Com a criação do Regulamento Geral Sobre Proteção de Dados na Europa, no ano de 2016, a segurança da informação passou a ser um ponto de grande importância e cuidado por parte das empresas que tratam dados de clientes.
A segurança da informação é crucial se uma empresa deseja proteger todos os dados da instituição, um fator indispensável para o exercício de qualquer atividade empresarial.
- O que é segurança da informação?
- Como a segurança da informação se aplica à LGPD?
- Como aplicar estas medidas a fim de aprimorar a segurança de dados em empresas?
- O que é um plano de segurança de informação?
- Melhores práticas de medidas de segurança da informação
- Como garantir que as medidas de segurança da informação serão aplicadas e evitar erros?
- Qual a diferença entre sistema de segurança de informação e gestão de segurança de informação?
- Existe algum curso ou certificação nesta área?
O que é segurança da informação?
Segurança da informação é um conjunto de ações e boas práticas que têm como finalidade proteger um grupo de dados.
De tal maneira, essas medidas de segurança podem ser aplicadas em todas as empresas que trabalham com dados, uma vez que toda organização gera informações próprias.
A segurança da informação se baseia em quatro pilares que sustentam todas as medidas tomadas para garantir a proteção dos dados, que são:
- confidencialidade;
- autenticidade;
- integridade; e
- disponibilidade.
Por que cada um destes pontos são importantes para a segurança de dados?
Para entendermos a importância dos conceitos de confidencialidade, autenticidade, integridade e disponibilidade, traremos exemplos sobre cada um deles.
Um erro na confidencialidade, por exemplo, pode acabar deixando os dados de uma organização livres para que concorrentes possam acessá-los, sejam eles destinados para estratégias ou não.
Por outro lado, pode ocorrer um ataque nos servidores por parte de hackers, fazendo com que os dados de clientes armazenados sejam vazados ou roubados.
De toda forma, para ambos os casos a empresa terá prejuízos financeiros, uma vez que ela pode ser multada ou então perder novos clientes.
E, além disso, a imagem da instituição no mercado no qual ela trabalha será manchada por causa das falhas de segurança para com os clientes, sendo um ponto que atrapalha na obtenção de clientela.
Agora, quando falamos sobre autenticidade, mencionamos principalmente garantir que as informações preservadas sejam autênticas para evitar fraudes.
Um exemplo claro disso é o uso dos dados do cartão de crédito do cliente, fator que pode levar a clonagem e que eventualmente acaba sendo mostrado ao público que, por sua vez, perde a confiança.
Já a integridade está fortemente ligada à ferramentas e mecanismos de segurança, como os backups, a fim de garantir que os dados não sejam perdidos em caso de erros no sistema adotado pela empresa.
Por fim, quando falamos de disponibilidade, estamos falando justamente da possibilidade de acessar os dados a qualquer momento.
Ou seja, é necessário que todas as informações estejam disponíveis quando requisitadas, sendo este um fator que gera agilidade em processos.
Agora, caso uma empresa não preste atenção em todos estes pontos, o prejuízo virá sobre a instituição nas mais variadas áreas.
Afinal, com o uso cada vez mais intenso da redes sociais, as informações se espalham muito mais rapidamente no ambiente virtual.
Dessa forma, caso algum cliente faça uma reclamação na internet, ou haja dados vazados nesse ambiente, a reputação e imagem da empresa será prejudicada.
Sendo assim, todas as ações devem possuir base nos quatro pilares principais aqui citados para evitar problemas.
Quais os objetivos almejados por essas medidas?
A primeiro momento, é possível entender que o principal propósito de todas as ações tomadas aqui tem como fim proteger os dados e informações.
Contudo, é preciso entender que a segurança da informação vai além de uma estratégia adotada por uma instituição. Afinal, ela é uma das principais encarregadas pelo bom funcionamento e evolução do negócio.
Isso se dá tendo em vista que, atualmente, quem detém dados e informações possui poder.
E, por outro lado, no âmbito corporativo, é válido pontuar que as informações têm sido utilizadas de forma estratégica para que as instituições cresçam e se destaquem entre concorrentes.
Um bom exemplo para ilustrar isso é o uso do Big Data, algo que tem sido cada vez mais comum.
Analisando por outra perspectiva, os crimes cibernéticos estão crescendo, o que faz com que seja cada vez mais necessário possuir consciência do cenário atual.
Por isso é preciso tomar medidas para evitar problemas como invasões e roubo de dados, evitando que a empresa possua qualquer prejuízo.
Mas, para isso, é necessário possuir um bom planejamento para implementar tais medidas de proteção aos dados.
Como a segurança da informação se aplica à LGPD?
Um dos pontos que tem sido mais comentados ao falar sobre dados é o advento da LGPD, a Lei Geral de Proteção de Dados, sancionada em agosto de 2018.
Essa nova lei terá efeito sobre todos os setores da economia para empresas de todos os tamanhos.
A lei solicita que seja adotada uma forma diferente de trabalhar com dados, então pontos como segurança, transparência e privacidade e proteção de dados pessoais se tornaram mais importantes.
Agora, para as empresas que não respeitarem as diretrizes da lei, as multas podem chegar a valores de até R$50 milhões.
De tal forma, neste momento se tornou mais forte ainda a importância de garantir que todos os pontos colocados pela LGPD sejam garantidos.
E, para isso, todas as soluções de segurança devem estar em conformidade, a fim de garantir uma proteção completa dos dados de clientes.
Essas medidas, além de serem requisitadas pela lei, servem justamente para evitar que os dados sejam roubados através de invasões de hackers ou extraviados por compartilhamentos realizados incorretamente ou até mesmo má fé de colaboradores internos das empresas.
Assim, é possível analisar que o principal desafio enfrentado por todas as empresas que trabalham com dados no momento é justamente garantir a proteção de todos eles.
Com a chegada da lei, os profissionais deste ramo são prejudicados?
Agora, olhando pelo lado do profissional dessa área, o advento da lei é um ponto benéfico.
Afinal, perante a norma, devem ser utilizadas medidas técnicas e administrativas para proteger os dados, o que faz necessário existir uma Governança dos Dados.
Ou seja, serão identificados pontos como:
- onde o cliente mora;
- qual o fluxo do dado;
- classificação de nível (se é um dado pessoal, sensível ou se não);
- gerenciamento de uso e ciclo de vida dos dados.
Tudo isso possui uma finalidade comum: evitar vazamentos e a perda, total ou parcial, de informações enquanto é feito um monitoramento do uso.
Porém, o aconselhado é buscar que todas as dicas que iremos trazer sejam seguidas em conjunto.
Como aplicar estas medidas a fim de aprimorar a segurança de dados em empresas?
Após entendida a importância e tendo ciência de que a segurança da informação nas empresas é um dos pontos fundamentais para o seu bom funcionamento, a dúvida que fica é sobre como implementá-la.
Para isso, existe uma série de práticas que podem ser implementadas na área de TI para que a empresa mantenha-se alinhada à lei. Confira então as recomendações para estar adequado a lei e evitar eventuais problemas:
- acompanhar tendências e evoluções na área de tecnologia, uma vez que as evoluções deste segmento são constantes;
- procure sempre manter os softwares e drives atualizados;
- tenha controle sobre o acesso que os colaboradores tem aos dados;
- possua um bloqueio de sistema de saída, evitando que qualquer dado seja liberado sem que os funcionários de TI tenham ciência;
- possua políticas de segurança dentro da empresa;
- mantenha todos os processos e políticas de segurança alinhados;
- faça treinamentos com a equipe de pessoas que trabalham na empresa para deixar todos a par das medidas de segurança;
- invista em ferramentas para realizar o monitoramento na rede ou servidor aos quais os dados estão armazenados;
- faça uso da criptografia de dados para impedir o acesso sem chaves privadas;
- tenha parceria ou contato de empresas especializadas no ramo de segurança da informação;
- possua planos de contingência a fim de saber como agir em situações que ofereçam riscos para os dados coletados; e
- sempre realize um backup dos dados, sendo indicado principalmente em nuvem, para possuir uma alternativa em termos de recuperação de dado caso seja necessário devido algum incidente.
E tendo isso em vista, a principal recomendação ao falarmos sobre este assunto é justamente adotar uma boa política de segurança com todas estas dicas.
O que é um plano de segurança de informação?
Ao falar sobre os possíveis procedimentos de segurança da informação de uma empresa, é necessário a implementação de medidas técnicas, administrativas e organizacionais, principalmente colocando em prática o SGSI (Sistema de Gestão de Segurança da Informação).
Este, por sua vez, é um conjunto de normas específicas as quais devem ser seguidas.
Este plano foi aprovado no ano de 2012 e ele dita que os sistemas de administração de informações e dados devem seguir os seguintes critérios:
- autenticidade;
- auditoria;
- privacidade; e
- não repúdio.
Para isso são levados em conta os quatro pilares que citamos anteriormente. Ou seja, é necessário que somente as pessoas autorizadas pela empresa tenham acesso às informações e dados, gerando confidencialidade.
Além disso, todas as alterações nos dados apenas poderão ser realizadas caso exista uma autorização pela empresa, o que traz a integridade.
Por outro lado, é altamente necessário que as informações fiquem disponíveis a qualquer momento para quando as pessoas forem utiliza-las, o que traz a disponibilidade.
E por fim, mas não menos importante, este plano requer que os dados sejam autênticos de maneira a evitar fraudes ou uma eventual clonagem.
Agora, para seguir todas esses pontos imprescindíveis, os dados devem ser gerenciados e protegidos contra fraudes, roubos, espionagem ou perda de dados, além de outras ameaças.
Melhores práticas de medidas de segurança da informação
Ao analisar as medidas tomadas para garantir a segurança de informações, é possível entender que podem existir práticas básicas e sofisticadas.
O aconselhado é que todas elas sejam seguidas para que uma empresa esteja adequada em relação a Segurança da Informação e LGPD, principalmente.
Para ficar mais simples, trouxemos então uma série de práticas para garantir que tudo seja seguido corretamente, veja:
- detectar possíveis vulnerabilidades no hardware e no software utilizados;
- sempre realizar cópias de segurança dos dados, o chamado backup;
- as redundâncias de sistemas não são uma opção ruim, ou seja, possuir mais de um servidor ou equipamento para poder dar continuidade às operações do negócio pode ser interessante;
- possua alta eficácia no controle de acesso através de um firewall, assinatura digital ou por meio da biometria das pessoas que possuem autorização;
- tenha um documento que sentencie diretrizes comportamentais para os colaboradores da instituição, chamada de política de segurança da informação;
- opte por uma estrutura de nuvem, seja ela pública, privada ou híbrida;
- tome cuidado com eventuais ameaças através de uma gestão de riscos apropriada, evitando falta de orientação, erros em procedimentos internos, negligência ou malícia;
- as regras do negócio e da empresa em tudo que diz respeito aos dados devem estar bem definidas;
- organização é um ponto imprescindível;
- contratos de confidencialidade com organizações e terceirizados vinculados à área de TI são bem vindos;
- sempre possua uma boa gestão de continuidade de negócios, chamada de GCN; e
- o benchmarking é um instrumento de gestão que auxilia muito a empresa.
Como garantir que as medidas de segurança da informação serão aplicadas e evitar erros?
Uma vez colocadas todas as medidas e práticas para manter dados protegidos, é preciso considerar que de nada adianta apenas possuir mecanismos de segurança da informação, mas não garantir que os mesmos sejam colocados em prática.
Sendo assim, se torna necessário ter certeza de que tudo está tendo aplicação no dia a dia, evitando eventuais problemas relacionados a segurança da informação.
E, para isso, existe uma série de medidas as quais podem ser feitas pelo gestor de TI de uma instituição ou alguém encarregado por analisar a segurança de dados, conforme veremos a seguir:
- Proteger a rede e o uso da internet através de um UTM (Unified Threat Management), restringindo acessos a sites específicos
- Possuir uma preservação e atualização constante dos sistemas utilizados
- Orientar os usuários para identificar eventuais riscos, prevenindo possíveis ataques ao sistema
1.Proteger a rede e o uso da internet através de um UTM, restringindo acessos a sites específicos
Dessa maneira é possível impedir que ocorram acidentes que podem ser prejudiciais.
O grande exemplo aqui são os malwares que sequestram os dados, conhecidos como ransomwares.
Para isso podem ser bloqueados o acesso a:
- sites estranhos;
- sites para download;
- algum site de jogos;
- locais na internet que dão espaço a violência; e
- sites de pornografia.
Contudo, o aconselhado é ter em vista o investimento necessário para obter um UTM (Unified Threat Management).
Outros pontos importantes são a manutenção e atualizações, bem como a relação entre os benefícios que o investimento proporciona.
2. Possuir uma preservação e atualização constante dos sistemas utilizados
Atualmente existem diversas formas as quais podem ser utilizadas para o roubo e ataques a bancos de dados.
Normalmente elas são causadas por eventuais falhas e vulnerabilidades do sistema ou então através da curiosidade dos usuários.
É justamente por isso que o sistema da empresa deve estar sempre atualizado.
E a preocupação aqui se encontra em:
- atualizar os sistemas operacionais com periodicidade;
- revisar as políticas de segurança da empresa e atualizá-las, caso necessário;
- configurar os roteadores de internet com constância;
- possuir um bom antivírus;
- deixar os navegadores dos computadores sempre atualizados; e
- identificar possíveis falhas na rede de tempos em tempos.
Através de todas estas medidas é possível evitar problemas nos sistemas.
3. Orientar os usuários para identificar eventuais riscos, prevenindo possíveis ataques ao sistema
Este ponto possui grande relação com o que foi citado anteriormente sobre a curiosidade dos usuários.
Afinal, muitas vezes por falta de conhecimento, as pessoas podem acabar clicando em links ou e-mails que levam para sites maliciosos.
Por isso, é altamente importante e recomendado que os funcionários sejam orientados para prevenir ataques e identificar riscos.
Uma dica aqui é elaborar um manual para o uso seguro do sistema e também da internet da instituição.
E a melhor forma de colocar isso em prática é oferecendo informação aos usuários tanto sobre eventuais fraudes como o uso correto dos equipamentos.
Qual a diferença entre sistema de segurança de informação e gestão de segurança de informação?
Quando falamos em gestão de segurança de informação é necessário entender que esta é uma área de TI que possui como principal função elaborar processos e sistemas para monitorar as informações coletadas e indicar ações no intuito de evitar incidentes de segurança da informação.
O profissional desta área é o responsável pela prevenção a possíveis ataques e furtos de dados que uma empresa pode sofrer.
Sendo assim, ele também se torna o incumbido por fazer, de maneira rápida, com que os sistemas sejam restabelecidos em casos de ameaças ou emergências.
Contudo, tanto um gestor nessa área como o sistema de segurança de informações podem trabalhar de maneira conjunta.
Afinal, no primeiro caso falamos de uma pessoa que realiza as funções, a fim de garantir a proteção dos dados, enquanto no segundo caso trata-se de um sistema que gera um local seguro para os dados.
Por isso, uma empresa pode possuir um gestor, ou uma equipe de gestores, para analisar se o sistema está funcionando corretamente e mantendo as informações protegidas.
Vale lembrar que os dois devem ser utilizados de maneira conjunta em uma empresa, fator recomendado por especialistas para que uma instituição possua boa medida de proteção a dados.
Existe algum curso ou certificação nesta área?
Existe atualmente dentro de uma equipe de TI uma alta importância para especialistas na área de segurança da informação.
E isso ocorre principalmente devido ao crescimento do volume de dados bem como o armazenamento e gerenciamento de tudo o que foi coletado de maneira segura.
De tal forma, a necessidade de um profissional especializado neste segmento se dá uma vez que o risco de ataques, seja por vírus ou hackers, e furto de dados tem sido cada vez maior.
Contudo, a dúvida que fica é sobre qual é o caminho para então poder ocupar essa vaga em uma empresa.
Para isso, o primeiro passo é se formar academicamente como profissional desta área a fim de possuir conhecimentos sobre tecnologia da informação e proteção de dados.
No entanto, isso é válido para pessoas que possuem interesse por este segmento e, para tal, pode ser feito um curso superior tecnológico.
O curso segurança da informação dura cerca de dois anos, totalizando quatro semestres, e pode ser feito em módulo EaD caso desejado.
Agora, para quem já atua na área de TI, existem outras opções para se especializar em segurança de informação.
Aqui, por sua vez, se enquadram os profissionais que já possuem bacharelado em alguma área relacionada à tecnologia como Ciência da Computação, por exemplo.
A indicação então é justamente a de realizar uma pós-graduação no segmento de proteção de dados.
Após finalizado o curso, o profissional pode atuar livremente então neste ramo devido aos conhecimentos adquiridos por ele ao longo de ambas as graduações.
Como as certificações agem dentro deste ramo da tecnologia da informação?
É notório que a área de TI possui diversas possibilidades de especialidades e certificações.
E, tendo em vista que novas tecnologias são introduzidas a cada ano, não é para menos.
Os certificados são pontos diferenciais muito valorizados no currículo, principalmente quando falamos sobre o profissional deste ramo, uma vez que são a comprovação de que o indivíduo possui domínio sobre aquele assunto.
Para quem deseja ter destaque dentro do ramo de privacidade e proteção de dados, em especial, existem três certificações principais que podem credenciar o profissional, sendo:
- Information Security Foundation (ISFS)
- Privacy and Data Protection Foundation (PDPF)
- Privacy and Data Protection Practitioner (PDPP)
Essas certificações são oferecidas pelo programa de formação EXIN para o DPO, profissional responsável pelas questões relativas à proteção de dados dentro de uma empresa, conforme determina a lei de proteção de dados.
No entanto, qualquer profissional que lida diretamente com dados e que deseja especializar-se está habilitado a certificar-se, sendo recomendado ainda, a quem precise, a realização do curso de nível básico PDPE – Privacy & Data Protection Essentials, que vislumbra um embasamento maior sobre o tema.
De toda maneira, o aconselhado para se tornar um bom profissional da segurança da informação é optar pelo investimento na carreira através principalmente das certificações para o ramo. Sendo assim, não perca tempo e dê um up no seu currículo agora mesmo!
