Segurança da Informação, entre a política e a prática

Padrão

Dia desses, lendo notícias pela internet, encontrei a do link abaixo:

http://www1.folha.uol.com.br/mercado/2017/01/1852499-hackers-roubam-dados-de-29-mil-clientes-da-corretora-xp-investimentos.shtml

Bom para resumir, uma das maiores empresas de administração de investimentos do país, admitiu ter sido atacada por hackers e vazado informações de seus clientes. Contudo, somente agora a tal empresa admitiu a situação e disse ter mudado suas políticas internas, além de ter investido em novos softwares de segurança e etc.

Bom, situações como essa, são mais comuns do que se imagina, casos como esse já foram admitidos por empresas como Yahoo e Sony (caso de vazamento de contas da plataforma de PSN – PlayStation).

Agora, se há vulnerabilidade em empresas líderes de seus segmentos, o que fazer para proteger minha empresa? A resposta pode parecer óbvia: Investimento. Mas os exemplos acima mostram exatamente o contrário.

Segurança da informação não é uma receita de bolo, ela é adaptativa e não pode ser deixada de lado em nenhum momento. Não vou aqui julgar e condenar as empresas mencionadas anteriormente, por absolutamente desconhecer seus processos internos, mas posso dizer segundo uma boa literatura, como devemos agir em nossas empresas, baseando-se nos 5 pilares básicos de segurança da informação, também conhecido como C.I.D.A.L, essas cinco letras devem basear toda a sua política e a prática de segurança da informação. Mas o que significa essa sigla? Vamos lá:

Confidencialidade: Pilar que indica que a informação deve estar disponível somente a pessoas autorizadas, um exemplo prático disso é o controle de usuários por perfil de acesso por exemplo;

Integridade: Intimamente ligado ao primeiro pilar, define que as informações devem ser exatamente aquilo que parecem ser e que pessoas/usuários não autorizados não devem ter permissão para alterar os dados;

Disponibilidade: Diz respeito ao acesso a informação, sempre que necessário e novamente, somente por pessoas autorizadas;

Autenticidade: Quem conhece os princípios básicos da comunicação, aquela teoria de sala de aula, sabe que toda transmissão de informação possui emissor, receptor um canal e o que chamamos de “ruído”. O tal “ruído” não deve ocorrer ou ser minimizado em Segurança da informação para a informação transmitida não sofra alterações no “caminho” do emissor ao receptor;

Legalidade: Esse pilar garante que as informações produzidas, armazenadas e transmitidas respeitaram a legislação vigente.

Claro que as empresas mencionadas como exemplo nesse post devem ter seguido toda essa cartilha e muitos outros padrões mais complexos de segurança da informação, mas lembre-se que esses casos demonstram que ninguém está imune e que em um mundo cada vez mais conectado é difícil prever as variáveis externas que podem afetar seu negócio.

Isso só nos acende um alerta, que, por menor que seja sua empresa/organização você deve levar a sério o tema. Ter uma política de segurança possível de ser aplicada e um plano de contingência que permita a continuidade de negócio, mesmo que tudo dê errado. Deve ser bem claro, inclusive fazer parte do seu plano de negócio.

Por último, entenda que a segurança não é somente de responsabilidade de sua TI e sim de todos os colaboradores de sua empresa, pois não adianta ter as melhores ferramentas e softwares e não ter uma política clara e objetiva (lembram do caso Snowden na NSA?). A palavra de ordem é conscientização e a regra é a educação. Só assim, poderemos manter nossas organizações mais seguras e livres das armadilhas que esse mundo tão conectado proporciona.

Siga-nos, curta e compartilhe no facebook.com/tieprojetos

Contate-nos através de nosso e-mail, sugira matérias, elogie, critique: contato@tieprojetos.com.br

Comente sobre o que achou da matéria e dê sua opinião sobre o nível de maturidade organizacional que temos no Brasil quando o assunto é segurança da informação, aqui em baixo nos comentários! O TI e Projetos quer saber sua opinião.

Até o próximo post!

*Os casos expostos nesse post não têm qualquer intuito de julgamento. Todas as informações e notícias expostas são de conhecimento público nos maiores veículos de comunicação do Brasil e do Mundo.