Segurança da informação: saiba como proteger a sua empresa
A segurança da informação nunca foi um assunto tão importante. Vivemos em um mundo cada vez mais conectado. Hoje em dia, é comum que as pessoas utilizem a internet para trabalhar, se divertir, socializar, fazer compras e até mesmo transações bancárias. Por isso, o volume de informações sensíveis circulando na rede nunca foi tão grande.
Para se proteger da ação de indivíduos mal-intencionados, é preciso tomar cuidado com a forma como lidamos com nossos dados. A seguir, você encontra tudo que precisa saber para garantir a segurança da informação e preparar seu time de RH.
O que é segurança da informação?
De maneira bastante direta, a segurança da informação é a proteção dos dados digitais, enquanto circulam pela internet ou estão armazenados em um servidor local. O termo reúne todos os esforços para garantir um uso adequado e seguro da tecnologia.
Em sua essência, a segurança da informação trabalha para proteger o acesso aos dados sensíveis de indivíduos e organizações. Isso inclui informações internas, documentos, folha de pagamento, planejamentos e estratégias de negócios. Ainda, é preciso proteger as informações coletadas dos clientes como nome, endereço, histórico de consumo e dados de pagamento.
A partir da segurança da informação, conseguimos nos preparar com as ferramentas adequadas para manter os dados disponíveis somente para quem de fato tem permissão para acessá-los.
Qual a importância da segurança da informação?
Ao nos familiarizarmos com o conceito de segurança da informação, não fica difícil entender por que ele é tão importante para as organizações. Todos os processos de compra, venda, estoque ou gestão de pessoas – para citar apenas alguns exemplos – geram dados. Se não forem protegidos, esses dados correm o risco de vazar e desencadear uma série de problemas.
Como foi mencionado, temos hoje uma quantidade de dados sem precedente circulando na internet. Paralelo a isso, aumenta também o número de usuários da rede mundial. Mais informação à disposição e maiores chances dos seus dados caírem em mãos erradas.
A boa notícia é que existem maneiras de evitar esse fim. O avanço tecnológico traz também novos protocolos e formas mais seguras de coletar e armazenar dados. Esse é o único caminho para se proteger de vazamentos que podem trazer grandes prejuízos para a organização.
Evitando ataques em sua organização
Os ataques virtuais assumem diferentes formas e características. Desde o início da internet, os métodos criminosos também evoluem conforme a tecnologia se desenvolve. Por isso, é preciso ficar ligado às tendências atuais para se manter protegido.
Dentre os tipos de ataques que uma organização pode sofrer, um dos mais comuns são os “cavalos de troia” (trojan). Uma subclassificação especialmente popular nos últimos anos são os trojans de backdoor. Esse é um malware que dá ao invasor o controle remoto do computador infectado.
Um pouco mais refinados, os ataques de phishing exigem que o criminoso emule alguma instituição de confiança (banco ou governo). O contato acontece por e-mail ou telefone e a intenção é que o próprio usuário vaze, inadvertidamente, suas informações por telefone ou e-mail.
Pode ser interessante conhecer os tipos de ataques mais comuns para que possamos evitá-los, mas, não é essencial saber sobre as especificidades se você não trabalha na área. Os métodos de proteção da informação são genéricos. Por isso, é importante focar na segurança e não no risco.
Os pilares da segurança da informação
A segurança da informação se apoia em alguns pilares para garantir uma proteção completa aos diversos tipos de ataque que já existem ou podem vir a existir no futuro — saiba mais:
Confidencialidade
A confidencialidade é o primeiro princípio da segurança da informação. Nosso objetivo principal, como você já sabe, é proteger os dados para minimizar o risco de ataques e vazamentos. Para que isso aconteça, é importante limitar o número de indivíduos que têm acesso ao material sensível.
Em geral, esse pilar é atendido por meio da hierarquização dos dados, conforme o impacto que teriam caso fossem vazados. Dessa forma, quanto mais alto o cargo, maior será também o acesso daquele colaborador.
Integridade
Quase tão importante quanto proteger os dados é garantir que eles vão permanecer íntegros na fonte. Na prática, isso significa manter os softwares e sistemas sempre atualizados para as ameaças.
O departamento de TI tem aqui papel fundamental de certificar de que não haja brechas de segurança que possam comprometer a integridade das informações armazenadas.
Disponibilidade
Por mais que seja importante proteger o acesso e a integridade dos dados armazenados, é preciso conferir permissões de edição para o gestor e/ou gerentes da área responsável.
A disponibilidade é justamente a manutenção dos canais abertos e operando adequadamente para os colaboradores autorizados. É preciso garantir que esses profissionais consigam visualizar e modificar as informações relevantes para o seu trabalho sempre que necessário.
Autenticidade
Por fim, o último pilar fala sobre a necessidade de manter os dados autênticos na fonte. Essa é a única forma de garantir confiabilidade para as informações armazenadas.
Para aumentar a segurança, é necessário limitar as possibilidades de edição, transferência ou exclusão dos dados. A segurança da informação deve certificar também de que as informações produzidas e armazenadas são autênticas e, portanto, confiáveis.
Segurança de informação vs. Segurança de TI
Ainda que muitos confundam, existem algumas diferenças fundamentais que separam a segurança da informação e a segurança de TI.
Como vimos até aqui, o primeiro conceito objetiva proteger os dados coletados e armazenados. Mas, e o segundo?
A segurança de TI trabalha com a proteção da estrutura que dá suporte para a informação armazenada. Assim, o foco passa a ser garantir a integridade dos servidores, computadores e máquinas utilizadas para armazenar e processar os dados.
Então, podemos dizer que enquanto a segurança da informação olha para os softwares, a segurança de TI cuida dos hardwares utilizados. Nesse caso, garantindo a integridade dos equipamentos de maneira a evitar ataques internos ou até mesmo falhas por falta de manutenção.
Lei Geral de Proteção de Dados Pessoais (LGPD)
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), também conhecida como LGPD, foi uma importante conquista para a segurança da informação no Brasil. Seu texto dispõe princípios sobre a privacidade e proteção das informações em órgãos públicos e privados.
A aprovação da lei foi um avanço para a regulamentação do tratamento de dados digitais. Em seu corpo, ela traz os parâmetros técnicos e administrativos que uma organização deve acatar para garantir a proteção adequada dos dados de terceiros sob sua responsabilidade. Assim, indicando o caminho para que empresas evitem prejuízos financeiros e de reputação.
O que acontece quando cuidamos da segurança da informação?
A segurança da informação não pode ser tratada como um mero capricho do departamento de tecnologia, uma perfumaria utilizada apenas para prevenir um risco improvável. Muito pelo contrário, a experiência nos mostra cada vez mais a importância de cuidar ativamente da proteção dos dados.
Quando isso não acontece, a empresa fica exposta a ataques cibernéticos, como roubos e alterações indevidas de dados. Vazamentos têm se tornado cada vez mais comuns e isso não é recente. Em 1978, um funcionário do Pacific Bank nos Estados Unidos conseguiu roubar US$ 10 milhões sem dificuldades, por falta de um sistema adequado de segurança da informação. O caso ficou famoso e segue sendo um bom exemplo da importância de limitar os acessos e permissões.
Mais recentemente, em um caso de 2005, a Hewlett-Packard (HP) foi acusada pela justiça americana de utilizar métodos ilegais para realizar uma investigação interna. Depois de um vazamento de dados, a empresa decidiu grampear os telefones e contratar detetives particulares para espionar seus funcionários. Tudo isso poderia ser evitado se houvesse mecanismos de controle de segurança em ação.
Os controles de segurança
Para garantir a proteção dos dados, é preciso contar com mecanismos de segurança. Eles existem, basicamente, em dois tipos: controle físico e controle lógico. Conheça a seguir os detalhes de cada categoria.
Controle físico
Dentro dos mecanismos de controle físico, nós temos as barreiras que materialmente impedem o contato com os dados protegidos. Estamos falando aqui de fechadura, cadeado, porta e todo tipo de tranca. Esses mecanismos funcionam como obstáculos físicos entre os dados e o invasor.
Controle lógico
Como você já deve imaginar, o controle lógico se contrapõe ao controle físico, ao oferecer barreiras digitais para o acesso aos dados.
Esses mecanismos existem nos mais variados modelos, dependendo da forma escolhida para armazenar os dados. Em alguns casos, basta uma senha. Mas, é possível adicionar mais camadas de segurança por meio do reconhecimento biométrico ou facial.
O que é um Sistema de Gestão de Segurança da Informação (SGSI)?
Para garantir a segurança da informação não adianta agir à esmo. É preciso ter um plano de ação bem estruturado e completo. Um Sistema de Gestão da Segurança da Informação (SGSI) tem justamente essa função. O SGSI nada mais é do que uma ferramenta corporativa para organizar todas as ações de proteção aos dados.
O sistema tem sua estrutura elaborada de acordo com a norma internacional ISO 27001. Isso significa que deve seguir parâmetros claros para implementar, operar e monitorar a segurança das informações armazenadas pela empresa.
Como construir um plano de segurança de informação
Para te ajudar, reunimos abaixo alguns dos elementos essenciais que precisam ser considerados na hora de elaborar um plano de segurança da informação.
Planejamento estratégico
Começamos o processo sempre pelo planejamento, que é o que garante que nossas ações estarão amarradas por uma estratégia sólida. Esse é o momento de considerar o modelo de negócios da empresa, o tipo de dados que ela armazena e levantar os riscos prováveis que precisam ser mitigados.
Políticas internas
Todo e qualquer gasto com mecanismos de controle precisa ser precedido por um trabalho de educação do público interno. Para tanto, o RH deve reunir todos os colaboradores para um treinamento onde serão expostas as políticas internas que vão guiar a segurança da informação dali em diante.
Backups automáticos
Partindo para aspectos práticos, devemos evitar que panes ou roubo das informações que possam atrapalhar a produção. Por isso, é indicado contar com sistemas automatizados de backup dos arquivos e dados. Vale lembrar que o servidor alternativo também precisa ter sua integridade assegurada por manutenções periódicas.
Gestão de riscos de TI
O trabalho com segurança da informação não é episódico. Isso significa que ele não tem fim, e continua enquanto existirem dados para serem protegidos.
Parte dessa continuidade diz respeito a uma gestão de riscos constante por parte do departamento de TI. É essencial avaliar os riscos para conseguir agir preventivamente, antes que o pior aconteça.
Senhas criptografadas
A criptografia é um instrumento muito útil para a segurança de informação, pois adiciona mais uma camada de proteção. O método utiliza chaves únicas para codificar as informações de ponta a ponta. Assim, impede que suas senhas possam ser acessadas por terceiros, por meio de programas maliciosos.
Firewalls nas conexões
Nem sempre as invasões partem de dentro, como no caso do Pacific Bank. Nas conexões entre a empresa e fontes externas, o cuidado deve ser redobrado. Aqui entram os firewalls. Esse tipo de dispositivo, presente na maioria dos sistemas operacionais, funciona como um filtro para o tráfego. Assim, impede que visitantes indesejados tenham acesso aos seus dados.
Manutenção de estratégia antivírus
Os antivírus compõem uma das estratégias mais populares de segurança da informação. Hoje, eles são largamente utilizados em contextos corporativos e domésticos. Para as empresas, é obviamente ainda mais importante contar com esses programas, sempre atualizados para maximizar o nível de proteção.
O papel do RH na segurança da informação
De maneira geral, é importante que o setor de recursos humanos tenha prioridade nas ações de segurança da informação. Junto com o departamento financeiro, esse é o setor que mais detém informações sensíveis para a empresa, como quadro de funcionários, política salarial, fluxos de trabalho e tudo mais que diz respeito à gestão de pessoas.
Paralelo a isso, é essencial contar com colaboradores especializados no assunto para manejar a proteção dos dados.
Como contratar um especialista em segurança da informação
Proteger os dados de uma organização é uma tarefa complexa e que exige conhecimento técnico. O profissional que vier a trabalhar nessa área precisa ser especializado em TI para conseguir comandar a implementação de diversas ferramentas de controle, simultaneamente.
É função do especialista garantir a disponibilidade dos dados por meio de mecanismos seguros, sempre respeitando os quatro pilares da área. É ele quem define as políticas de acesso e define os procedimentos que vão assegurar integridade e autenticidade dos dados. Isso sem esquecer da confidencialidade, é claro.
A prática da segurança da informação passa ainda pela comunicação adequada, em parceria com o RH, dos mecanismos de controle escolhidos. Assim, todos ficam na mesma página e previnem vazamentos por falha humana.
Proteja sua empresa e prepare seu time
A segurança da informação é hoje um assunto importantíssimo, regulamentado por lei para que possamos minimizar o risco de ataques virtuais. Assim, podemos estabelecer mecanismos de controle do acesso e proteção dos dados coletados, produzidos e armazenados pela organização.
Dentro desse contexto, é papel do RH escolher um especialista preparado para enfrentar os desafios da área. A partir do momento que as políticas estiverem estabelecidas, o setor precisa ainda comunicar a todos sobre a importância de seguir os protocolos de segurança. Ao preparar o time, fica muito mais fácil proteger a empresa e seus dados.
Este tema foi útil para você? Continue acompanhando nosso blog para saber mais sobre como manter sua gestão de RH cada vez mais segura. 🙂
Equipe Sociis RH
Sem Comentários