
Segurança da informação: como implantar na sua empresa
Assim como a Tecnologia da Informação (TI) vem passando por uma constante evolução — adquirindo um elevadíssimo grau de importância no mundo corporativo atual —, as ameaças virtuais também se desenvolveram a ponto de oferecer riscos de proporção inédita. Assim, a segurança da informação deve ser levada muito a sério.
O Brasil, por exemplo, tem sido um alvo constante dos cibercriminosos. Segundo uma pesquisa feita pela PWC em 2016, os ataques cresceram em 274% — mais que sete vezes o índice global. No ano em que a pesquisa foi divulgada houve um prejuízo financeiro de US$ 10,3 bilhões no país em decorrência de cibercrimes, de acordo com a Symantec.
Considerando que esses números representam apenas a ponta do iceberg — visto que não chegamos a falar sobre a crescente onda de ataques de ransomware que vitima milhares de empresas pelo mundo —, a segurança cibernética tem sido uma das prioridades das organizações atualmente.
Portanto, para que índices assustadores como esses não reflitam nos negócios da sua empresa, elencamos, neste post, uma série de procedimentos básicos para a implantação de uma política de segurança da informação eficiente. Vamos às dicas?
Comece pelo planejamento
Encabeçando a lista de deveres temos o planejamento. Você sabe o que está envolvido no planejamento e quem deve fazê-lo? Antes de tudo, planejar a segurança da informação é uma estratégia pertinente ao gestor de TI, porém, ela deve ser feita em conjunto com os demais stakeholders.
Por que os outros departamentos devem participar? Considerando que a maioria dos departamentos, se não todos, são informatizados, é elementar que os diretores se responsabilizem por orientar e cobrar suas respectivas equipes sobre a segurança da informação.
O princípio do planejamento, no entanto, pode ser o levantamento das informações geradas por cada setor, de maneira que os envolvidos adquiram uma visão completa dos dados.
Em seguida, é preciso fazer uma análise da criticidade de cada tipo de dado para o negócio e, a partir dessa avaliação, o gestor de TI poderá determinar normas, regras e estratégias de proteção cabíveis a cada equipe.
Elabore a política de segurança da informação
Com base nas informações obtidas no planejamento, é recomendável que a TI da empresa elabore uma política de segurança da informação (PSI). Sem dúvidas, essa atitude é uma ótima prevenção a ameaças internas e externas.
Uma PSI é um conjunto de normas, orientações e regras que devem ser seguidas por todos os colaboradores que têm acesso aos dados corporativos — salientando que eles são um dos maiores patrimônios da empresa. Portanto, a participação dos stakeholders nessa etapa permanece fundamental.
Alguns pontos que são definidos na elaboração de uma PSI:
- tipos de informações a se gerenciar;
- hierarquia de acesso aos dados;
- principais riscos acerca de cada dado e as consequências do vazamento;
- ativos de TI expostos a ameaças externas;
- mecanismos e medidas para reduzir as vulnerabilidades da infraestrutura;
- regras para BYOD (Bring Your Own Device), caso a empresa tenha adotado o conceito;
- melhores práticas para o uso dos recursos de TI; entre outros.
Como podemos imaginar, existe uma extensa gama de aspectos a serem discutidos na definição das regras de PSI — o nível de complexidade do documento dependerá do porte e da infraestrutura de TI da empresa.
Assim que for confeccionado e aprovado pelo departamento de Recursos Humanos, esse documento deverá ser compartilhado entre todos os funcionários para esclarecer sobre a importância de seguir as recomendações relativas ao uso dos recursos computacionais.
Programe treinamentos para as equipes
Levando em consideração que o staff de uma empresa não se resume em especialistas de TI — ou seja, em um mesmo ambiente trabalham pessoas de diversos departamentos —, é certo que boa parte dos colaboradores pouco sabe a respeito do uso consciente dos dados.
Nesses casos, o investimento em treinamentos para os funcionários é providencial, desde que certos cuidados sejam tomados na hora de contratar uma empresa para fornecer o treinamento — que pode ser ministrado pela equipe de TI, inclusive.
As regras inseridas na política de segurança da informação devem ser claras o suficiente para que o plano de aula seja feito corretamente, evitando que os colaboradores não recebam as devidas orientações e que a medida resulte em prejuízos.
Em suma, o objetivo de manter as equipes bem treinadas é conscientizar os colaboradores sobre a importância de proteger os dados e, principalmente, enfatizar a responsabilidade de cada um para manter o ambiente seguro.
Invista no backup dos dados
O backup é um elemento essencial para a segurança da informação e não pode, em hipótese alguma, ser negligenciado ou ignorado pelas empresas. Porém, mesmo sendo tão importante, ainda é comum que existam empresas que não realizam cópias de segurança dos dados ou que utilizam métodos inadequados para tal.
Acima de tudo, o backup é a única solução que assegura a disponibilidade das informações perante desastres significativos. Os ataques de ransomware, por exemplo, consistem no sequestro de dados que nem sempre são recuperados, mesmo quando a empresa se dispõe a pagar pelo resgate.
Além disso, o ransomware pode se manifestar a qualquer instante. Portanto, os dados sequestrados podem não ter sido copiados a tempo. Nesse caso, se a empresa não faz o backup dos dados ela perderá parte das informações definitivamente — ou pagará muito caro tentando recuperá-las.
Por outro lado, se o backup não é realizado em tempo real — e na nuvem, especialmente —, ela não terá assegurado a integridade de todos os dados. Atualmente, existem meios altamente eficientes de fazer o backup dos dados, como o backup em nuvem (cloud backup) e o backup remoto (armazenamento de cópias em instalações distantes).
Insira a segurança da informação no plano de contingência
Um plano de contingência serve para garantir que a empresa reaja da melhor diante de desastres da melhor maneira possível. Ou seja, ela ter uma série de medidas bem planejadas para eliminar ou mitigar as consequências de um risco.
É possível que você já tenha ouvido falar no plano de contingência como um meio voltado para a disponibilidade dos ativos, porém, hoje a questão é ligada à segurança da informação — afinal, a maioria dos riscos de TI ameaça a integridade dos dados.
O que engloba um plano de contingência em segurança da informação? O objetivo de assegurar a aplicação da PSI em situações críticas, mantendo a comunicação entre os departamentos, de modo que cada membro esteja preparado para agir em meio a incidentes.
As nossas dicas para implantar a segurança da informação na sua empresa podem ser úteis a seus contatos? Ajude a disseminar o conteúdo clicando nos botões de compartilhamento para publicar nas suas redes sociais!