Por que garantir a segurança da informação nas empresas?

14 minutos para ler

A segurança da informação é um dos principais requisitos colocados diante das empresas de hoje, principalmente em relação à proteção de dados no âmbito profissional. Assim, o tema deve ser uma preocupação tanto dos profissionais de TI como de RH.

Nesse sentido, foi publicada a Lei Geral de Proteção de Dados Pessoais (LGPD) em 2018. Entre outros temas, a norma estabelece os níveis de qualidade esperados no tratamento de informações, exigindo respeito à privacidade, à intimidade e à inviabilidade de dados pessoais.

A seguir, abordamos as principais questões de segurança da informação e por que o assunto deve ser uma prioridade. Continue a leitura para entender um pouco mais sobre o tema e preparar a sua empresa!

O que é segurança da informação?

A área concentra os estudos e medidas voltadas para proteção de dados, com o objetivo de garantir atributos específicos, como autenticidade, integridade, confidencialidade e disponibilidade. 

Autenticidade

O primeiro atributo corresponde a manter a conformidade das relações entre autoria e conteúdo. Trata-se de garantir que a informação não foi criada por fonte diversa da que deve ter os poderes para tal. Por exemplo, no RH, o colaborador não pode ter acesso para mudar o controle de ponto.  

Integridade

Já a integridade diz respeito ao conteúdo, ou seja, a impedir modificações indevidas ou destruição de dados.

Confidencialidade

Outro princípio é manter as restrições de acesso aos dados conforme o nível de sensibilidade da informação.

Disponibilidade

A informação, por fim, deve ser acessível apenas aos usuários autorizados. 

O trabalho, portanto, é amplo. A Segurança da Informação precisa tomar providências para evitar ameaças internas, como acesso por colaboradores não autorizados, e externas, como roubo de dados por invasores de sistemas.

Em uma empresa, a atividade se desdobra em diferentes tópicos:

  • decisão sobre tecnologias adotadas;
  • escolha do modelo de armazenamento de dados;
  • estruturação de processos internos;
  • elaboração de práticas de educação dos usuários;
  • implementação de métodos de fiscalização e auditoria;
  • identificação de vulnerabilidades e prevenção de riscos;
  • tomada de providência para adaptação às leis.

Qual é a importância nas empresas?

A relevância da proteção de dados está vinculada às informações sob a guarda da organização, bem como as consequências de elas serem roubadas ou tornadas públicas. Veja exemplos:

  • segredos relacionados à estratégia de negócios;
  • comunicação interna, como emails e mensagens trocadas;
  • dados protegidos por sigilo fiscal, contábil ou bancário;
  • propriedades intelectuais, como design e tecnologias, especialmente em desenvolvimento;
  • informações pessoais de clientes e colaboradores.

Para se ter uma noção dos impactos de uma violação de dados, a IBM Security estima anualmente os custos para empresas, em pesquisa conjunta com o Instituto Ponemon. O relatório de 2019 revela o seguinte cenário:

  • o custo-médio das violações é de 1,35 milhões de dólares para empresas no Brasil;
  • ocorreu um crescimento de 18,93% em relação ao ano anterior;
  • o tempo médio para identificação do ciberataque é de 250 dias e para contenção é de 111 dias.

Também é importante destacar que, a partir da LGPD, ficou prevista a responsabilidade civil das empresas em caso de violação de dados pessoais, na condição de operadoras ou controladoras dessas informações.

Logo, a tendência é que, à medida que a legislação se torne mais conhecida, os pedidos de indenização comecem a fazer parte da rotina de quem não aplica boas práticas de segurança da informação, aumentando os prejuízos.

Quais são os principais riscos de Segurança da Informação nas empresas?

Os cuidados de proteção de dados exigem a mobilização de todos os departamentos que, de alguma maneira, acessam e compartilham informações. Por exemplo, o trabalho do TI de encontrar boas soluções na nuvem e realizar backups automáticos pode ser comprometido se um colaborador guarda cópias dos documentos sensíveis em local inseguro.

Não por acaso, os riscos da segurança da informação não envolvem apenas as vulnerabilidades dos sistemas de informática, mas também os problemas de comportamento humano. Só para citar um caso, pode ser mais efetivo enviar um email solicitando dados pessoais do que invadir um servidor com essas informações.

Por isso, é comum dividir o papel da segurança da informação em camadas. A física corresponderia a conservação dos dispositivos de informática; a lógica, as funcionalidades e programação de softwares e a humana, ao comportamento e atitude dos usuários. A seguir, listamos os principais riscos para oferecer um pouco mais de clareza sobre o tema.

 Phishing

O nome pode ser traduzido como “pescaria” e diz respeito a métodos utilizados para capturar dados. Assim, trata-se de um modelo em que prepondera a questão comportamental mais do que técnicas sofisticadas de programação.

Um exemplo típico é o envio de emails que redirecionam o alvo para uma página de cadastro, que simula o endereço de serviço conhecido pelo usuário, como um e-commerce ou site de banco. Lá, são solicitadas informações confidenciais, como número de cartão de crédito e documentos de identificação.

No ambiente empresarial, a Symantec, empresa responsável pelo antivírus Norton, calcula a taxa de emails maliciosos recebidos por organização. Em média, no relatório de 2019, os resultados foram os seguintes:

  • empresas de 1 a 250 funcionários recebem cerca de 6,6%;
  • de 251 a 500— 8,3%;
  • de 501 a 1000— 6,6%;
  • de 1001 a 1500— 8,3%;
  • de 1501 a 2500— 7,3%
  • acima de 2501— 8,6%.

Pelos dados, de cada 100 emails recebidos, mesmo em pequenas empresas, cerca de 6 apresentam potencial de roubo de informações sensíveis. Logo, considerando o volume de mensagens trocados, todos os dias as empresas estão expostas a riscos.

Espionagem industrial

A prática consiste em ações coordenadas para obter informações empresariais sigilosas, geralmente como mecanismo de concorrência desleal. Em regra, o infrator pode se aproveitar de falhas em todas as camadas de segurança, inclusive, da corrupção de colaboradores envolvidos com o tratamento de dados. 

Já as motivações do crime são as mais diversas, como divulgar informações prejudiciais à imagem de concorrente, descobrir informações financeiras ou identificar práticas ilícitas. Um caso comum é buscar acesso à propriedade intelectual, inventos, códigos fonte de softwares, protótipos etc., sendo mais danoso quando o bem não está protegido por patente ou registro de direitos autorais.

Ransomware

O terceiro risco é uma modalidade de extorsão realizada com o auxílio de recursos digitais. O ataque consiste em tornar dados relevantes dos usuários inacessíveis, geralmente com o uso de criptografia, e, posteriormente, cobrar uma quantia para restaurar a disponibilidade.

E mais, mesmo se a vítima acionar os órgãos de polícia, pode não ser possível identificar o infrator. Afinal, os crimes não ocorrem dentro de um único território, e o responsável, pela internet, de qualquer lugar do mundo.

Uma tendência a ser observada é que, conforme os dados 2019 da Symantec, os ataques de ransomware contra empresas subiram 12% em oposição aos direcionados ao público em geral— que apresentam queda de 20%.

O relatório explica o motivo: as corporações, ainda, utilizam-se do email como principal ferramenta de comunicação interna, e a maioria dos ataques é disseminado por softwares maliciosos nas correspondências eletrônicas.

Roubo de dados

Assim como na espionagem industrial, o roubo de dados pode se utilizar de vulnerabilidades em diferentes camadas de segurança. Logo, conta com comportamentos inseguros dos usuários: manter arquivos sensíveis em locais inadequados (usb, hd externo), criar senhas fracas ou armazená-las em local de fácil acesso, instalar softwares sem conhecer a origem etc.

Cresce, entre os casos, um ataque conhecido como roubo de IP ou spoofing IP. Nele, o infrator simula um endereço que a rede da vítima considera confiável. Assim, é possível enviar e receber pacotes de dados, interceptando informações sensíveis, como receber um arquivo que seria enviado para um dos setores da empresa, ou criar condições para fraudes, como redirecionar o usuário para uma página de internet.

Ataques DDoS

A sigla pode ser traduzida como ataques de negação de serviço distribuído (distributed denial-of-service) e consiste em explorar os limites dos servidores, ao ponto, de eles não conseguirem manter a atividade: o acesso se torna lento ou é interrompido devido ao excesso de solicitações simultâneas.

Isso ocorre, frequentemente, com o uso de computadores infectados por vírus. Uma máquina envia os comandos para que milhares de outras acessem um servidor. Assim, os chamados zumbis sobrecarregam o sistema e reduzem a disponibilidade dos serviços. 

Perceba que empresas que não utilizam soluções na nuvem estão mais expostas ao problema, porque contam apenas com a própria infraestrutura para suportar as solicitações simultâneas de serviços.

Falta de treinamento de funcionários

Como visto, o aspecto humano é um componente essencial para facilitar as violações de dados. Isto é, os ataques combinam ferramentas tecnológicas com a chamada engenharia social, em que são realizadas interações com o objetivo de induzir a pessoa a adotar comportamentos inadequados, como revelar dados, baixar arquivos e instalar softwares.

Os conhecimentos, habilidades e atitudes relacionados à segurança da informação, nesse sentido, são gaps de competência visto em muitas pessoas. E, normalmente, os colaboradores já ingressam nas organizações com uma distância considerável em relação aos patamares ideais.

Com efeito, se não houver investimentos em treinamento de funcionários, as vulnerabilidades tendem a se perpetuar. Veja que o RH também exerce uma papel de destaque, porque, além de cuidar dos próprios dados, é quem recruta, avalia e qualifica para que o capital humano incorpore comportamentos e atitudes compatíveis com os critérios de segurança da informação.

Como manter a sua empresa segura?

Para minimizar riscos, a empresa precisa realizar investimentos nas três camadas da segurança da informação: física, lógica e humana. Confira, logo abaixo, boas práticas que podem trazer melhorias imediatas.

Garanta que os sistemas estejam atualizados

O desenvolvimento de um software não acaba com a sua entrega ao destinatário. Embora trabalhem para prever problemas, os programadores não conseguem abarcar todas as variáveis. Assim, ao longo do tempo, as atualizações do sistema são fundamentais para eliminar vulnerabilidades.

Hoje em dia, a tarefa pode ser simplificada com soluções na nuvem. Atualmente, mesmo áreas especializadas como RH, Contábil e Financeiro já encontram plataformas inteiramente online, em que o próprio fornecedor se encarrega de manter o sistema atualizado.

Invista na autenticação de múltiplos fatores

As senhas são os recursos mais comuns para restringir acesso. O problema é que, de um software para capturar as teclas digitadas até simplesmente olhar a tela do celular, há diversas formas de burlar esse sistema.

Por isso, a segurança da informação desenvolveu diversos fatores de autenticação, objetivando dificultar o acesso não autorizado. A prática consiste em combinar elementos de diferentes naturezas:

  • algo que esteja em posse da pessoa— como token, celular ou cartão de códigos;
  • algo que a pessoa saiba— número de PIN, nome de usuário, senha etc.;
  • algo que é parte da pessoa— íris, veias da mão, face ou impressões digitais.

Perceba que cada item adicionado à verificação gera um novo nível de dificuldade para o infrator. Por exemplo, a combinação de senha e um dispositivo que gere códigos aleatoriamente exige roubar a senha e o aparelho.

Crie uma política de segurança e de restrição de acessos

Outro passo importante é consolidar boas práticas de segurança da informação em um documento, que terá finalidade educativa e normativa. A primeira consiste em esclarecer os comportamentos adequados e conscientizar os destinatários, enquanto a segunda fixa proibições, poderes e diretrizes.

Entre os tópicos mais relevantes, as empresas devem estabelecer níveis de acesso, ou seja, quem pode visualizar, copiar, modificar ou criar o quê. Igualmente, é importante estabelecer possíveis punições para a infração das regras.

Ademais, a política será importante para os treinamentos de funcionários, porque as normas previstas servirão de parâmetro para definir os assuntos a serem abordados e avaliar o desempenho do colaborador.

Implemente o sistema de criptografia

Também é possível aumentar a proteção das camadas de segurança da informação com um sistema que aplique a criptografia aos dados. A ideia é usar algoritmos matemáticos para que apenas o destinatário consiga reverter o código e transformá-lo em informação inteligível.

Isso deve ser um padrão não apenas nas comunicações com ambientes externos, como ocorre com o certificado ssl em sites, mas também no âmbito interno. Estabeleça a criptografia como um critério para avaliar a qualidade dos softwares e plataformas disponíveis para os departamentos da empresa.

Esteja adequado ao que pede a LGPD

A LGPD trouxe uma série de novos parâmetros para empresas e os serviços terceirizados que ela contrata. A mudança gerou uma nova postura em relação ao tratamento de dados pessoais comuns e sensíveis, que são definidos assim na lei:

dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

A norma também fixa princípios que devem ser cumpridos por quem necessita coletar os dados pessoais de colaboradores, clientes, fornecedores, prestadores de serviços, enfim, de qualquer pessoa natural. Ao todo, traz 10 pontos para orientar o comportamento das organizações:

  • finalidade— atuação legítima e sem fugir dos propósitos informados;
  • adequação— o tratamento dos dados deve estar conforme o informado e o contexto em que a informação foi obtida;
  • necessidade— a exploração deve ser a menor possível dentro do fim proposto;
  • livre acesso— a pessoa afetada deve poder saber gratuitamente o que está sendo feito com os dados e qual a situação deles;
  • qualidade dos dados— assegurar que as informações, conforme a finalidade, sejam exatas, claras, relevantes e atualizadas;
  • transparência— assegurar informações claras, precisas e facilmente acessíveis sobre o que está sendo feito e quem são os responsáveis, sem prejuízo de segredos comerciais e industriais;
  • segurança— adoção de práticas eficientes para proteção dos dados contra acidentes e condutas ilícitas;
  • prevenção— ação para minimizar a ocorrência de dados relacionados aos dados pessoais;
  • não discriminação— não uso de dados pessoais para discriminação, ilicitudes e abusos;
  • responsabilização e prestação de contas— incorporação de práticas de accountability a respeito do tratamento de dados realizado.

Por que investir na cultura de prevenção?

As repercussões da violações de dados são bastante negativas, gerando prejuízos econômicos além da possibilidade de responsabilização jurídica. Assim, é importante que a preocupação com a prevenção desses eventos ultrapasse as barreiras do TI e alcance toda a organização.

Por viverem na Era da Informação, as empresas precisam incorporar valores e pressuposições compatíveis com as exigências desse cenário. Não dá para adotar uma cultura inflexível e esperar bons resultados.

A prevenção, nesse sentido, deve começar pelos elementos visíveis, como migração para soluções na nuvem, documentação da política da empresa, treinamento de funcionários, oferecimento de materiais educativos, recompensas e outros elementos que possam servir de artefatos para nova cultura.

Com a mudança da camada externa, aos poucos, os colaboradores serão afetados em níveis culturais mais profundos, incorporando a ideia de minimizar riscos aos valores e pressuposições básicas. 

Por fim, os comportamentos corretos estarão enraizados e serão partilhados pelo grupo, melhorando a segurança da informação por meio de atitudes preventivas que mantenham a integridade, confidencialidade, integridade e autenticidade dos dados.

Para aprender mais sobre proteção de dados e soluções de tecnologia para sua empresa, siga nossas páginas no Facebook e Linkedin!

Posts relacionados

Deixe um comentário