A segurança da informação é uma prioridade para sua área de TI ou você não se preocupa com os dados valiosos do seu negócio?
Toda a empresa que está online, está sob constante ameaça de vírus de computador e hackers. Um novo vírus de computador surge a cada três segundos. É o que aponta os dados da G Data Security.
Chegou o momento de conhecer quais são os principais pilares da segurança da informação na área de TI. Assim, você entenderá a importância de investir nas ações que vão evitar problemas graves para o seu negócio.
Esse artigo contou com as contribuições dos Supporters, Gustavo Souza e Edvaldo Araújo, para ser escrito.
O que é a segurança da informação?
Segurança da informação diz respeito à proteção de dados importantes de uma determinada organização ou pessoa, ou seja, suas informações.
Definimos como informação todo dado ou conteúdo que tenha valor para a entidade, seja uma empresa, pessoa, governo, etc.
As prioridades básicas da segurança da informação são:
- Confidencialidade;
- Integridade;
- Disponibilidade.
Inclusive, todo o conceito de segurança da Informação foi padronizado pela norma ISO/IEC 17799:2005.
Além disso, a norma técnica de segurança da informação que vigora atualmente é: ABNT NBR ISO/IEC 27002:2013.
O que faz parte da segurança da informação?
Todos os ativos da empresa estão envolvidos de alguma forma nesse contexto. Computadores, redes, softwares, hardwares e, até mesmo, os colaboradores.
Cada um deles tem um papel no que diz respeito à segurança.
Os computadores
Os computadores são o principal meio de manipulação de informações nas empresas. É através deles que as informações são criadas, modificadas, armazenadas, etc.
Dessa forma, faz-se necessário que este item esteja bem protegido de ameaças. Para tanto podem ser utilizados softwares e hardwares específicos.
Os softwares
Entre os softwares que compõe a segurança da informação os principais são:
- Antivírus;
- Antispywares;
- Antimalwares;
- Firewall;
- Proxy.
De forma genérica, eles servem para filtrar os conteúdos e identificar possíveis ameaças à segurança.
Esses recursos impedem que essas ameaças explorem alguma vulnerabilidade, concretizando um ataque.
Os hardwares
Quando se trata de hardwares, o firewall é principal aliado na segurança da informação.
O firewall pode existir tanto na forma de software, quanto na de hardware, ambos com objetivos similares.
Porém, o firewall como hardware dedicado oferece um conjunto de funcionalidades específicas, que permitem um melhor gerenciamento.
Além disso, a capacidade de processamento do hardware é superior a do software.
Os colaboradores
Entre os colaboradores, é necessário que todos estejam cientes das normas de segurança, para que não se tornem um ponto de ataque.
Isso porque, caso uma só pessoa viole as regras, ela pode abrir uma brecha na segurança e comprometer toda a rede.
Existem também os profissionais envolvidos diretamente na execução e gerenciamento das atividades e rotinas de segurança. Sejam eles contratados pela empresa ou parceiros terceirizados.
Analistas e Engenheiros de Segurança que elaboram e planejam as melhores práticas de segurança para a organização. Os Técnicos em Segurança, que implantam e executam as ações planejadas.
Também não podemos esquecer os Gestores, que devem se encarregar de disseminar estas práticas na empresa, a fim de que elas sejam cumpridas fielmente.
Os pilares da segurança da informação
Tradicionalmente, a segurança da informação era composta por três pilares principais, conhecidos pela sigla CID, são eles: confidencialidade, integridade e disponibilidade.
Porém, ao longo dos anos, foram incorporados mais três itens a essa lista: autenticidade, Irretratabilidade (ou não repúdio) e conformidade.
Sendo assim, agora podemos dizer que a segurança da informação conta com seis pilares principais. Vamos entender o papel de cada um deles:
Confidencialidade
Esse item diz respeito a todas as ações que visam proteger as informações, garantido que elas trafeguem de forma sigilosa.
Para isso, são adotadas diversas práticas, que incluem, por exemplo, a criptografia de dados.
Além disso, a confidencialidade compreende também as restrições de quem pode acessar determinados dados.
Integridade
Aqui o importante será ter certeza de que as informações não sofram nenhuma modificação sem a devida autorização.
É preciso assegurar que as informações não sejam alteradas durante seu tráfego, armazenamento ou processamento, ou seja, que elas permaneçam íntegras.
Esse pilar da segurança da informação garante, por exemplo, que os destinatários recebam os dados tais quais eles foram enviados.
Disponibilidade
Esse pilar refere-se à característica da informação estar disponível ao usuário, no momento em que ele precisar dela.
Softwares, hardwares, dados e conexões devem ser oferecidos aos usuários, para que eles tenham acesso às informações.
Claro, respeitando as regras de confidencialidade, estabelecidas pela área de segurança da informação.
Autenticidade
A fim de garantir que as informações sejam provenientes de uma fonte confiável foi estabelecido o pilar de autenticidade.
Para isso, é preciso manter um registro do autor de determinada informação, a fim de atestar sua veracidade.
Irretratabilidade (ou não repúdio)
Para impedir que algum usuário negue a autoria de determinada informação, garantindo assim a sua autenticidade, foi criado esse pilar.
Assim, nem autor ou receptor poderão contestar qualquer transação de dados realizada por eles.
Conformidade
A segurança da informação também deve assegurar que seus processos obedeçam as leis e normas regulamentadas.
Por conta disso, foi também estabelecido o pilar da conformidade, garantindo que sejam seguidos os devidos protocolos, dentro do setor.
As atividades da área de segurança da informação.
As atribuições dos profissionais de segurança da informação envolvem muitos fatores.
A começar pela Instalação e configuração das soluções de segurança, tais como: antivírus, firewall, antimalware, antispyware, antiramsonware e etc.
Tudo isso a fim de filtrar os conteúdos que serão executados nas estações de trabalho, protegendo as informações contra roubo, alterações e destruição.
Somado a isso, entra também o constante monitoramento das redes de dados, a fim de evitar ou minimizar os danos causados por ataques.
A segurança da informação deve estar sempre atenta às falhas em sistemas de terceiros, que venham a serem descobertas, para informar aos responsáveis.
Bem como estar atenta às falhas divulgadas nos meios competentes, para aplicar as correções fornecidas pelos desenvolvedores dos sistemas.
Estabelecer políticas e normas, que devem ser seguidas pelos usuários, a fim de garantir o bom uso dos recursos da organização também é responsabilidade dessa área.
Outra ação importante é a definição das políticas de acesso aos dados, de acordo com o nível hierárquico ou por departamento.
Ainda relacionado às políticas e normas, o bloqueio de sites, sistemas e softwares se faz necessário, em alguns casos.
Claro, desde que sejam considerados perigosos ou não estejam de acordo com as políticas definidas pela área.
Por que priorizar a segurança da informação
Em 2017 empresas de todo mundo foram vítimas de ramsonwares que desestabilizaram o seu ambiente.
Os ataques dos vírus WannaCry e Bad Rabbit ganharam as manchetes do jornal e assustaram usuários e profissionais de TI.
Entretanto, mesmo diante esse cenário grave, apenas 51% das empresas aumentaram os seus investimentos em segurança da informação, no ano passado.
Foi o que revelou uma pesquisa realizada pela empresa Trend Micro, com organizações em diferentes países.
A segurança da informação deve ser sempre colocada entre as prioridades da sua área de TI ou o seu negócio correrá perigo.
As vantagens da segurança da informação
A informação é o bem mais valioso de uma empresa. Desta forma, a sua exposição pode levar uma organização a falência, dependendo do caso.
A perda de credibilidade e de vantagem competitiva são algumas das consequências do vazamento de informações para uma empresa.
Sendo assim, é essencial garantir que os projetos, os dados de clientes e fornecedores estejam todos seguros.
Caso contrário, a empresa pode acabar tendo uma série de problemas financeiros, jurídicos e de branding no mercado.
O investimento em segurança da informação proporciona a confiança, que é tão essencial na manutenção de uma boa relação comercial.