Segurança da informação: explicamos em detalhes o que você precisa garantir para a implantação na sua empresa

O volume de dados gerados pelas empresas no cenário atual exige um cuidado extra com a segurança da informação. A preocupação dos gestores é compreensível: um vazamento de informações traz prejuízos significativos para o negócio.

Esse aspecto é ainda mais relevante devido à alta conectividade. O resultado é o crescimento dos pontos de vulnerabilidade, aspectos explorados nos ataques. Diante desse contexto, é fundamental estar em constante atualização e garantir a implantação de boas práticas na sua empresa.

Esse é o assunto que abordaremos neste post. Continue lendo!

O conceito de segurança da informação

A segurança da informação consiste em ferramentas e processos que protegem informações sensíveis e evitam qualquer disrupção, modificação, inspeção e destruição dos dados. Sua finalidade é melhorar a integridade, a confidencialidade e a disponibilidade de arquivos e documentos armazenados no sistema.

Esse objetivo é alcançado por meio de ferramentas específicas, como criptografia e assinatura digital. Para entender como essa preocupação é relevante, a 20ª Pesquisa Global sobre Segurança da Informação 2017-2018, da Ernst & Young (EY), evidencia que apenas 4% dos negócios acreditam ter considerado todas as implicações dessa abordagem na estratégia atual.

Também aponta que o custo global com falhas de segurança chegará a 6 trilhões de dólares até 2021. Por sua vez, as organizações vítimas de ataques apresentam prejuízos da ordem de 3,62 milhões de dólares, além de danos à reputação. Outros dados interessantes são:

  • 59% dos entrevistados informam que o seu orçamento para proteger as informações aumentou nos 12 meses anteriores;
  • 87% destacam que precisam de um budget até 50% maior;
  • 12% têm expectativa de aumentar o orçamento do setor em mais de 25%.

Os princípios da segurança da informação

A preocupação com a segurança é uma constante entre os gestores. Dados de 2018 indicam que o total de crimes cibernéticos aumentou 21% no Brasil entre os 12 meses imediatamente anteriores. Para evitar essa situação, torna-se indispensável embasar as ações em alguns princípios, que guiam a análise, o planejamento e a implantação de ferramentas e processos para preservar as informações. Veja quais são eles!

Confidencialidade

A ideia é limitar o acesso às informações para pessoas ou entidades autorizadas. A proposta é fazer com que apenas pessoas confiáveis visualizem, editem, processem e alterem os dados.

Integridade

Esse princípio visa à manutenção das características originais das informações, de acordo com o que foi estabelecido pelo seu proprietário. Está relacionado ao controle das mudanças e à preservação do ciclo de vida dos dados, isto é, à sua origem, manutenção e destruição. Por isso, visa à adoção de métodos que identificam a proteção durante o processamento ou o envio.

Disponibilidade

Esse atributo permite que as informações estejam disponíveis para as pessoas autorizadas sempre que necessário. Para isso, os acessos são revisados.

Autenticidade

Seu intuito é ter certeza de que a informação é proveniente da fonte anunciada. Assim, torna-se possível confirmar a sua originalidade e autoria.

Irretratabilidade

Esse é o não repúdio, que está relacionado à assinatura de transmissão das informações por parte do responsável, que assume o ato. Trata-se de atos que não podem ser revogados ou desfeitos.

Conformidade

O compliance é a ideia de adotar melhores práticas de segurança da informação, a fim de conquistar vantagem competitiva e fortalecer as ações implantadas.

Todos esses princípios aumentam a eficiência da proteção dos dados e precisam embasar as políticas da empresa. Mais para frente, mostraremos como fazer isso. Antes, é preciso esclarecer alguns conceitos.

A diferença entre segurança da informação, segurança de dados e segurança da TI

É comum haver confusão sobre essas três expressões, mas elas precisam ser esclarecidas. Primeiro, é necessário compreender que segurança dos dados e da informação são sinônimos. A preocupação do profissional que trabalha nessa área consiste nos princípios já citados.

Isso significa que a busca é por uma proteção ampla, que vai além da cibernética. É assim que a organização se mantém preservada em qualquer situação. Por isso, esse modelo de segurança abrange:

  • identificação e correção de vulnerabilidades nos ativos de TI;
  • prevenção e combate aos ataques virtuais;
  • proteção das informações armazenadas;
  • definição de diretrizes para a gestão os dados;
  • gerenciamento do acesso dos usuários.

Por sua vez, a segurança de TI foca a administração da infraestrutura tecnológica, inclusive de data centers, provedores, bancos de dados, hardwares e dispositivos. Por estar limitada, a sua abrangência é menor que a da proteção das informações.

A segurança da informação, portanto, vai além do âmbito digital, mas é fortalecida pela modalidade de TI. Dessa maneira, é mais fácil manter a integridade dos dados e adotar as melhores práticas para os ativos tecnológicos, conforme veremos abaixo.

As melhores formas de garantir a segurança da informação

A pesquisa da EY mostrou que 75% dos gestores de TI acreditam que as suas empresas têm maturidade de baixa a moderada na identificação de vulnerabilidades. Além disso, 35% têm políticas eventuais ou inexistentes para proteção de dados.

Esses dados evidenciam que as companhias nem sempre estão preparadas para adotar as melhores práticas de segurança da informação. O mais preocupante é que os ataques vêm crescendo desde 2017 — e parecem aumentar com o tempo.

Segundo dados referentes aos primeiros seis meses de 2018, a quantidade de ataques quase dobrou em comparação com o mesmo período de 2017. Foram 120,7 milhões, uma elevação de 95,9%. O Brasil é o alvo de 55% das invasões de ransomware na América Latina, sendo que as empresas são o foco principal.

Então, como ter certeza de que a sua empresa está protegida? Confira!

Definição de uma política de segurança da informação

Um dos erros de segurança da informação é ignorar a definição de diretrizes, que devem ser seguidas por todos da organização. A política estabelecida precisa estar alinhada à diretoria, a fim de que o orçamento seja encarado como um investimento. Ela também deve ser compartilhada com os colaboradores para ser executada na rotina diária.

Essa é a melhor maneira de colocar esse assunto como centro da estratégia organizacional e deixar claro que a preocupação deve ir além da TI. Por isso, precisa integrar a cultura da empresa para que todos:

  • compreendam os riscos inerentes;
  • criem a inovação necessária para limitá-los;
  • tenham resiliência para recuperar as operações de modo eficiente no caso de falhas de segurança.

Na prática, isso exige que as organizações tenham uma visão integrada, que estabeleça ações de governança. Ao fazer isso, os direcionadores do negócio são compreendidos, como a definição de papéis e responsabilidades.

Para criar uma política de segurança da informação eficiente, é necessário definir:

  • responsabilidades dos colaboradores: especifica os limites de uso e as consequências da má utilização dos recursos de TI. Podem ser inseridas regras para implantação do Bring Your Own Device (BYOD), recomendações para preservar o maquinário e informações sobre sites de acesso proibido;
  • responsabilidades da TI: indica o que os profissionais da área devem fazer para realizarem ações básicas, por exemplo, configuração de equipamentos, instalação de softwares e adoção dos controles necessários;
  • informações sobre a logística de implantação da TI: relaciona todos os aspectos referentes à infraestrutura de TI, como gestão de aplicações, refrigeração de data centers, organização dos ativos da rede, indicações de procedimentos e mais;
  • tecnologias contra ataques virtuais: especifica os mecanismos de defesa. Há várias opções, a exemplo do Big Data Analytics, criptografia, firewall, backups, controles de acesso e monitoramento de rede.

Controle da segurança da informação

Os dois níveis de controle existentes são o físico e o lógico. O primeiro é aquele que impõe barreiras ao contato ou acesso direto à infraestrutura ou à informação. Alguns exemplos são: paredes, portas, blindagem, trancas e vigias. Elas preservam os ativos tangíveis, como os data centers, e evitam que pessoas não autorizadas entrem no local.

Os controles lógicos, por outro lado, são obstáculos virtuais que impedem ou limitam o acesso. Entre os principais estão:

  • criptografia: adota algoritmos e esquemas matemáticos para codificar os dados e deixá-los legíveis somente para quem tem a chave de acesso;
  • assinatura digital: é um conjunto de dados criptografados reunidos em um documento digital. Preserva a integridade do arquivo, mas não a sua confidencialidade;
  • honeypot: é um software que detecta e impede ações de spammers, crackers e outros usuários sem autorização. Sua função é enganar o invasor.

Outras opções são: palavras-chave, biometria, firewalls, smart cards e outras ferramentas. Ademais, é fundamental administrar as contas de usuário. Elas devem ser configuradas de acordo com o tipo:

  • administrador, também chamado de admin ou root: controla instalações, contas e computador;
  • padrão, ou standard, limitada ou limited: é a de uso comum;
  • convidado, ou guest: abrange usuários eventuais para acessar a internet e utilizar programas já instalados.

Perceba que todas essas ações fazem parte da política de controle de acesso. Ela determina o que os usuários podem fazer em relação a dados e sistemas de informação.

A falta de controles de qualidade é, inclusive, um dos motivos que limitam o crescimento da adoção dos dispositivos de Internet das Coisas (IoT), sendo responsável por 30%. É o que aponta o levantamento da EY, já mencionado.

Auxílio da tecnologia

A evolução tecnológica contribui para melhorar a segurança da informação, desde que enquadrada na estratégia do negócio. No entanto, essa é uma alternativa para os hackers explorarem as vulnerabilidades.

A IoT, por exemplo, evidencia as tecnologias operacionais dos negócios. Por meio da invasão a esses sistemas, é possível controlá-los ou até fechá-los e bloquear o acesso total dos usuários autorizados.

Esses são os chamados ataques emergentes, que se concentram em vulnerabilidades oferecidas pelas novas tecnologias e novos vetores de ataque. Ao mesmo tempo, existem outros recursos que favorecem a proteção dos dados:

  • machine learning: protege a memória e previne contra exploit, isto é, evita a entrada das ameaças mais comuns aos sistemas. Utiliza modelos matemáticos para impedir a entrada de malwares;
  • inteligência artificial (IA): combate o grande número de variedades de ameaças pela integração com outras ferramentas de controle e segurança. A proposta é encontrar padrões e soluções, como uma rota melhor para determinado local, a partir da combinação de biometria e perfis dos usuários. Por isso, 12% das organizações já implantam análises de segurança baseadas nessa tecnologia;
  • tecnologia deception: aplica artifícios para impedir ou acabar com os processos cognitivos do invasor. As ferramentas de automação são interrompidas, as atividades são atrasadas e as falhas se tornam mais lentas. É aplicável em redes, aplicativos, dados e endpoints. Desse modo, 10% das organizações já utilizam essa tática contra ataques.

Ainda existem outras opções — por isso, é fundamental estar atualizado. A seguir, listamos outras boas práticas que contribuem para a segurança corporativa básica.

3 boas práticas para a segurança básica

A segurança inicia com ações simples, que precisam ser colocadas em prática para proteger s sua loja virtual ou o site da sua empresa. A proteção da rede também é indispensável para os sistemas utilizados, como os sistemas de gestão (ERPs).

Por reunirem uma série de informações relevantes do negócio, os dados sensíveis precisam estar bem protegidos para evitar prejuízos à organização. Nesse escopo, há três principais recomendações. Veja todas elas!

1. Atualização

Os softwares e hardwares precisam se manter atualizados para evitar o vazamento ou a perda de informações. As fabricantes costumam fazer o update sempre que necessário. Esses deploys servem para agregar mais funcionalidades e corrigir erros e vulnerabilidades.

2. Senhas

Esses recursos servem para limitar os acessos de pessoas não autorizadas. Para que esse intuito seja cumprido, crie senhas fortes, que combinem diferentes caracteres, como letras maiúsculas e minúsculas, números, letras e símbolos (como # ou @).

Caso algum técnico acesse o equipamento de forma temporária, troque a senha logo em seguida. Além disso, é recomendado fazer essa substituição a cada 45 dias.

3. Backup

As cópias de segurança devem ser feitas com regularidade. Mais que um sistema de proteção, o backup serve para evitar a perda de informações devido a uma invasão, infecção por código malicioso ou defeitos no hardware.

Tenha em mente que o ideal é ter, pelo menos, 10 versões anteriores e uma atual. Para isso, o procedimento precisa ser automatizado e realizado diária, mensal ou semanalmente, a depender da necessidade.

Além dessas três indicações, lembre-se sempre de contar com bons softwares de segurança, que centralizem as suas ações e controlem a navegação e a rede. O ideal é que sejam pagos, já que essas opções oferecem um nível de proteção maior.

Também vale a pena contratar soluções de empresas conhecidas e referências no mercado. Por exemplo: ao procurar o que é o ERP e qual é a melhor opção, analise a experiência da fornecedora do sistema para atender às suas demandas internas e a segurança máxima para as informações do negócio a serem armazenadas.

Os principais problemas enfrentados pelas empresas

Apesar de a segurança da informação ser o foco de muitas empresas, nem sempre há padrões que respondam aos ataques cibernéticos de maneira adequada. Para isso, é preciso adotar as novas tecnologias e contar com um plano de ação, que busque tratar as ameaças e responder a incidentes.

Quando isso não acontece, a organização enfrenta diversos problemas. Os principais estão logo a seguir.

Ignorar o planejamento

Mais que contar com sistemas de segurança, é fundamental elaborar um planejamento completo. Isso significa identificar todas as informações que precisam ser protegidas e as ações a serem tomadas para alcançar esse objetivo.

Ao adotar essa prática, a companhia reconhece a importância dos seus dados e identifica as suas vulnerabilidades lógicas e físicas. Esse conhecimento leva a uma gestão proativa dos ambientes críticos. Assim, fica mais fácil monitorar o banco de dados, por exemplo, e identificar uma alteração ou incidente.

Deixar a capacitação de lado

Tanto os profissionais de TI quanto os colaboradores das outras áreas precisam ser treinados para evitar incidentes. Quando inexistem, as pessoas deixam de se preocupar com as soluções corporativas e agem de forma inadequada. É o caso do compartilhamento de chaves de acesso, download de arquivos pouco confiáveis, aquisição de soluções SaaS (software as a service) sem ajuda da TI etc.

Menosprezar normas de proibição claras

Possivelmente, a sua organização apresenta diretrizes de proibição de acesso na rede interna. Mas elas precisam ser divulgadas para evitar problemas. O ideal é implantar uma hierarquia e níveis de acesso a documentos e informações. Esse processo é feito por meio de senhas e rastreamento para saber quem manipulou os dados e quais foram as modificações.

Todos esses problemas são ultrapassados de maneira mais fácil com a implantação do cloud computing. Totalmente baseada no modelo online, essa tecnologia aprimora a proteção dos dados. Como? É o que veremos agora em seguida.

A segurança da informação na nuvem

A principal característica da computação em nuvem é sua arquitetura e o design de soluções, que oferecem recursos de segurança e configurações que ficam sob responsabilidade do fornecedor. Isso significa que a sua empresa está menos exposta a riscos.

Os provedores também trabalham para aumentar os cuidados com as aplicações corporativas, com vistas ao atendimento das demandas organizacionais, à diminuição das vulnerabilidades e à criação de ferramentas que protejam o sistema contra invasões.

É importante destacar que a nuvem altera a estrutura tradicional de TI. Agora, boa parte das organizações depende de hardwares e softwares hospedados de maneira remota, em vez de estarem no data center local.

Ademais, a diferença entre TI e tecnologia operacional diminui e é eliminada aos poucos, devido à integração proporcionada para ambas as abordagens. Isso acontece por conta de vários motivos.

Um deles é a inexistência de restrição aos usuários em relação a limites físicos e à infraestrutura, que se torna escalável e adaptada. Na prática, a integração da TI com a tecnologia operacional gera processos completos e que melhoram a produtividade.

Para aumentar a segurança, é essencial implantar o conceito de zoneamento para identificar áreas mais vulneráveis da rede e quais contêm ativos e sistemas mais valiosos. A partir dessa compreensão, deve-se proteger esses setores como prioridade. Uma alternativa é criar bloqueios, a fim de que a convergência deixe de ser um atrativo para os hackers.

Outro detalhe importante é que a segurança da nuvem é um dos tipos de proteção dos dados. Seu foco é construir e hospedar aplicações, ao mesmo tempo em que são consumidas soluções de terceiros. Junto ao zoneamento, os processos ficam mais seguros. Isso também interfere na privacidade, abordagem da qual falaremos em seguida.

A privacidade na segurança da informação

A privacidade é outro item importante para a segurança da informação e ainda mais relevante para as companhias que terceirizam os serviços de TI. Para ter uma ideia, a preocupação com esse assunto é importante para 28% dos gestores entrevistados na pesquisa da EY.

O ideal é trabalhar a privacidade e a segurança da informação de maneira conjunta. Como? A resposta passa pelas dicas abaixo.

Respeite as informações pessoais

Os dados de colaboradores e clientes devem ser tratados com cuidado para evitar vazamentos e golpes de engenharia social, que exploram informações roubadas. Para alcançar esse objetivo, promova uma cultura de cibersegurança e conscientize todos sobre a importância da privacidade.

Analise os dados coletados

As informações desnecessárias devem ser deixadas de lado para evitar a sobrecarga. Pergunte-se sobre o objetivo de coletar e utilizar os dados e adote medidas de proteção que sejam condizentes com a política adotada.

Avalie o compartilhamento de dados

As novas legislações de proteção de dados — como o Marco Civil da Internet, no Brasil, e o General Data Protection Regulation (GDPR), da União Europeia — indicam que as informações pessoais só devem ser compartilhadas com anuência do usuário e segundo a finalidade indicada.

Gerencie usuários e controles de acessos

A segurança e a privacidade caminham de mãos dadas e exigem investimento em tecnologia. Essa questão, junto aos níveis de acesso, são as condições necessárias para estabelecer uma boa política de proteção dos dados.

Aposte na criptografia

Essa é uma das principais tecnologias para manter a privacidade dos dados e colocar em prática o compliance. É essencial adotá-la nos sistemas corporativos, no armazenamento e no compartilhamento de tráfego seguro.

Seguindo essas recomendações, a segurança dos dados será aprimorada. Mas, como já explicamos, é preciso estar atento às novidades. Por isso, vamos abordar as tendências da área a partir de agora.

As tendências para segurança da informação

A evolução constante dessa área exige o acompanhamento das novidades e a verificação das ameaças capazes de causar danos à empresa. Também é necessário conhecer as principais tendências, que apresentamos abaixo. Acompanhe!

Aposta na inteligência artificial

A grande variedade de ameaças é combatida pela IA, como destacamos antes. No entanto, também é preciso ter cuidado, porque essa tecnologia pode ser utilizada pelos hackers para fortalecerem os seus ataques. O ideal é apostar em soluções inteligentes e que visem ao machine learning para encontrarem padrões e identificarem vulnerabilidades antes de as invasões ocorrerem.

Fusão da segurança física e cibernética

A existência da IoT e a sua propagação no mercado elimina as barreiras entre esses dois vieses. A segurança física ainda está bastante atrasada em comparação com a de informação. Contudo, elas são trabalhadas como Gerenciamento de Incidentes Graves.

Substituição das senhas pela biometria

As senhas ainda são um ponto de vulnerabilidade, enquanto a biometria é muito mais segura. A expectativa é que empresas como a MasterCard exijam que os usuários utilizem esse tipo de identificação ainda em 2019.

Como você pôde perceber, a segurança da informação é um tema bastante explorado e que requer muitos debates. Por estar em evolução constante, é indispensável se manter atualizado e ler materiais completos, como este artigo. É assim que você encontra as melhores soluções para o seu negócio e se certifica de que está em dia com o compliance.

Se você realmente deseja se manter atualizado em segurança da informação, de TI e outros assuntos tecnológicos, assine a nossa newsletter. Você receberá os melhores conteúdos diretamente em seu e-mail!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *