Segurança da informação é um conjunto de práticas que visam garantir a integridade, disponibilidade e confidencialidade das informações, sejam elas virtuais ou não. Ou seja: a segurança da informação não é voltada, somente, a sistemas computacionais.
Isso significa que toda e qualquer informação ou dado gerado pela sua empresa deve ser mantido sob uma política de segurança e uma gestão de riscos, de forma a evitar vazamentos.
O ativo mais valioso de qualquer empresa, independente do porte ou do segmento, é a informação. Ã? ela que garante diferencial competitivo e faz parte da estratégia do negócio.
Ã? o caso da “fórmula secreta” da Coca-Cola, por exemplo.Â
Imagine que você tenha um método de realizar uma atividade ou desenvolver um produto, um projeto específico ou uma receita secreta: seria péssimo para os negócios se essa informação fosse compartilhada com o mercado.
Leia também: Afinal, o que é o hacking ético?
Isso porque todos poderiam fazer exatamente o mesmo produto, do mesmo jeito, você precisará buscar um novo diferencial.Â
Por isso, é fundamental que as empresas contem com mecanismos de segurança da informação, protegendo o seu bem mais precioso.Â
Para saber como fazer isso, continue conosco. Neste artigo, vamos abordar:
- Segurança da informação: definição
- Qual a importância da segurança da informação
- Três pilares da segurança da informação
- Outros princípios da segurança da informação
- Mecanismos da segurança da informação
- Riscos e ameaças à segurança da informação
- Principais causas das ameaças à segurança da informação
- Como garantir a segurança da informação em 6 passos
Boa leitura!
Segurança da informação: definição
Segurança da informação envolve uma série de metodologias que visam assegurar a confidencialidade, a integridade e a disponibilidade dos dados, sejam eles físicos ou virtuais.
Leia também: SEGURANÃ?A DA INFORMAÃ?Ã?O – Guia sobre gestão de risco em TI
Detalhada na norma técnica ABNT NBR ISO/IEC 27002:2013, atualmente em vigor. A norma oferece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação.
As normas e políticas normatizadas pela ABNT incluem a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização.Â
Para entender melhor o que é segurança da informação, vamos trazer os conceitos dos termos. Veja:Â
Conceito de segurança
Segundo o dicionário Priberam, segurança é definido como:Â
-
- Ato ou efeito de segurar.
- Qualidade do que é ou está seguro.Â
- Conjunto das ações e dos recursos utilizados para proteger algo ou alguém.
-
- O que serve para diminuir os riscos ou os perigos.
- Aquilo que serve de base ou que dá estabilidade ou apoio.
- Sentimento de força interior ou de crença em si mesmo.
- Força ou convicção nos movimentos ou nas ações.
- Certeza demonstrada.Â
- Caução.
- Pessoa cuja atividade profissional consiste em proteger pessoas, instalações ou bens, ou em controlar o acesso de pessoas a determinado local.
Temos, ainda, a definição do termo informação privilegiada, que cabe muito bem ao contexto empresarial:Â
- Conjunto de dados ou informações específicas e relevantes sobre determinada empresa, transação ou afim, que não é de conhecimento público e que pode influenciar preços de valores mobiliários ou de instrumentos financeiros.
Qual a importância da segurança da informação
Sabe a receita do bolo da sua avó, que todos tentam fazer mas ninguém acerta perfeitamente? Tem algum segredinho que ela não contou: ou um ingrediente surpresa, ou a forma de fazer, que precisa seguir rigorosamente um determinado processo.
Se na vida pessoal as pessoas já escondem informações que fazem toda a diferença no final, imagine o que acontece na vida corporativa?Â
Para quem começa um novo negócio, existe muito planejamento, projeto e sonho envolvido. Então, desenvolvem-se sistemas, produtos, formas de atendimento, personalidade e alma, para buscar um lugar ao sol no mercado já tão competitivo.Â
Tudo é informação. Desde o fornecedor que vende aquele material especial com preço negociado, passando pelo discurso estratégico do comercial até os dados financeiros e econômicos do negócio.
Por este motivo, ao vazar uma informação, a empresa pode perder seu diferencial competitivo, ou até ser impedida de desempenhar suas atividades “ depende do grau de risco que o seu negócio está correndo.
Sendo assim, a segurança da informação é fundamental para qualquer empresa, de todos os portes e segmentos, e deve considerar tanto as trocas virtuais (como e-mails) quanto físicas (como entrada de visitantes, por exemplo).Â
Três pilares da segurança da informação
A segurança da informação deve garantir três princípios básicos: confidencialidade, integridade e disponibilidade.
Esses atributos seguem normas internacionais e servem para orientar a análise, o planejamento e a implementação da segurança para cada grupo de informações que se deseja proteger.Â
Vamos explicar os três pilares da segurança da informação, um a um, abaixo.Â
Confidencialidade
A confidencialidade garante que o acesso à s informações seja realizada somente pelo proprietário da mesma. No caso de uma empresa, por exemplo, as informações confidenciais não podem ser divulgadas para pessoas fora da organização.Â
Integridade
A integridade se refere à manutenção das informações em seus formatos originais. Ou seja, que não houve manipulação dos dados, alterando-os sem conhecimento do seu proprietário.
Em caso de mudanças, a integridade é mantida através de uma gestão de mudanças, com registro do que foi alterado, data, hora e responsável.Â
Disponibilidade
A disponibilidade visa garantir que a informação esteja sempre disponível para acesso legítimo, ou seja, pelos proprietários da informação ou pessoas autorizadas por eles.
Outros princípios da segurança da informação
Além dos três pilares básicos da segurança da informação, temos, também, outros princípios que envolvem esse tipo de gestão. São eles:Â
Autenticidade
Semelhante com a integridade, a autenticidade garante que a origem da fonte é autêntica, ou seja, verdadeira e válida.
Irretratabilidade
O princípio da irretratabilidade ou não-repúdio visa impedir que um usuário negue ter criado, assinado ou distribuído um documento ou arquivo.
Conformidade
A conformidade (ou legalidade) garante que o uso da comunicação, tecnologia e demais meios de compartilhamento de informações estejam dentro das leis vigentes do país.
Privacidade
Falando em lei, a privacidade tem sido um princípio cada vez mais importante quando se fala em segurança da informação.Â
Com a LGPD, que entra em vigor neste ano, as empresas devem tomar uma série de precauções e medidas para garantir a privacidade das informações pessoais dos usuários.
Mecanismos da segurança da informação
Para garantir a segurança da informação na empresa, você pode contar com controles lógicos. Isso porque, como mencionamos, a segurança da informação não se restringe aos sistemas computacionais.
Controles lógicos
Os controles lógicos usam da tecnologia para limitar os acessos a ambientes ou arquivos, físicos ou virtuais. São exemplos:Â
- Criptografia
- Assinatura digital
- Mecanismos de checagem, como o captcha
- Controle de acesso como senhas, cartões de acesso, sistema biométrico
- Certificados digitais
- Protocolos de segurança
Riscos e ameaças à segurança da informação
Agora que você já sabe os princípios básico da segurança da informação e os principais mecanismos de garantir a segurança dos dados, vamos entender quais os riscos que uma empresa corre.
Assim, você poderá esclarecer os meios pelos quais pessoas mal intencionadas podem ter acesso a informações confidenciais do seu negócio.Â
Perda de confidencialidade
A perda de confidencialidade acontece quando alguém sem permissão tem acesso à informação.Â
Por exemplo: caso uma pessoa descubra a senha de acesso a um sistema, permitindo visualização de informações financeiras. Ou casos de invasão de e-mails ou outros ambientes de troca de informações pessoais.
Perda de integridade
Quando uma informação é acessada por alguém não autorizado e tem algum dado alterado. Por exemplo, um contrato assinado que tem informações preenchidas à mão, e sofre alteração por parte de quem acessou, sem consentimento ou conhecimento do proprietário do arquivo.
No ano de 2020, é recomendado que a data seja sempre preenchida completa (2020), e não apenas os dois últimos dígitos, como se fazia anteriormente (19).
Isso porque o número 20 representa o início da década e uma pessoal mal intencionada pode acabar completando com outro ano final, alterando a integridade do documento.Â
Perda de disponibilidade
Este risco ocorre quando a pessoa que precisa e pode acessar uma informação é impedida de fazê-lo. Acontece, por exemplo, nos casos de invasão a sistemas computacionais.
O invasor pode derrubar o sistema ou criptografar arquivos, de forma a impedir o acesso por seu proprietário. Acontecem casos, inclusive, de ser solicitado um pagamento para liberação do acesso (uma espécie de sequestro de dados, mesmo).
Leia também: O que é ransomware e como esses ataques prejudicam sua empresa.
Principais causas das ameaças à segurança da informação
Mas, como podem acontecer essas ameaças? De onde elas vêm? Ã? isso que vamos abordar agora.
Nem sempre são pessoas mal intencionadas. Existem outros fatores que podem acabar impedindo um acesso a um arquivo, ou extraviando informações importantes e estratégicas da sua empresa.
Por isso, cuide dos dados. Você não pode correr o risco de perder o histórico do seu negócio. Uma alternativa é usar sistemas com registro das informações em nuvem.Â
Fatores naturais
Os fatores naturais são aqueles como enchentes, incêndios e outros fatores provocados pela natureza. Neste caso, os arquivos e informações são perdidas em função da catástrofe.Â
Erros de hardwares e softwares
Outro problema comum são erros nos equipamentos ou sistemas utilizados pela empresa. Acontece quando não a manutenção não é feita de forma correta.
Ã? fundamental que o seu time de TI mantenha os equipamentos e softwares em dia, tanto na manutenção física quanto nas questões de atualizações. Não use programas falsificados e cuide sempre com o que você for instalar nas máquinas.
Erros humanos
Aqui sim, entra o fator humano. E pode nem ser por maldade: a pessoa pode instalar algo de forma equivocada, importar dados errados, aceitar um e-mail com vírus, entre outros.
Ou, claro, fazer algo ciente da gravidade e do risco, de forma a buscar e vazar informações de propósito.
Como garantir a segurança da informação em 6 passos
Com certeza você já entendeu que a segurança da informação, além de proteger as estratégias do seu negócio, protege o diferencial competitivo da empresa.
Então, hora de fazer mudanças internas para garantir a integridade dos dados, certo?
Separamos, abaixo, 6 dicas de como você pode implementar a segurança da informação no seu negócio, independente do porte ou do setor em que atua. Confira:
Estabeleça uma política de segurança da informação
A política de segurança é um conjunto de regras que deverão ser adotadas por todos. Nela deve constar o que pode, o que não pode, os processos para determinados acessos ou solicitações, além de responsáveis para cada área.
Neste ponto, podem entrar regras de compliance, gestão de mudanças e outros.Â
Tenha um bom controle e gestão de ativos
Como vimos, a manutenção e controle dos maquinários e sistemas é fundamental para garantir a segurança da informação.Â
O seu time de TI precisa ter o controle total sobre os ativos da empresa, impedir conexões de equipamentos não permitidos e ser capaz de identificar aqueles que necessitam de manutenções ou atualizações de sistema.Â
Deve ser a TI, também, o setor responsável por liberar ou não novos equipamentos, bem como permitir ou não o download e instalação de novos softwares.Â
Estabeleça uma política de senhas
Uma política de senhas é fundamental para garantir um nível mínimo de segurança nos acessos a e-mails, redes restritas ou sistemas.Â
Um exemplo de política de senhas é definir que ela tenha que contar números, letras minúsculas e maiúsculas e um mínimo de X caracteres.
Trabalhe com gestão de riscos
Ainda que você controle tudo e faça tudo certo, o risco ainda existirá. Então, tenha um plano de contingência.
Em caso de alguma invasão ou prejuízo de informação, como a empresa deverá lidar com a situação? Quais serão as medidas a serem tomadas? O objetivo da contingência é minimizar os efeitos do problema, e evitar novos ataques.
Faça um controle de acessos
Controle as permissões de acessos, seja em sistemas, seja em áreas físicas. Se um visitante não puder entrar em uma sala de pesquisa, desenvolvimento e inovação, por exemplo, evite que ele tenha acesso à ela.Â
Conte com um sistema para automatização das tarefas de TI
A TI é um setor essencial para auxiliar na segurança da informação, ainda que ela não seja voltada, única e exclusivamente, para os sistemas computacionais.Â
Então, invista em sistemas que permitam maior produtividade do seu time, automatizando tarefas de rotina e facilitando a identificação de falhas.Â
O sistema Milvus oferece funcionalidades que organizam a gestão de ativos, melhoram a comunicação entre departamentos para abertura de chamados, identificam equipamentos não autorizados conectados à rede, e muito mais!
Conclusão
A segurança da informação deve fazer parte do planejamento estratégico da sua empresa, já que impacta diretamente no desempenho e na manutenção do diferencial competitivo do negócio.
Para outras dicas, confira os artigos que recomendamos:Â
- Gestão de TI: O que é, benefícios e quando utilizar?
- Tudo sobre Cibersegurança: saiba como proteger a sua empresa!
- LGPD: como implementar a lei geral de proteção de dados na sua empresa
- 5 maiores erros em gestão de ativos de TI que você precisa evitar
- Entenda a importância da abertura de chamados no help desk
