Segurança da informação não é (só) T.I

Em um mundo com um volume de dados cada vez maior, a segurança das informações se torna um tema muito presente dentro das organizações.

Porém, engana-se quem acredita que contratando apenas um profissional de cyber security as vulnerabilidades irão desaparecer. Na maioria das vezes, o nível de segurança só aumenta quando o problema é enfrentando de maneira holística, ou seja, olhando para todo o conjunto de informação da empresa e não apenas para o que se apresenta de maneira tecnológica.

Este artigo tem o intuito de apresentar aos responsáveis pela gestão das empresas, sejam eles gerentes, diretores ou CEOs, a importância do tema e maneiras para traçar um plano em que o nível da segurança das informações das empresas melhore progressivamente. 

Governança corporativa: é desta segurança que estamos falando

Basta iniciar o assunto sobre segurança da informação que alguém já cita: “tem uns caras que cuidam disso na T.I”; infelizmente a maioria das empresas aloca este setor debaixo do guarda-chuva da tecnologia. Isso se deve ao fato de que a área da tecnologia é a que gerencia a grande parte dos dados da empresa.

Dificilmente um profissional de segurança da informação deixa de olhar para os ativos tecnológicos ao considerar uma análise de risco, por exemplo. Mas, não será um profissional de tecnologia que criará um procedimento para demissão de um funcionário que cuidava de dados sigilosos.

Por este motivo a área de segurança da informação deve ser mantida independente da área de tecnologia; ela gerencia o risco de todas as áreas que envolvam informações da empresa e de seus colaboradores, inclusive, mas não somente, a área de tecnologia.

A sequência para um bom trabalho

Não há uma regra, mas, geralmente, o profissional especializado questiona os colaboradores sobre suas dores referente a segurança dos dados e busca entender como está o nível de segurança da informação naquele momento.

Após essa análise, ele apresenta ou cria em conjunto com a diretoria, uma política para a segurança das informações. Um documento único e central que irá nortear todo o trabalho a ser desenvolvido. Pode-se, através deste documento, iniciar a criação de um conjunto de normas para sustentar a ideia central da política, como por exemplo, o cuidado que o RH deve ter ao contratar e demitir funcionários, além da gestão do período de férias dos mesmos e o alinhamento com a área de segurança e riscos em casos mais sensíveis. Outra norma muito comum é a definição das diretrizes para backup da empresa. Também temos a famosa classificação de documentos como público, privado, confidencial e sigiloso.

Os próximos documentos seriam os procedimentos que acompanhariam as diretrizes da norma, sendo mais específicos, como por exemplo: “ao demitir o funcionário que controla dados mais sensíveis e valiosos, o RH necessita avisar a área de segurança da informação, 1 dia antes para que no dia e horário da demissão os responsáveis estejam de prontidão para cessar os acessos deste funcionário aos sistemas”, já que quase tudo, hoje, pode ser acessado via celular ou remotamente.

Então, só para resumir, políticas normas e procedimentos são os documentos necessários para iniciar a segurança dos dados. Mas, o que vem depois?

Levantando os ativos para a análise e avaliação de risco.

A informação em si é um elemento abstrato. Logo, as vulnerabilidades não estão na informação, mas, sim, nos ativos que suportam essa informação.

Os ativos de informação podem ser de 4 tipos: Tecnológicos, Ambiente, Processos e Pessoas.

Os ativos tecnológicos correspondem, em sua maioria, aos computadores, servidores e dispositivos de redes da empresa. Entendo que seja mais fácil identificar os incidentes que podem ocorrer com estes ativos.

Os ativos de ambientes correspondem a salas e espaços da empresa que podem sofrer com inundações, incêndios e espionagem.

Já os processos são importantes ativos de informação da empresa e devem ser mapeados para evitar incidentes como de funcionários que ao serem demitidos destroem informações.

E por último e, talvez o mais importante, as pessoas, que carregam consigo muitas informações importantes da empresa e que por diversas vezes, não se atentam ou entendem a importância. Por esse motivo, o treinamento é fundamental para que eles possam estar cientes de todas as normas que regem a segurança da informação da empresa.

É importante buscar todas as vulnerabilidades possíveis nestes ativos e identificar toda ameaça que explore essas vulnerabilidades.

Não é possível eliminar as ameaças uma vez que são externas e não temos o controle, mas é possível identificar as vulnerabilidades e tratar para que a probabilidade de elas serem exploradas sejam mínimas.

Um exemplo clássico seria um hacker tentando invadir a rede de computadores da empresa. Podemos identificar, por exemplo, que a empresa não possui um firewall (dispositivo que bloqueia as portas de comunicação da empresa e só permite aquelas previamente configuradas), logo, uma possibilidade de diminuir a probabilidade de um hacker invadir a rede de computadores é instalar um firewall na empresa.
Há quem diga que este trabalho pode ou deve acontecer primeiro para que o profissional tenha a real análise e avaliação dos problemas relacionados a segurança dos dados da empresa. Porém, na maioria das vezes, há, sempre, uma avaliação inicial para o começo do trabalho implantando algumas diretrizes para que depois se faça uma análise e avaliação mais aprofundada.

Confidencialidade, Integridade e Disponibilidade: a tríade da segurança da informação

Já ouvi de um empresário a seguinte frase: “não precisamos nos preocupar com segurança da informação, aqui. Somos uma empresa de médio porte. Não temos nada confidencial para proteger. ”

Por isso é sempre bom apresentar os conceitos de segurança da informação com a tríade composta por confidencialidade, integridade e disponibilidade. Caso um desses itens sejam desrespeitados, podemos dizer que houve um incidente em segurança da informação.

No caso do exemplo citado, acreditavam que segurança da informação é somente se preocupar com a confidencialidade; não tinham conhecimento que a integridade e disponibilidade da informação também são tarefas da segurança.

Um profissional do setor de pesquisa e desenvolvimento, por exemplo, quando faz uma cópia do manual de um novo produto, está cuidando da integridade da informação, ou seja, se a informação original se destruir ou sumir, teremos uma cópia.

O departamento de T.I quando armazena os arquivos em um super servidor em sala refrigerada com cabeamento moderno, está cuidando da disponibilidade da informação, ou seja, tomando todos os cuidados para que as informações ali contidas estejam sempre disponíveis para os colaboradores da empresa.

Controles de segurança da informação

Após os documentos que irão nortear o trabalho, as análises e avaliações sobre o nível de segurança da empresa, é hora de implementar os controles de segurança da informação. Tais controles podem ser tecnológicos ou não. Alguns exemplos são: controles de acesso a determinadas salas via biometria com geração de registros; câmeras de segurança com gravação e backup dos dados mais sensíveis. Exemplos de controles não tecnológicos são: proteção de documentos impressos em cofre a prova de fogo e inundação; treinamento para os colaboradores.

Este último é tido como um dos mais importantes pois prepara os colaboradores acerca do tema.

O melhor controle

Certamente, o treinamento para os colaboradores é o melhor controle a se implantar. Pesquisas mostram que a maioria dos incidentes acontecem devido a funcionários mal treinados. Os incidentes podem acontecer devido ao desconhecimento dos funcionários referente a importância da informação que estão tratando. Neste caso ataques de engenharia social são os mais comuns, ou seja, quando alguém se passa por outra pessoa e convence o colaborador a disponibilizar a informação. São muitos os casos deste tipo de ataque e a maioria seria evitada se o colaborador recebesse um treinamento de qualidade.

Além disso, o funcionário incluído em um sistema de gestão em segurança da informação poderia ajudar a relatar problemas para os responsáveis, ajudando a criar um ambiente mais vigilante e protegido.

Quando os colaboradores entendem a real importância da segurança informação para a empresa, tudo fica mais fácil e melhor protegido, diminuindo a probabilidade de um incidente que poderia trazer um impacto gigantesco para as finanças e imagem da empresa.