Nos últimos meses, o tema Segurança da Informação veio fortemente à tona em diversos aspectos, seja pelo progresso e publicação da Lei Geral de Proteção de Dados Pessoais (LGPD) ou pelas frequentes e inúmeras exposições de dados organizacionais, de empresas privadas e governamentais. No geral, a grande maioria das pessoas têm dúvidas ao se deparar com notícias sobre este tema, e muitas vezes podem pensar que é algo desconhecido, mas o fato é que essa prática vem sendo ignorada durante anos, especialmente no Brasil.
Afinal, o que é Segurança da Informação?
Segurança da informação é a prática de proteger as informações consideradas valiosas para indivíduos e organizações, considerando processos e soluções tecnológicas que sejam capazes de mitigar ao máximo as possíveis brechas encontradas no ambiente organizacional. Essa segurança é construída a partir de três principais pilares: Confidencialidade, Integridade e Disponibilidade.
Confidencialidade é a prática de manter as informações acessíveis somente para pessoas autorizadas, ou seja, cada indivíduo deve ter acesso somente às informações que são parte de suas responsabilidades na rotina de trabalho. Trazendo para uma linguagem menos técnica, uma boa associação é pensar no objetivo das senhas em telefones celulares, para garantir que apenas você tenha acesso ao conteúdo disponível.
Integridade é a prática de manter as informações confiáveis, garantindo que elas estejam corretas e não sofram alterações não autorizadas no percurso entre origem e destino. Bons exemplos para esse pilar são cartas abertas por pessoas que não são as destinatárias originais, ou notas fiscais adulteradas.
Disponibilidade é a prática de manter as informações sempre acessíveis para as pessoas autorizadas, conforme falamos no primeiro pilar. Um exemplo para esse pilar é a impossibilidade de acesso a sites ou sistemas, que muitas vezes impedem uma consulta a uma informação legítima.
Estes pilares devem conduzir o desenvolvimento de uma cultura organizacional relacionada à Segurança da Informação, e nesse aspecto é muito importante que exista um engajamento de todos os colaboradores da organização, principalmente da alta direção, para apoiar as decisões acerca das melhores práticas de segurança da informação. O entendimento de que a segurança faz parte do negócio e o ajuda a se desenvolver e criar novas ambições é fundamental para que os erros sejam minimizados, pois os principais equívocos vistos com relação ao tema são justamente falta de engajamento de diretorias e gestores, falta de estratégias, equipes e investimentos adequados, além da negligência sobre governança de segurança da informação e gerenciamento/mitigação de riscos. Quando falamos sobre todos esses aspectos, é fundamental frisar que a segurança deve ser planejada e desenvolvida com abordagem nos três pilares que compõem uma organização: Pessoas, Processos e Tecnologia.
Pessoas precisam de treinamentos relacionados ao tema, com o intuito de criar uma conscientização sobre como a segurança faz parte da rotina diária de todos os colaboradores, independente da área em que atuam.
Processos precisam ser bem definidos e formalizados, com o intuito de padronizar ações relacionadas à segurança das informações e o fluxo de trabalho nos mais diversos casos, desde contratações de colaboradores ou aquisição de novas tecnologias até respostas a incidentes cibernéticos.
Tecnologia é o pilar onde estão localizadas as soluções tecnológicas, como antivírus e firewall, e nesse quesito é fundamental que a cultura organizacional e a maturidade dos outros dois pilares sejam entendidos. Dessa forma, essas soluções podem ser adquiridas e posicionadas estrategicamente, de acordo com a necessidade da organização e de seu respectivo negócio.
Por muitos desses aspectos, o tema segurança da informação (ou a falta dela) ficou tão evidente especialmente no período de pandemia devido ao COVID-19. A maioria das organizações não estava preparada para uma mudança tão radical e iminente na cultura/rotina de trabalho, vendo os colaboradores em home office com menos restrições de acessos e mais suscetíveis a ataques ou golpes cibernéticos, como phishing por exemplo.
Conhecendo os pontos fracos e fortes
A segurança da informação é uma aliada do negócio e entendê-la de forma diferente pode ser prejudicial em vários aspectos, independentemente do tamanho da organização e de sua área de atuação, pois a partir desta compreensão é que a estratégia para aplicá-la será definida e a cultura organizacional que citamos anteriormente será desenvolvida e fará total diferença com o passar do tempo.
A estratégia utilizada pode variar de acordo com o negócio das organizações, mas algumas situações são importantíssimas e servem como base para essas estratégias, como conhecer os pontos fortes e fracos nos três pilares citados (Pessoas, Processos e Tecnologia). Esse conhecimento é fundamental para auxiliar os responsáveis na tomada de decisões para ações a curto, médio e longo prazos, uma vez que não é possível proteger algo que não conhecemos. Uma boa forma de aumentar este conhecimento é através da realização de avaliações internas e externas do ambiente, baseadas em frameworks de segurança reconhecidos internacionalmente como CIS Controls ou NIST e normas como a ISO 27001. A utilização dessas linhas de base garante que a organização terá uma ideia sobre sua situação atual em relação a segurança de suas informações, além de um direcionamento para decisões em áreas que exijam maior atenção, no caso de pontos considerados fracos, ou que necessitem apenas de pequenos ajustes, no caso de pontos considerados fortes, sempre de acordo com a respectiva necessidade do negócio.
É importante frisar que uma estratégia passa pelo conhecimento e gerenciamento dos riscos que o negócio possui e para quais ações, preventivas ou corretivas, serão tomadas. Não é possível eliminar todos os riscos, mas para muitos, as estratégias envolvem mitigação (redução), transferência (geralmente para um terceiro) e aceitação, que ocorre quando há um entendimento que os custos operacionais e financeiros para evitar ou reduzir o risco são maiores do que a probabilidade de um risco se concretizar e suas respectivas consequências, ou seja, a organização assume o risco e não realiza medidas relacionadas a ele.
Operacionalizando a Segurança da Informação
Após a definição da cultura organizacional e da estratégia a ser utilizada com relação a Segurança da Informação, será necessário traçar o planejamento para colocar em prática aquilo que foi definido por teoria até este momento, isto é, realizar levantamentos financeiros sobre investimentos relacionados a segurança em pessoas, como treinamentos e contratação de equipe especializada; processos, como desenvolvimento e implementação de políticas de segurança da informação; e tecnologias, com aquisição de soluções capazes de contribuir para a proteção da organização como um todo e/ou na estruturação dos demais pilares citados. É importante que a organização tenha consciência do retorno sobre o investimento (em inglês Return On Investment ou ROI) que a Segurança da Informação traz, mas que isso, muitas vezes não é quantificável, pois existem muitas ameaças que podem não se consolidar, entretanto, observando os riscos e suas respectivas probabilidades é preciso entender que basta apenas um deles se concretizar para causar danos catastróficos ao negócio, seja no âmbito legal, financeiro ou à reputação da organização, podendo inclusive reunir estes três aspectos. Em outras palavras, é importante ter a consciência de que as informações que são cruciais para o negócio (e muitas vezes sigilosas) podem estar vulneráveis em sistemas, processos ou mesmo em pessoas, no caso de colaboradores mal treinados, e que existem diversas ameaças esperando apenas um descuido ou brecha para terem a oportunidade de roubar dados valiosos e, consequentemente, chantagear ou expor grandes organizações, em troca de rios de dinheiro ou simplesmente por questões ideológicas.
Conclusão
Neste artigo, buscamos trazer elementos para contribuir com um entendimento básico sobre Segurança da Informação, que muitas vezes é esquecido pela grande maioria das organizações e suas respectivas diretorias. É preciso entender que não há forma de garantir total segurança das informações, mas que o entendimento de que ela é parte crucial e deve estar devidamente alinhada com o negócio faz com que a organização se torne mais forte e confiante em suas atuações. O custo para elevar o nível de segurança é diretamente proporcional ao custo de investimento nos três pilares citados, e por isso, os profissionais responsáveis precisam balancear de forma correta os controles de segurança, fortalecendo os pontos de maior risco e terceirizando os pontos de menor risco para a organização.
Comments