Notícias

05/11/2019

O que é segurança da informação? Guia completo

A segurança da informação é responsável pela proteção de informações confidenciais obtidas pelas empresas, por meio de formulários físicos, assim como virtuais, podendo ser dados financeiros, corporativos e/ou pessoais.

A prevenção contra o vazamento de dados é uma preocupação unânime dos gestores das empresas, e que só crescerá massivamente nos próximos anos. Independentemente do segmento, diversas organizações já foram alvo de crackers, indivíduos que agem ilegalmente para invadir sistemas de segurança da informação.

A exposição indevida de dados virou assunto recorrente na mídia, pois engloba uma série de fatores prejudiciais à empresa e, principalmente, aos clientes, que tiveram dados financeiros e/ou pessoais expostos sem a devida autorização.

Um caso de vazamento de dados que ganhou bastante repercussão foi da companhia aérea British Airways, em outubro de 2018. A empresa foi multada em £ 183 milhões (cerca de R$ 860 milhões), após os dados de 244 mil pagamentos com cartões de crédito dos passageiros terem sido roubados.

Em julho do mesmo ano, o sistema de segurança da informação da empresa aérea já havia sido atacado. Nesta primeira vez, foram roubados 185 mil dados financeiros dos clientes. Em ambas as situações, as informações confidenciais incluíam nomes, endereços, e-mails e dados dos cartões bancários.

 

Dados de Segurança da Informação no Brasil

Para entender os impactos de incidentes de segurança virtual, a PwC realizou uma pesquisa online, a Global State of Information Security Survey 2018, em 122 países, inclusive no Brasil, entre abril e maio de 2017.

O quiz digital contou com a participação de 9,5 mil executivos de negócios e TI, vice-presidentes e diretores de segurança da informação de empresas de 75 setores.

Entre os entrevistados brasileiros que participaram desse levantamento, 44% relataram a perda ou dano de registros internos, 46% tiveram o comprometimento de registro de clientes e 34% comprometimento do registro dos próprios funcionários.  

Com o avanço da tecnologia, as empresas entenderam a importância de investir em um sistema de segurança da informação capaz de barrar ataques aos seus sistemas de segurança da informação.

Pensando nisso, esse conteúdo foi construído, exclusivamente, para você que está interessado em saber mais sobre esse assunto em alta no mercado, além de orientar seus clientes sobre como estabelecer um sistema robusto para segurança da informação. Nele, vamos abordar os seguintes tópicos:

  1. Origem da segurança da informação;
  2. Benefícios da segurança da informação;
  3. Lei Geral de Proteção de Dados (LGPD);
  4. Estratégias para segurança da informação;
  5. Processos para uma segurança avançada da informação;
  6. Portfólio para estruturar a segurança da informação.

    

Origem da segurança da informação

Antes de conversarmos a respeito dos pilares básicos que sustentam a segurança da informação, precisamos separar essas duas palavras para compreender o significado de ambas:

  1. Segurança: prevenção contra ameaças, perigos e incertezas;
  2. Informação: conteúdo de valor para empresa ou profissional.

Resumidamente, a principal finalidade de um sistema de segurança da informação é fornecer proteção. Ou seja, garantir essa sensação ao proprietário é fundamental.

Porém, mesmo com um serviço confiável de armazenagem de dados, a probabilidade desse conteúdo ser vazado existe, mas com chances menores de acontecer.

 

Benefícios da segurança da informação

Os principais benefícios da segurança da informação estão vinculados em identificar e bloquear ações mal-intencionadas encabeçadas por crackers, que podem ser por meio de vírus, phishing, falsos anexos, lojas virtuais/aplicativos falsos, conteúdos maliciosos em redes sociais, entre outros.

Para aproximar esse tema da nossa realidade, imagine o preenchimento de um formulário com seu nome, sobrenome, e-mail, contato telefônico, CPF e endereço. São alguns dados básicos que, geralmente, são solicitados, mas que podem variar dependendo do objeto.    

Como esses dados são adquiridos? De diversas maneiras. Por exemplo, quando realizamos alguma compra em uma loja virtual, abrimos uma conta corrente em uma instituição bancária, fazemos o download de algum documento na internet, baixamos o serviço de um aplicativo para entretenimento, entre outros.

Enfim, contar com produtos e/ou serviços especializados para diminuir o risco de ameaças no sistema de segurança da informação da sua empresa virou uma necessidade extrema, quase obrigatória. 

 

Lei Geral de Proteção de Dados (LGPD)

A falta de segurança, privacidade, coleta, uso e compartilhamento inadequado de informações confidenciais cresceram substancialmente na internet, após a monopolização das empresas sobre os dados pessoais.

Esses escândalos obrigaram o Governo Federal a criar a Lei Geral de Proteção de Dados (LGPD), aprovada em agosto de 2018. A medida passa a valer a partir do mesmo mês em 2020.

Inclusive, foi criado um órgão fiscalizador para as organizações privadas ou públicas que não atenderem às novas exigências, a Autoridade Nacional de Proteção de Dados (ANPD). Quem não obedecer, pode receber multa de até R$ 50 milhões.

Segundo uma pesquisa do Serasa Experian, feita em março de 2019, 85% das empresas brasileiras não estão prontas para a nova lei, tanto que 72% das companhias com mais de 100 funcionários pretendem contratar uma pessoa, empresa ou assessoria especializada nessa área. O levantamento ouviu executivos de 508 companhias de 18 segmentos.

Mas o que vai mudar:

  1. Os cidadãos terão o direito de acesso às informações sobre os seus dados;
  2. As empresas precisarão de autorização para coletar os dados;
  3. As organizações serão obrigadas a informar como usam os dados, ou seja, como ficam armazenados, por quanto tempo e com quem compartilham;
  4. As empresas deverão garantir a transparência e o direito de acesso a essas informações.

 

Estratégias para segurança da informação

Os pilares da segurança da informação são mantidos por cinco colunas: confidencialidade, confiabilidade, integridade, disponibilidade e, por último, autenticidade.

Vale salientar que a nomenclatura dos termos pode variar. Portanto, não se preocupe, caso encontre termos diferentes na internet. 

Confidencialidade: o acesso às informações é restrito. Significa que somente pessoas autorizadas têm permissão para visualizá-las;

Confiabilidade: assegurar que a informação é verídica;

Integridade: o conteúdo deve ser íntegro, sem alterações indevidas, fraudes ou destruições. Serve para evitar a violação de informações;

Disponibilidade: garantir o acesso aos dados, quando necessário;

Autenticidade: saber a autoria de quem acessou o conteúdo, realizou as modificações e exclusões de informações.

Esses aspectos servem como um código de conduta, para assegurar que os colaboradores e gestores da empresa estarão aptos a manusear as informações confidenciais com ética e responsabilidade.

Cada vez mais é comum ver organizações implantando políticas de segurança da informação, para estabelecer diretrizes comportamentais e impedir a entrada de crackers e, consequentemente de fraudes, vazamento de informações e vírus nos sistemas. 

Normalmente, essas diretrizes englobam treinamentos de equipe para conscientização dos colaboradores sobre os riscos e consequências que um vazamento pode acarretar. Algumas dicas básicas são: criação de senhas fortes, evitar deixar a tela aberta, lembretes de senha sobre a mesa etc.

 

Programas para garantir uma boa estratégia de segurança da informação

Além desse breve manual, os profissionais de Tecnologia da Informação (TI) também precisam de programas técnicos capazes de garantir que toda estratégia de segurança da informação funcione regularmente para diminuir os riscos de ataques do gênero dentro das organizações.

No total, são 8 itens para otimizar o desempenho da equipe de TI, assim como na preservação de informações confidenciais. Abaixo vamos falar brevemente de cada um:

Internet dedicada: restrição do tráfego de informações destinadas somente para funcionários com permissão para recebê-las e enviá-las;

Sistema de backup: serve para preservar as cópias das informações e dados corporativos, além de ajudar na recuperação em caso de perdas por apagamento ou ataque cibernético;

Firewall: esse sistema ajuda a detectar invasores, ajudando a interromper 

e garantir a confidencialidade das informações;

Fuzzer: assegura a autenticidade e integridade dos dados, aprimorando os mecanismos internos de validação das informações em softwares e aplicativos;

Criptografia: é a transformação de um texto em código para dificultar o entendimento da mensagem por usuários não autorizados;

Antivírus e analisador de código: assegura a veracidade das informações, além de proteger o sistema contra malwares e vírus;

Analisador de tráfego: auxilia no gerenciamento e mantém a constância de informações;

Certificação: atestado de autenticidade dos arquivos, ou seja, uma maneira de comprovar que os dados e informações inseridos dentro das pastas são válidos para uso.

 

Processos para uma segurança avançada da informação

Implementar um sistema de segurança da informação tornou-se um tema primordial, que merece atenção especial por parte dos gestores, assim como no envolvimento dos colaboradores em ações e ferramentas estratégicas que minimizem os riscos de ataque ao sistema de armazenamento de dados da empresa.

Hoje, no Brasil, temos disponível no mercado diversas ferramentas, desde as mais tradicionais até as mais avançadas, que podem auxiliar no serviço de segurança da informação, ofertadas por diferentes fabricantes.

Confira abaixo algumas soluções para manter o seu serviço de segurança da informação funcionando de maneira segura:

O backup é um serviço de armazenamento para evitar a perda de dados, que permite o agendamento para salvar a versão mais atualizada dos arquivos, criptografar para ninguém acessar as cópias e, por último, compactar para economizar o espaço do disco. 

A Cloud Storage é uma nuvem online para armazenar dados pessoais e/ou empresariais, que permite criar e salvar cópias. Esse tipo de serviço é fornecido por um provedor que mantém uma rede grande de servidores com ferramentas para o usuário gerenciar a distância o ambiente virtual, além de virtualizar infraestruturas completas de TI.

O Disaster Recovery Service é um sistema que consegue realizar o backup em um appliance no local, com replicação para o data center em nuvem, por exemplo. A ferramenta recupera e reinicia o sistema durante o período de paralisação até que o ambiente volte a ser normalizado.

O Files Connect permite que usuários do sistema operacional MAC consigam se conectar com servidores de arquivos NAS ou Windows.

E, por último, o Files Advanced consegue sincronizar e compartilhar com o time de TI da empresa, o controle total sobre os dados corporativos de maneira segura, conformidade e por meio dos próprios dispositivos dos colaboradores (BYOD).

Vale salientar que os dois últimos serviços são ofertados, exclusivamente, pela empresa Acronis, marca distribuída pela EsyWorld.

 

Nosso portfólio para estruturar a segurança da informação

Há 19 anos, a EsyWorld trabalha na distribuição de soluções de segurança da informação e gerenciamento de risco em Tecnologia da Informação (TI) para ambientes domésticos e corporativos.

A empresa conta com oito parceiros no seu portfólio: Acronis, AT&T Cybersecurity, Barracuda, BlackBerry Cylance, Kaspersky, Proofpoint, Safetica e Zerto, sendo uma das maiores distribuidoras de soluções tecnológicas em todo território nacional com um alto valor agregado para suas revendas e fabricantes parceiros.   

A EsyWorld fornece proteção premium contra vírus, spyware, hackers, phishing e spam, trazendo soluções em segurança, monitoramento, gerenciamento e criptografia.

Comentário sobre essa notícia