• 

Com a evolução tecnológica recente, chegamos a uma realidade totalmente conectada, em que os dados são parte fundamental da empresa e de sua estratégia, o que torna a segurança da informação cada vez mais importante.

Um dos países mais afetados por ataques cibernéticos e com grande incidência de golpes online, o Brasil representa um grande desafio para as empresas, que devem desenvolver estratégias para garantir a segurança e o sigilo de seus dados.

Por isso, explicamos agora, em detalhes, o que é segurança da informação, seus princípios e funcionamento, seus principais componentes, por que é importante se preocupar com ela e quais práticas podem ajudar seu negócio a se manter seguro. Confira os dados em nosso guia completo e tenha uma ótima leitura!

1. O que é segurança da informação

Como dissemos, as informações confidenciais de uma empresa são parte fundamental de suas estratégias e representam um forte elemento competitivo, tornando a segurança da informação uma das demandas mais importantes para o desenvolvimento de um negócio.

Mas, afinal, o que é segurança da informação? Como é possível garantir que as informações sigilosas e importantes de uma empresa se mantenham privadas e restritas, mesmo em um mundo cada vez mais conectado?

A resposta está no conceito de segurança da informação e sua aplicação nos negócios: entendemos por segurança da informação o conjunto de medidas adotado para garantir a confidencialidade, a integridade e a disponibilidade das informações de uma empresa, de forma a permitir seu acesso de acordo com as necessidades do negócio.

É importante destacar que a segurança da informação não está relacionada somente a dispositivos computacionais tradicionais, como computadores ou servidores, mas envolve todas as formas de acesso a dados importantes, como celulares, tablets, backups, e-mails e até mesmo o armazenamento na nuvem.

2. Princípios da segurança da informação

Para garantir que exista uma política de segurança da informação eficiente e segura, é importante que ela siga alguns conceitos fundamentais, conhecidos como princípios da segurança da informação, que definem políticas e estratégias que devem reger os processos.

Além de estabelecer as diferentes diretrizes a respeito de cada um dos processos envolvidos no acesso e utilização dos dados, esses princípios também servem como norte para estabelecer quais ações devem ser tomadas pelas empresas e pelos profissionais, garantindo atitudes mais concretas, objetivas e eficientes.

Explicamos agora, em detalhes, cada um dos princípios da segurança da informação e como eles se relacionam diretamente à privacidade, confiabilidade e segurança dos dados da empresa. Confira!

2.1 Integridade

Um dos princípios mais importantes para o desenvolvimento de processos de segurança de informação, o princípio da integridade assegura que as informações não sejam alteradas ou modificadas sem que um colaborador responsável autorize essa ação.

Garantir que os dados não serão alterados ao longo do tráfego da informação, em seu processamento ou armazenamento, é fundamental para a segurança da informação, já que permanecerão íntegros durante todo o processo, garantindo que todos os destinatários receberão as informações conforme foram enviadas, por exemplo.

2.2 Confidencialidade

Outro princípio de fundamental importância para a segurança da informação, o princípio da confidencialidade define que só será possível acessar, alterar e atualizar informações por meio de autorização e credenciamento prévio para executar esse tipo de ação.

Com isso, os dados se tornam confiáveis, já que não estarão sujeitos a mudanças sem aviso prévio ou autorização, de maneira a garantir que estarão íntegros. Para isso, é importante que a empresa conte com recursos de tecnologia da informação que permitam filtrar o acesso a dados confidenciais, seja por engano ou má-fé, permitindo somente o acesso de colaboradores credenciados para tal.

2.3 Disponibilidade

O princípio da disponibilidade também é um dos mais importantes quando tratamos da segurança da informação, já que ele diz respeito à capacidade de acesso às informações, que devem estar disponíveis ao usuário no momento em que ele precisar delas.

Para que isso seja possível, é importante que os sistemas, softwares, hardwares, conexões, dados e credenciais sejam oferecidos a quem deverá utilizá-los, de forma que seja possível aos colaboradores acessar as informações que necessitarem conforme seu uso.

Como é possível perceber, esse é um princípio diretamente ligado à confidencialidade, já que a disponibilidade exige que sejam respeitadas as regras estabelecidas pelas diretrizes de confidencialidade.

2.4 Autenticidade

Para que a segurança da informação seja útil para a empresa e seus colaboradores, é fundamental que os dados sejam autênticos e confiáveis. Isso significa que é necessário saber, por meio de registros detalhados, quem realizou alterações, exclusões ou mesmo acessou determinada informação, de forma a confirmar sua autoria e sua originalidade.

Isso se deve ao fato de que as informações devem ser confiáveis para que possam ser utilizadas de forma estratégica pela empresa, o que significa que os dados devem ser autênticos e íntegros, sem que tenham sido alterados de forma anônima e com as alterações devidamente identificadas e registradas para acompanhamento e auditoria posteriores.

2.5 Irretratabilidade

Como dissemos, a autenticidade dos dados é um dos elementos mais importantes para a segurança da informação, o que faz com que a irretratabilidade também seja um princípio importante e que deve ser considerado fundamental para garantir a segurança dos dados.

Esse princípio determina que não deve ser possível alterar, apagar ou anonimizar a autoria de uma alteração, modificação ou exclusão de informações. Isso significa que é necessário que cada ação seja definitiva e tenha seu próprio registro, ainda que as alterações possam ser desfeitas ou refeitas por usuários que tenham esse tipo de acesso.

Por meio do princípio da irretratabilidade é possível garantir que informações não sejam adulteradas de forma a prejudicar um colaborador ou mesmo que os registros de uma ação mal-intencionada sejam apagados do sistema.

2.6 Conformidade

Por último, é importante destacar também o princípio da conformidade, que deve reger todas as ações e estratégias de segurança da informação e servir como norte para a tomada de decisões para quaisquer questões que envolvam os dados da empresa.

Ele define que as estratégias, processos e ações de segurança da informação devem ser executadas em conformidade com os processos internos e externos, o regimento da empresa, as normas técnicas pertinentes e de acordo com a legislação vigente.

Esse princípio é responsável, por exemplo, por definir quais serão as ações da empresa com relação ao uso de dados de pessoas físicas, para que as ações de segurança da informação estejam em conformidade com o que dispõe a Lei Geral de Proteção de Dados (LGPD), que prevê direitos e obrigações para as empresas ao lidar, tratar, armazenar e compartilhar informações de pessoas físicas, definindo também quais as boas práticas e as recomendações para que esse processo seja executado.

3. Como a segurança da informação funciona

Agora que você entendeu melhor o que é segurança da informação e quais seus princípios norteadores, é interessante compreender, de forma mais aprofundada, como ela funciona, quais seus principais elementos e seu impacto no desenvolvimento da empresa.

Quando falamos sobre o funcionamento da segurança da informação, estamos tratando das diversas estratégias, boas práticas e ações que permitem que os dados geridos, acessados e utilizados pela empresa estejam seguros.

É possível afirmar ainda que a segurança da informação está diretamente ligada à adoção de uma cultura baseada em dados, com foco na proteção de informações sigilosas e que permita aos colaboradores ter acesso aos elementos necessários para desempenhar suas funções de forma segura e eficiente.

4. Componentes da segurança da informação

É importante também conhecer quais são os principais componentes da segurança da informação, especialmente para que seja possível compreender sua relação uns com os outros e o impacto dentro dos projetos de segurança.

Explicamos abaixo quais são os componentes gerais de um projeto de segurança da informação e sua relação para o funcionamento seguro da empresa como um todo. Confira os detalhes!

4.1 Hardwares

Quando falamos em hardwares, estamos tratando dos componentes físicos da empresa a que estão relacionados os processos de segurança da informação. Fazem parte do grupo de hardware os computadores, tablets, notebooks, roteadores, equipamentos de rede, impressoras e todas as peças físicas que estão direta e indiretamente relacionadas ao processamento, atualização, acesso e armazenamento de informações da empresa.

4.2 Softwares

Enquanto os hardwares são a parte física, os softwares representam a parte virtual e são, em geral, os maiores alvos dos ataques contra a segurança da informação. Todos os sistemas utilizados pelas empresas, como ERPs, CRMs, processadores de textos, aplicativos bancários, sistemas de e-mail, hospedagens de sites, entre outros, são elementos de software de um projeto de segurança da informação.

4.3 Colaboradores

Também é importante destacar que os colaboradores são parte importante da segurança de dados, já que eles são os responsáveis por utilizar os equipamentos de hardware e os softwares para criar, manipular, acessar e extrair os dados da empresa.

Por isso, é importante que exista uma cultura de segurança de dados alinhada com todos os colaboradores, para que seja possível desenvolver processos de gestão de forma segura, evitar problemas como phishing e ransomware, por exemplo, que explicaremos em detalhes mais adiante.

5. Por que se preocupar com a segurança de dados e informação

Conforme as tecnologias evoluem, também são desenvolvidas novas ferramentas para obter acesso a informações confidenciais das empresas por meio de diversos processos e elementos, como ransomwares, phishings, vírus e malwares.

Além disso, é importante compreender também os impactos que a falta de segurança de dados pode ocasionar para a empresa, como o extravio de capital, o enfraquecimento da marca e até mesmo pelo risco de processos de clientes, fornecedores ou colaboradores em caso de vazamento de dados sigilosos.

Explicamos, abaixo, algumas das situações negativas e prejudiciais que a empresa pode estar sujeita caso não adote políticas claras de segurança da informação e detalhamos também como é possível evitar que elas sejam um problema para seu negócio. Confira!

5.1 Extravio de capital

Uma das maiores preocupações a respeito de práticas inseguras na gestão de dados é o impacto financeiro, direto e indireto, que esse tipo de prática pode ocasionar. No entanto, também é possível que a falta de uma política inteligente de segurança da informação impacte diretamente nas contas bancárias da empresa, por meio do extravio de capital.

Esse tipo de dano à empresa pode ocorrer de diversas formas, sendo que os golpes de phishing, que explicaremos mais adiante, costumam ser o principal causador desse tipo de problema, nas fraudes de identidade, clonagem de acessos e até páginas enganosas de instituições bancárias.

Para evitar que falhas de segurança causem extravio de capital, é fundamental adotar boas práticas na gestão de senhas e códigos, confirmar sempre se a página visitada é a correta e utilizar softwares de segurança, como antivírus e antimalwares, garantindo também que estes estejam sempre atualizados.

5.2 Ransomware

Outro tipo de risco à segurança de dados de uma empresa são os chamados ransomwares, que são softwares maliciosos criados com o objetivo de impedir o acesso a arquivos importantes ou mesmo sistemas inteiros, exigindo o pagamento de um resgate para realizar sua liberação.

É possível comparar o impacto de um ransomware ao de um sequestro de dados, executado de forma virtual e impactando direta e indiretamente o desenvolvimento das ações e tarefas de uma empresa, de forma a pressionar o negócio impactado a efetuar o pagamento do resgate.

A própria palavra ransomware já deixa clara a estratégia utilizada por esse tipo de malware: ransom é o termo em inglês para o pagamento de resgate em caso de sequestro, o que faz com que a referência à prática de sequestro não seja uma mera coincidência ou exagero.

Em geral, os sistemas são infectados com ransomware por meios similares à disseminação de outros vírus e malwares: por e-mails, redes sociais (como Facebook e Twitter), serviços de mensagem instantânea como o Whatsapp e o Messenger, além de sites falsos que representam cópias de páginas verdadeiras, como sites de bancos ou dos Correios.

Após a contaminação por um ransomware, um arquivo, grupo de arquivos ou mesmo o sistema operacional do equipamento são bloqueados e param de permitir o acesso, exigindo o pagamento de um resgate, por meios digitais como o Bitcoin, para que seja possível utilizá-los novamente.

Para evitar a contaminação da empresa por um ransomware, a melhor prática é a prevenção inteligente, o que significa oferecer treinamento aos colaboradores, adotar as boas práticas de segurança da informação e não utilizar equipamentos ou sites suspeitos.

5.3 Enfraquecimento da marca

Também vale destacar que um dos principais pontos negativos para as empresas que não adotam boas práticas de segurança da informação é o enfraquecimento da marca junto ao mercado, aos colaboradores e aos clientes.

Isso pode decorrer de diversos fatores, como uma invasão de dados que gere indenizações por vazamento de informações sigilosas, pela perda da confiabilidade para a gestão de informações dos clientes e até mesmo pela perda de dados de produtos ou serviços ainda não lançados pela empresa.

5.4 Processos judiciais

Além do enfraquecimento da marca, também é possível destacar a possibilidade de que a empresa enfrente processos judiciais caso haja problemas na gestão de dados. Isso significa que, caso haja uma falha na segurança da informação do negócio, é possível que a empresa seja processada por clientes, fornecedores e até mesmo colaboradores que sejam impactados pelo vazamento.

Com a nova Lei Geral de Proteção de Dados, que entrará em vigor em agosto de 2020, as empresas passarão a ser legalmente responsáveis por quaisquer danos causados a pessoas físicas em decorrência de uso indevido de dados pessoais, como no caso de um vazamento de endereços e cartões de crédito.

5.5 Phishing

Outra prática bastante nefasta e que pode impactar diretamente os resultados de uma empresa caso ela não adote as estratégias adequadas de segurança da informação, o phishing consiste em uma prática criminosa em que o invasor obtém dados sensíveis a partir de mensagens fraudulentas. Ele se passa por um agente confiável, como bancos ou serviços de transações online, visando obter as credenciais de terceiros.

Ainda que seja uma das práticas mais antigas no meio online e uma das mais divulgadas por especialistas de proteção de dados, o phishing é também uma das práticas que exigem maiores cuidados das empresas, já que ela atua no elo mais frágil da segurança da informação: as pessoas.

Basta que um colaborador disponibilize as credenciais de segurança da empresa em um site fraudulento ou mesmo forneça dados que sirvam para a recuperação de senhas, por exemplo, para que toda a instituição tenha sua segurança de dados comprometida.

5.6 Softwares desatualizados

Problema muito comum em empresas com grande volume de equipamentos ou mesmo que utilizam sistemas legados, como lojas de varejo, indústrias e hospitais, entre outros, os softwares desatualizados também são um grande risco à segurança da informação.

Como muitas empresas não têm os meios necessários para a execução de grandes atualizações de sistema, seja pelos custos, seja pela indisponibilidade de pessoal para a execução das tarefas, seja até mesmo pela inexistência de versões mais atualizadas, é possível que pessoas mal-intencionadas encontrem e explorem brechas de segurança nos sistemas que não foram atualizados.

Um exemplo bastante comum é a utilização de um sistema operacional desatualizado, como o Windows XP, que apesar de não receber suporte e atualizações da Microsoft há anos, ainda é encontrado em um grande número de dispositivos empresariais ao redor do mundo.

6. Por que contar com um firewall

Um importante mecanismo de segurança da informação, o firewall serve como uma ferramenta para o controle de tráfego entre as máquinas de determinada rede interna e em suas conexões com redes externas, como a internet.

Por meio do uso de um firewall é possível adotar protocolos de segurança que garantem a comunicação eficiente e correta entre dois sistemas, inibindo a ação de intrusos dentro do fluxo de informações, que podem resultar em venda de informações privilegiadas, bloqueio de computadores para resgate (ransomware) e até mesmo utilização dos dados para o cometimento de crimes.

7. Por que é tão importante a proteção para os e-mails

Como falamos em diversos tópicos, os e-mails são um dos alvos favoritos dos criminosos digitais, já que muitas vezes eles servem para explorar o fator humano na gestão de segurança da informação e encontrar brechas para ações ilegais.

Por isso, é interessante que a empresa conte com serviços de e-mail que ofereçam uma camada adicional de segurança: ferramenta antispam que possua análise preditiva do conteúdo pela inteligência artificial, a identificação de e-mails e anexos suspeitos e até mesmo a marcação de mensagens fraudulentas a partir de um banco de dados de segurança.

8. Medidas preventivas para garantir a segurança da informação

Também é importante conhecer algumas medidas preventivas que permitem às empresas adotar estratégias de segurança da informação e evitar problemas de vazamento de dados, acesso indevido à informações sigilosas e até mesmo processos judiciais. Veja algumas boas práticas de segurança da informação abaixo:

• reduzir ameaças com verificação de segurança antes e depois da contratação;
• alterar as senhas após a saída de funcionários;
• efetuar verificação de segurança em todas as contas oficiais;
• desenvolver políticas conjuntas de Recursos Humanos e Tecnologia;
• estabelecer uma política de feedback entre os funcionários e a empresa.

Como é possível perceber, garantir a segurança da informação de uma empresa exige uma série de cuidados e ações que, em conjunto, são capazes de evitar brechas de segurança, garantir o acesso seguro aos dados e oferecer as ferramentas necessárias para o desenvolvimento eficiente das atividades da empresa.

Além disso, ao adotar políticas claras de segurança da informação, como é o caso do firewall e das ferramentas de proteção para e-mail, a empresa também garante o sigilo de informações estratégicas e evita que projetos, lançamentos e novos produtos sejam atrapalhados por vazamentos.

Também vale destacar que, ao observar os princípios da segurança de dados, que citamos no início do texto, os gestores da empresa são capazes de definir políticas de trabalho eficientes e que garantam aos colaboradores os meios necessários para desenvolver suas funções de forma segura e transparente.

O que você achou de nosso guia completo sobre segurança da informação, de entender o que é, como funciona, quais são seus princípios e conhecer as práticas e estratégias que garantem a segurança dos dados de seu negócio? 

Se quiser conhecer ferramentas que podem auxiliar sua empresa a criar uma rotina e métodos de segurança, clique aqui para bater um papo com a gente!