem.
Só que, ao mesmo tempo, implementar esses controles têm um custo. Caso o custo para implementar essas seguranças seja maior que o prejuízo causado por um vazamento, incidente ou multa, então talvez não seja necessário tantos controles. Porém se os prejuízos forem maiores, é bom já começar a pensar bem nos controles que você vai implementar.
Para implementar Segurança da informação, é necessário fazer mudanças físicas, lógicas, ferramentais, comportamentais e processuais. Abaixo são exemplificadas algumas dessas mudanças (também chamados de controles) para melhorar a proteção dos dados de sua empresa.
Existem algumas normas que atestam a segurança de informação de uma empresa.
Existe também, como citado acima, a Lei Geral de Proteção de Dados (LGPD). Essa é uma lei que entra em vigor em Agosto/2020 e passa a exigir das empresas um cuidado maior durante o tratamento e armazenamento dos dados pessoais que ela possui.
As empresas estão se adequando a essa nova realidade, que começou na Europa com a criação da Global Data Protection Regulation (GDPR). Muitas empresas no Brasil estão implementando a ISO 27001 em conjunto com a ISO 27701 para implementar os controles requeridos pela nova LGPD e evitar possíveis multas e encargos. Caso queira saber mais sobre a ISO 27701 e o que ela trata, veja nosso sobre isso nesse link.
Agora que você conhece mais sobre a importância da Segurança de Informação e viu algumas dicas de como implementá-la, você já pode dar o próximo passo e começar o movimento da segurança da informação em sua empresa.
Mesmo que você ainda não consiga aplicar essas práticas na sua empresa, garantimos que muitas delas você pode aplicar até mesmo em sua casa para proteger seus dados pessoais! E lembre-se, caso precise de apoio especializado no assunto, a ProMove Soluções tem experiência com as normas ISO e com a LGPD e pode ajudar sua empresa a implementar os controles e melhorar a segurança dos seus dados! Não perca tempo e comece essa mudança!
Nenhum comentário aprovado.
Deixe um comentário