A importância da segurança da informação em um negócio e como garanti-la

A segurança da informação é formada por três pilares: confidencialidade, integridade e disponibilidade. Enquanto as duas primeiras condicionam a garantia das características iniciais de um dado, a última permite que ele esteja acessível a quem compete a sua visualização.

Apesar disso, é iminente a preocupação com a manutenção dessas condições: muitas ameaças surgem diariamente e de forma disruptiva e podem comprometer empresas, mídias e governos.

Preconizando a relevância da proteção cibernética para o setor de TI, propomos, neste artigo, melhores práticas na gestão da segurança da informação em âmbito organizacional. Confira!

Qual a importância da tecnologia na gestão de riscos?

A PwC (PricewaterhouseCoopers) divulgou, em sua Pesquisa Global de Segurança da Informação 2018 (GSISS 2018), que o uso de sistemas e ferramentas de autenticação avançada aumentou a confiabilidade junto aos clientes e parceiros de negócios em 50% das empresas entrevistadas.

Em relação à privacidade, gestores de 48% dessas mesmas empresas afirmaram ter reduzido o número de fraudes em seus sistemas, enquanto 46% almejam aumentar imediatamente o investimento em ferramentas inovadoras para ajudar na segurança da informação.

Por meio de melhorias em tecnologias de autenticação — sistemas biométricos, de assinatura digital, tokens, softwares e de criptografia, por exemplo, empresas e o setor público podem construir redes internas e de conexão com a Internet mais confiáveis.

A Inteligência Artificial (IA) também é aplicada na descoberta de fraudes, ameaças e atividades ilícitas em data centers, além de ajudar no processamento de dados com a delimitação de perfis perigosos e o mapeamento da ocorrência de invasões.

Mas, ainda que o uso de IA favoreça a cibersegurança, também pode aumentar o nível de insegurança por meio da criação de novas ameaças, cada vez mais disruptivas.

A Darktrace identificou em 2018 na Índia, um caso de ataque cibernético com IA: robôs imitavam padrões de comportamento humanos e se adaptavam a diferentes situações para criar cenários perigosos à segurança de dados.

Atualmente, um robô é capaz de reconhecer imediatamente e adaptar o estilo de escrita em um e-mail, para aumentar a eficácia de ataques de phishing, ou alterar o tom de voz em mensagens instantâneas para se tornar mais familiar e ter sua entrada facilitada no sistema pretendido.

O surgimento de ameaças cada vez mais avançadas atesta a importância de acompanhar evoluções no setor de segurança de TI. Assim, é possível mitigá-las em tempo hábil, antes que suas consequências sejam sentidas por toda a organização.

Existe uma legislação que regula a segurança de dados?

O Regulamento Geral de Proteção de Dados (GDPR — General Data Protection Regulation) harmonizou as leis de privacidade de dados na União Europeia.

No Brasil, temos a LGPD — Lei Geral de Proteção de Dados. Ela foi homologada em 2018 para entrar em vigor em fevereiro de 2020 (período para adaptação das empresas), a LGPD também complementa o Marco Civil da Internet e resoluções como do BACEN (Nº 4.658, de 26 de abril de 2018).

Quando aplicada, estipulará princípios para o tratamento de dados pessoais que englobam finalidade, qualidade, segurança, responsabilização e prestação de contas, com sanções que poderão chegar a 2% do faturamento bruto da empresa (teto de cinquenta milhões de reais) por infração.

Quais impactos da má gestão da segurança da informação?

A maior consequência é a vulnerabilidade que se instaura em toda a rede corporativa. É a porta aberta para a ocorrência de um ataque cibernético (roubo e sequestro de informações), exposição de dados de terceiros e consequências irremediáveis para a credibilidade da empresa.

Além do tempo que se perde para remediar uma situação que poderia ter sido prevista e prevenida, o chamado "custo de oportunidade", com a interrupção temporária do negócio, é o primeiro efeito da indisponibilidade dos sistemas afetados.

É o capital que deixa de ser alocado em ações estratégicas, para pagar custas processuais e despesas advocatícias com processos judiciais instaurados pelos principais afetados, gastos para a recuperação de bancos de dados corrompidos ou para obter novamente o uso de dados sequestrados.

Os danos causados a terceiros são ainda mais graves. A responsabilidade civil da empresa, exigível ainda mais com a implementação da LGPD, obriga a reparação de danos provocados pelo vazamento de dados e o cumprimento de requisitos legais em todas as circunstâncias, para evitar processos e o pagamento de indenizações.

Como instaurar uma política de segurança da informação em âmbito corporativo?

Segundo dados do GSISS 2018 da PwC, 44% dos executivos entrevistados apontaram falta de informação acerca de estratégias de governança no trato de dados e mitigação de riscos.

Existe uma preocupação eminente em âmbito corporativo para o fortalecimento da política de segurança de dados em todos os níveis — desde a sua coleta, transmissão, processamento, armazenamento e uso.

É preciso mapear a rede e os ativos de TI e, com base nas vulnerabilidades identificadas, inclusive em processos, estabelecer os níveis de ameaças possíveis e tendências a intrusões para desenvolver um workflow de combate a incidentes.

Todas essas ações também orientam a instauração de uma Política de Segurança da Informação (PSI):

controle de acesso dos dados;
backups constantes;
criptografia dos documentos;
ferramentas de endpoint;
procedimentos de descarte de ferramentas e equipamentos obsoletos ou em desuso;
monitoramento do acesso aos espaços físicos por pessoas desconhecidas (prestadores de serviço, entregadores, etc.);
procedimento para atualização de softwares e licenças;
criação de um plano de contingência.

Além da adoção de soluções que mitiguem as ameaças, também é preciso promover a conscientização dos colaboradores no ambiente organizacional, pois, são o elo mais fraco da segurança da informação.

Como garantir a segurança em dispositivos móveis utilizados na rede corporativa?

Todos os dispositivos móveis vêm de fábrica com elementos básicos de proteção. Para reforçar a camada de segurança, os usuários devem controlar efetivamente as permissões dos aplicativos baixados, usar soluções de mitigação de vulnerabilidades, como firewall e solicitar a remoção remota dos dados, em caso de perda ou roubo do aparelho.

O comprometimento da equipe de trabalho também é essencial nesse gerenciamento. Por isso, é importante reuni-los para apresentar pesquisas que atestem a importância dessa mobilização para a segurança da informação e exigir que os colaboradores:

evitem acesso em redes abertas (internet pública) desconhecidas;
utilizem filtros de proteção;
não deixem logins e senhas expostos;
contactem a empresa imediatamente em caso de roubo ou perda, para o bloqueio do aparelho.

Os dispositivos que integram o portfólio da empresa e os aparelhos usados em políticas como BYOD (Bring Your Own Device) devem ser cadastrados. Também existem recursos que liberam acesso à Internet somente mediante preenchimento de dados pessoais, como nome, identidade e CPF.

Além de usar as informações cadastradas para criar estratégias mais lucrativas e limitar o uso dos dispositivos que acessam a rede corporativa, é possível identificar padrões de comportamento anormais, que poderiam comprometer a segurança da informação, para o bloqueio imediato da conexão.

O avanço da conectividade dos usuários amplia a eficiência e a capacidade de crescimento das empresas, mas também torna as informações digitais vulneráveis.

O poder disruptivo de ataques cibernéticos é cada vez mais evidente e reforça a necessidade de contar com uma empresa especialista em gestão de telecom, para identificar falhas que comprometam os pilares da segurança da informação nas empresas: disponibilidade, integridade e confidencialidade.

Por isso, entre em contato com a Spring Telecom e conheça nossas soluções para adequar seu negócio a essa realidade!

Para saber mais, entre em contato e agende uma conversa com nossos especialistas.