Indaiatuba, SP--(
DINO - 22 mai, 2019) -
O conceito de segurança da informação é um tanto quanto complexo e envolve uma série de ações de proteção que visam diminuir o risco de perda de dados, protegendo o valor, econômico ou pessoal, de uma organização.
Mesmo que, em um primeiro momento, pareça que ela está ligada apenas a softwares e sistemas computacionais, esse conceito vai muito além, passando por equipamentos e, até mesmo, pessoas.
Dentro de uma empresa, a segurança da informação pode ser definida como o grupo de políticas, métodos e processos que devem ser aplicados para garantir que a circulação de dados e informações seja controlada e segura, evitando assim que qualquer pessoa, que não seja autorizada, tenha acesso a tais elementos.
A
segurança de dados é baseada em três pilares básicos.
Confidencialidade
Esse conceito está ligado à
garantia de que a informação não poderá ser acessada ou visualizada por pessoas que não tenham autorização para tal, evitando vazamentos e garantindo a proteção de dados estratégicos.
Esse é um dos principais pilares dentro da segurança da informação, pois tem ligação direta com o sigilo e o segredo dos dados, o que mexe com a curiosidade. Dentro do mundo corporativo, proteger a informação mantém uma abordagem estratégica e protege o capital intelectual de uma empresa, garantindo vantagens competitivas.
Empresas investem no desenvolvimento de novos produtos e tecnologias. Esse know-how pode ser de suma importância para o desenvolvimento das atividades presentes e futuras, daí vem a importância de protegê-lo.
Sempre que um vazamento ou acesso indevido acontece, outras empresas que não tiveram o esforço e o investimento para produzir aquele conhecimento podem alcançá-lo e acabar lucrando de forma indevida com isso.
Integridade
Dados íntegros são informações que estão sendo armazenadas e transferidas de forma correta, sem a menor dúvida acerca de sua fonte ou forma. Nesse sentido, pode-se confiar que nada foi alterado com o passar do tempo ou por manipulação de terceiros.
Esse pilar não é tão pensado quando tratamos de segurança da informação, sendo deixado de lado. Porém, ele é de suma importância para embasar decisões de negócio, afinal, valida todo o processo de comunicação, interna e externa, da organização.
Toda empresa precisa enviar e receber informações o tempo todo, seja internamente, quando ocorre a troca de dados entre os setores, seja externamente, com clientes e fornecedores. Uma comunicação efetiva só ocorre quando não há interferências e ambas as partes interpretam de maneira comum.
Contudo, a integração de dados não é uma tarefa fácil. Manter a integridade das comunicações deve estar entre as prioridades dos profissionais de TI, para evitar que as informações sejam adulteradas durante a transmissão ou o recebimento.
Com o tema mobilidade cada vez mais em alta nos últimos tempos, por conta do uso crescente de dispositivos móveis para trocas de mensagens, é preciso buscar a integridade das comunicações com ainda mais atenção.
Disponibilidade
Para que a informação tenha valor, ela deve estar disponível, ou seja, gestor, colaborador ou qualquer outro interessado que tenha autorização deve poder acessar os dados em hora oportuna no exercício das funções.
De nada adianta contar com milhões de dados se, quando for necessário realizar uma consulta, eles não estiverem disponíveis. Esse pilar está ligado diretamente à operacionalidade das empresas, uma vez que a falta de disponibilidade pode prejudicar as atividades.
Em um mundo cada vez mais dinâmico, no qual a comunicação é praticamente instantânea, independentemente das distâncias, manter os dados disponíveis o tempo todo também deve ser um dos cuidados de um prestador de serviços de TI. Em caso de indisponibilidade de um conjunto crítico de informações ou de conjuntos de dados, as empresas podem acabar sendo prejudicadas, perdendo negócios e vindo a rescindir o acordo com sua empresa.
Os três pilares citados acima devem ser considerados valores estratégicos para as empresas, pois todas estão sujeitas a sofrer os prejuízos. Mesmo que a confidencialidade esteja mais em voga quando pensamos em segurança, deve-se sempre se lembrar dos outros dois.
Por exemplo, um erro de confidencialidade pode expor informações estratégicas da empresa ou de clientes, gerando prejuízos — isso é muito claro. Contudo, a falta de integridade, por conta de um corrompimento de disco rígido, pode fazer com que se perca dez anos de dados. Ao mesmo tempo, a disponibilidade pode ser afetada por ataques de ransomware ou sequestro de informações, sem que um backup funcional esteja disponível.
Qual a importância da segurança da informação?
A segurança da informação detém um poder estratégico para as organizações, pois permite que garantam a continuidade dos negócios ao mesmo tempo em que evitam que outras empresas ou pessoas tenham acesso a sigilosos dados.
O Big Data é um exemplo prático de como as informações vêm sendo utilizadas de forma estratégica dentro de uma organização. No entanto, para que essa prática gere valor, os dados devem estar disponíveis e íntegros e os resultados devem ser mantidos em confidencialidade.
No caso de falhas na disponibilização dos dados para o servidor, a análise final fica comprometida e a integridade também não é atingida. Com isso, ocorre uma visão errada da situação, levando a decisões equivocadas e possíveis prejuízos ou perdas de oportunidades.
Além disso, o número de ataques cibernéticos tem aumentado muito nos últimos anos, sendo que as empresas estão cada vez mais dependentes da tecnologia e o número de dispositivos conectados em rede é maior. Esse cenário cria uma série de vulnerabilidades que podem ser exploradas por pessoas mal-intencionadas na busca por informações confidenciais, visando obter alguma vantagem financeira por parte das empresas.
Outro ponto crucial é: os c
ibercrimes têm crescido exponencialmente. E não é só para vazamento de informações, mas também para sequestro de dados (como os ataques
ransomware), ataques DDoS (que tornam as informações indisponíveis), entre outros.
Segundo dados divulgados pela pesquisa
Norton Cyber Security Insights Report, o Brasil está em segundo lugar no mundo no ranking do número de ataques de hackers, atrás apenas da China. Em 2017, segundo o relatório citado, o prejuízo com essas investidas ficou em cerca de US$ 22 bilhões.
Um dos pontos responsáveis por esse crescimento é a popularização dos smartphones e a busca por mobilidade dentro das empresas em contraste com a falta de preparo de muitos prestadores de serviços de TI que não atualizaram suas políticas de segurança.
Qual é a norma regulamentadora da segurança da informação?
Em 2018, o Congresso Nacional aprovou a
Lei Geral de Proteção de Dados (
Lei N° 13.709/18), uma nova regulamentação acerca do uso de informação por conta das empresas. Com ela, que deve entrar em vigor no meio do ano de 2020, as empresas terão muito mais responsabilidades.
Até então, os vazamentos eram tratados como problemas internos, sendo que muitas vezes as organizações que sofriam ataques não divulgavam tal informação na mídia com medo da reação do mercado. Contudo, de acordo com o texto da nova legislação, qualquer vazamento deve ser comunicado imediatamente à agência reguladora e aos titulares da informação, ou seja, os donos dos dados vazados, sob pena de multas e sanções.
Com isso, a responsabilidade na garantia da segurança da informação aumenta bastante e torna-se fundamental evitar situações que possam, até mesmo, vir a impedir a continuidade dos negócios por determinação do governo.
Quais são os principais erros de TI na execução da segurança da informação?
Alguns
erros de TI são comuns na implementação de uma política de segurança da informação, sendo que eles podem acabar gerando vulnerabilidades. A seguir alguns dos erros mais comuns.
Falta de investimento em segurança da informação
O primeiro erro, e também o mais comum, é
falta de investimentos direcionados exclusivamente para a proteção de dados. Consequentemente, isso é o que traz mais
riscos à segurança da informação dentro das corporações. O principal ponto que leva a esse erro é a falta de conhecimento sobre a importância da proteção de dados e acerca dos problemas que um vazamento ou uma perda de informações pode causar.
A tecnologia está constantemente evoluindo, e é necessário estar sempre antenado com as últimas novidades, como
tecnologia de antivírus, firewalls, equipamentos e outras formas de proteção.
Ausência de autenticação de usuários
O
controle de acesso é fundamental para evitar que determinadas informações, de peso estratégico, estejam disponíveis para colaboradores que não têm interesse direto nesses dados.
Quando qualquer usuário pode visualizar todas as informações da empresa, cria-se uma vulnerabilidade, pois hackers mais experientes podem se valer dessa falha para obter senhas simples e ter acesso a qualquer coisa dentro da empresa.
O roubo de credenciais por meio de várias técnicas, como phishing e engenharia social, é uma das formas mais comuns de ataque utilizadas pelos hackers, a fim de ter acesso aos dados de uma organização.
Falta de políticas de segurança
Outra falha comum é a
falta de uma política de segurança bem definida sobre as ações permitidas dentro da empresa e seus níveis de acesso, assim como exemplos e orientações para cada decisão que tenha de ser tomada com relação aos dados.
Quando existe alguma coisa nesse sentido, muitas vezes os colaboradores não são treinados ou desconhecem o padrão estabelecido pelo documento, ou seja, ele não desempenha o seu papel de manter a proteção da informação.
A falta de uma política de segurança bem estruturada acaba eximindo todos os envolvidos de suas responsabilidades com a proteção das informações da empresa, sendo que é preciso envolver todos os colaboradores nesse processo.
Equipe inexperiente
Uma equipe inexperiente e sem certificações pode ser um problema para um prestador de serviços de TI, uma vez que é preciso lidar com várias
infraestruturas de TI diferentes presentes nas diferentes empresas. Assim sendo, isso pode acabar dificultando o processo de implementação de tecnologias.
Investir na contratação de colaboradores que já tenham uma boa vivência no mercado pode ser uma boa ideia no começo. Mesmo que o salário desses profissionais seja um pouco mais alto, sua experiência pode ser repassada ao restante da equipe. Deixar de investir nos colaboradores pode ser um risco, pois a inexperiência do time pode gerar vulnerabilidade e falhas.
Criação de rotinas de backup falhas
A
rotina de backup é uma das principais ações dentro da segurança da informação para garantir a continuidade dos negócios. Entretanto, muitas vezes, só observamos sua real importância quando se faz necessária e a restauração falha.
É comum encontrar rotinas simples e sem eficiência dentro das organizações quando se fala em backup. Em alguns casos, apenas se copiam os dados para dentro de um CD, e a mídia fica esquecida em uma prateleira qualquer.
Contudo, no caso de um delete total de todas as informações da empresa, a única forma de recuperação pode ser o backup. Então, caso ele não esteja totalmente funcional, pode haver um prejuízo incalculável, inclusive encerrando as operações.
Falta de controle sobre atualizações
A falta de
gerenciamento de patches é outro problema comum que é de responsabilidade dos prestadores de serviço de TI. Essa é uma porta de entrada muito utilizada pelos cibercriminosos, que se valem da falta de atualização para explorar vulnerabilidades já eliminadas pelos fabricantes de software.
Contudo, nem todos os prestadores de serviços de TI mantêm os clientes atualizados, o que gera riscos para a integridade de dados. Sempre que uma atualização é lançada, a utilização dessa falha pelos criminosos aumenta muito, buscando atingir todos aqueles que não realizaram as atualizações.
Um dos principais exemplos é o ransomware WannaCry, que se valia de uma brecha no Windows Server 2003. Mesmo que tenha sido corrigido, a falta de atualização fez com que esse vírus tenha sido um dos mais propagados até hoje na rede.
Como aprimorar a segurança da informação na empresa?
Para as empresas se protegerem, não basta apenas utilizar boas práticas, é preciso garantir que não existam vulnerabilidades por meio de ações planejadas. Na sequência, alguns dos principais pontos a serem observados na hora de prestar serviços de TI, visando assegurar a proteção de dados.
Ficar de olho nas novidades do mercado
A tecnologia não para, por isso é preciso acompanhar as últimas novidades não apenas em tecnologia de proteção, mas também sobre quais são as tendências em invasão e quais são as técnicas que estão surgindo entre os hackers.
Com novas ferramentas surgem também novas brechas e os cibercriminosos estão sempre de olho nos lançamentos de tecnologias e testando novas formas de invasão de sistemas em busca de falhas que possam ser utilizadas.
Manter tudo atualizado
Os hackers se utilizam muito de falhas de atualização em softwares e sistemas operacionais, o que demanda um controle eficaz sobre as rotinas de atualização. Em vista disso, é indispensável acompanhar os fornecedores, a fim de manter os
softwares atualizados, sendo também preciso analisar o impacto de tais mudanças no negócio.
Criar políticas de segurança
Cada um dos colaboradores da empresa deve ser um agente de segurança da informação. Para tanto, é preciso que sejam criadas diretrizes claras de proteção e responsabilidade ao lidar com os dados da organização.
É essencial criar normas de conduta a serem seguidas por todos os colaboradores e registrá-las em uma documentação de fácil leitura e com acesso a todos. Dessa forma, diminui-se o risco de falhas e vazamentos e inibe-se o uso de técnicas de phishing e de engenharia social, por exemplo.
Estabelecer controle de acesso
A informação deve ser compartimentada, sendo que o acesso só deve ser liberado aos colaboradores que, devido às atribuições dentro da organização, têm interesse direto em um determinado dado, excluindo-se o restante.
Muitas vezes, a perda de informações se deve a ações inadequadas ou equivocadas de usuários que não deviam ter acesso àquele dado. Ao estabelecer um controle por meio de autenticação de usuário e senha, elimina-se esse problema.
Bloquear ações indevidas
O uso pessoal da infraestrutura de rede de uma empresa pode ser um problema de segurança, uma vez que o usuário navega por redes sociais e utiliza seu e-mail no ambiente da organização. Nesse contexto, o clique em um link suspeito pode gerar riscos.
Determinadas ações podem ser bloqueadas, assim como a navegação em alguns sites que sejam conhecidos por infectar máquinas com vírus. Com isso, evita-se o roubo de informação e a contaminação das máquinas do cliente.
Oferecer treinamentos
Apenas estabelecer uma política de segurança pode não ser o bastante em alguns casos, sendo necessário oferecer treinamentos completos aos colaboradores, visando evitar falhas e vazamentos de dados.
Em circunstâncias nas quais os funcionários não estão bem familiarizados com a tecnologia, ações como essa podem ter um efeito melhor na proteção das informações, pois conseguem mostrar, na prática, como agir nas mais variadas situações. Dentro desse treinamento, já se pode demonstrar por que a navegação em redes sociais e e-mail pessoal pode acabar gerando riscos para a empresa.
Investir em ferramentas de monitoramento
É preciso monitorar constantemente as atividades realizadas, de modo a garantir que nenhuma falha ou vulnerabilidade esteja ocorrendo.
Uma das formas de garantir uma visão macro ao mesmo tempo em que se minimiza a necessidade de deslocamento é por meio do uso de uma ferramenta de monitoramento, que permite controlar, de maneira remota, várias questões dentro da infraestrutura de TI.
Criar uma rotina de backup funcional
O backup é a última saída em caso de perda de dados.
O ideal é seguir uma regra básica: três cópias, no mínimo dois locais diferentes e dois tipos de armazenamento para garantir a disponibilidade no caso de necessidade. Além disso, é preciso manter uma rotina de testes de recuperação, para garantir que as cópias estão sendo criadas sem problemas e, caso sejam necessárias, poderão suprir a demanda.
Website:
http://www.addee.com.br
