Por Juliana Gaidargi em 28/12/2018 em Artigo

Um estudo publicado pela ESET mostrou que 65% das empresas brasileiras já enfrentaram problemas com a segurança da informação. Um aspecto perturbador desse levantamento é que 50% das empresas participantes alegaram ter uma política de segurança definida.

Ou seja, não importa quão grande ou pequena seja a sua empresa, é preciso ter um plano para garantir a segurança de seus ativos de informação. Esse plano é chamado de programa de segurança de dados por profissionais de segurança da informação. Quer o seu plano tenha cinco ou 200 páginas, o processo de criação de um programa de segurança de dados fará com que você pense de forma holística sobre a segurança de sua organização.

Afinal, um programa de segurança de dados fornece a estrutura para manter a empresa em um nível de segurança desejado. Isso, além de avaliar os riscos enfrentados. Essa medida permite ao gestor decidir como poderá mitigá-los e planejar como manter o programa e suas práticas de segurança atualizadas.

[cta type=”ebook-cases-de-sucesso-infonova”]

Os dados são o valor de uma empresa

Muitos empresários, em especial os proprietários de PMEs, acreditam não ter nada que mereça investimento para proteger. Contudo, esse pensamento não poderia estar mais distante da realidade. Afinal, o principal recurso que um programa de segurança ajuda a proteger são seus dados. E a verdade é que o valor de uma empresa está em seus dados.

Proprietários de empresas cujo gerenciamento de dados é determinado por regulamentações governamentais têm plena consciência disso. Um bom exemplo são companhias que lidam com dados de cartões de crédito de clientes. Contudo, se as práticas de gerenciamento de dados de sua empresa ainda não estiverem cobertas por regulamentações, considere o valor do seguinte:

  1. Informações do produto, incluindo designs, planos, pedidos de patentes, código-fonte e desenhos;
  2. Informações financeiras, incluindo avaliações de mercado e os próprios registros financeiros da empresa;
  3. Informações do cliente, incluindo informações confidenciais que você detém em nome de clientes.

Ou seja, proteger dados significa proteger sua confidencialidade, integridade e disponibilidade, conforme ilustrado pelo triângulo C-I-A (Figura 1).

Vale ressaltar que as conseqüências de uma falha na proteção de todos esses três aspectos incluem perdas de negócios, responsabilidade legal e perda de boa vontade da empresa.

Considere os seguintes exemplos

A falha em proteger a confidencialidade de seus dados pode resultar no roubo do número do cartão de crédito de seus clientes. Isso gera consequências legais e perda de boa vontade. Ou seja, ao perder informações confidenciais de clientes com certeza resultará em uma menor quantidade deles no futuro.

Uma falha na integridade dos dados pode resultar na implantação de um cavalo de Tróia sem seu software. Isso permite que um intruso passe seus segredos corporativos para a concorrência. Se uma falha de integridade afetar seus registros contábeis, você não poderá mais conhecer o verdadeiro status financeiro de sua empresa.

Por isso, ter um programa de segurança de dados significa que você tomou medidas para reduzir o risco de perder dados de várias maneiras. Isso, além de definir um ciclo de vida para gerenciar a segurança das informações e da tecnologia em sua organização.

Com empenho, esse programa pode ser completo o suficiente. Dessa forma, com uma implementação fiel, a empresa não precisará lidar com a perda de negócios em decorrência de um incidente de segurança. Além disso, se a empresa tiver um programa de segurança de dados e sofrer uma perda que gere consequências legais, seu programa escrito poderá ser usado como prova de que você foi diligente na proteção de seus dados e que seguiu as práticas recomendadas do setor.

Elementos de um bom programa de segurança de dados para empresas

Um bom programa de segurança de dados fornece uma visão geral de como você manterá os dados de sua empresa seguros. É preciso uma abordagem holística que descreva como cada parte da empresa está envolvida no programa.

Contudo, um programa de segurança de dados não é um guia de tratamento de incidentes que detalha o que acontece se uma violação de segurança for detectada. Ele também não é um guia para fazer avaliações periódicas, embora provavelmente dite quando se deve fazer uma avaliação de segurança.

Um programa de segurança define quais dados são cobertos e quais não são. Avalia os riscos que sua empresa enfrenta e como você planeja mitigá-los. Indica ainda, com que frequência o programa será reavaliado e atualizado. Isso, além de quando o gestor deverá avaliar a conformidade com o programa.

Os principais componentes de um bom programa de segurança de dados são descritos nas seções a seguir:

1. Oficial de segurança designado (DSO)

Para a maioria dos regulamentos e normas de segurança, ter um DSO (Designated Security Officer) não é opcional, mas um requisito. O agente de segurança é o responsável por coordenar e executar o programa de segurança de dados. Ou seja, o oficial é o respaldo da empresa. Vale ressaltar que essa pessoa deve se reportar a alguém de fora da equipe de TI a fim de manter a independência.

2. Avaliação de risco

Este componente identifica e avalia os riscos que o programa de segurança de dados pretende gerenciar. Essa talvez seja a seção mais importante. Afinal, ela  motiva o gestor a pensar nos riscos que a organização enfrenta a fim de poder escolher formas apropriadas e econômicas para gerenciá-los.

Lembre-se de que só podemos minimizar, não eliminar, os riscos. Portanto, essa avaliação auxilia na priorização e escolha de contra medidas econômicas. Os riscos cobertos durante a avaliação podem incluir um ou mais dos seguintes itens:

Perda física de dados:

A empresa pode perder o acesso imediato aos seus dados por motivos que variam de inundações a perda de energia elétrica. Também é possível perder o acesso aos dados por motivos mais sutis. Como uma falha no segundo disco enquanto a matriz RAID se recupera da primeira, por exemplo.

Acesso não autorizado aos seus próprios dados ou dados de clientes:

Lembre-se de que ao manter informações confidenciais de clientes, a empresa é contratualmente obrigada a protegê-los.

Intercepção de dados em trânsito:

Os riscos incluem dados transmitidos entre sites da empresa ou entre a empresa e os funcionários. Isso, além de parceiros e contratados em regime home office ou atuando em outros locais.

Dados nas mãos de outra pessoa:

A empresa compartilha seus dados com terceiros, incluindo contratados, parceiros ou canal de vendas? O que protege seus dados enquanto eles estão em suas mãos?

Corrupção de dados:

A corrupção intencional pode modificar os dados de modo a favorecer uma parte externa. É o caso de cavalos de Tróia ou registradores de pressionamentos de tecla nos computadores. Em contrapartida, a corrupção não intencional pode ocorrer devido a um erro de software que sobrescreve dados válidos.

3. Políticas e procedimentos

Ao preparar uma avaliação de risco, é comum encontrar diversas coisas com as quais se preocupar. Ou seja, é importante saber como e onde lidar com esses elementos. Este lugar é o componente de políticas e procedimentos. Portanto, é imprescindível que o programa de segurança de dados inclua o seguinte:

Segurança física:

Documenta como a empresa protegerá todos os três aspectos C-I-A de seus dados contra acesso físico não autorizado.

Autenticação, autorização e responsabilidade:

Estabelece procedimentos para emissão e revogação de contas. Ele especifica como os usuários autenticam, a criação de senhas e os requisitos de vencimento e a manutenção da trilha de auditoria.

Conscientização da segurança:

Garante que todos os usuários tenham uma cópia da política de uso aceitável. Isso, além de estarem cientes de suas responsabilidades. Ela também garante que os funcionários de TI estejam envolvidos na implementação das políticas específicas de TI.

Avaliação de riscos:

Informa com que frequência é feita a reavaliação de possíveis ameaças à segurança de TI, tal como a atualização do programa de segurança de dados.

Resposta a incidentes:

Define como a empresa responderá à ameaças de segurança. Incluindo potenciais (como varredura de porta não autorizada) e incidentes reais (nos quais a segurança foi comprometida).

Proteção contra vírus:

Descreve como a empresa se protege contra vírus. Isso pode incluir a manutenção de produtos baseados em estações de trabalho, a verificação de e-mails, conteúdo da web e transferências de arquivos para conteúdo mal-intencionado.

Planejamento de continuidade de negócios:

Inclui como a empresa responderá a vários cenários de desastres naturais e provocados pelo homem. Ou seja, configuração de sites, sistemas e dados de backup apropriados. Além disso, o planejamento é capaz de manter esses sistemas atualizados e prontos para assumir o tempo de recuperação predefinido.

Relacionamentos com fornecedores e parceiros:

Definem quem são essas organizações. Isso, além de, que tipo de dados é possível trocar com elas e quais provisões devem estar em seus contratos para proteger seus dados. Contudo, esse é um aspecto frequentemente negligenciado da segurança de dados. Afinal, é normal que a equipe de TI não tenha muita interação com a equipe jurídica. Especialmente em relação a contratos de fornecedores. Portanto, pode ser necessário tomar medidas, como avaliação da capacidade de seus parceiros de proteger seus dados e insistir na implementação de práticas de segurança razoáveis.

4. Conscientização sobre segurança organizacional
A comunidade de segurança geralmente concorda que o elo mais fraco na segurança da maioria das organizações não é a tecnologia. Mas sim o fator humano. E, apesar de ser o elo mais fraco, esse fator é frequentemente negligenciado nos programas de segurança. Evite ignorá-lo no de sua empresa.
Afinal, todo funcionário precisa estar ciente de seus papéis e responsabilidades quando se trata de segurança.

Mesmo aqueles que nem sequer tocam em um computador em seu trabalho diário precisam estar envolvidos. Isso, porque eles também podem ser alvos de ataques de engenharia social criados para comprometer sua segurança física.

Atenção:

Em seu Information Security Handbook, publicação 80-100, o Instituto Nacional de Padrões e Tecnologia (NIST) descreve a importância de conscientizar e educar todos os níveis da organização sobre suas funções e responsabilidades quando se trata de segurança.  Ou seja, todos os usuários precisam receber treinamentos de conscientização de segurança.

Em paralelo, os envolvidos com sistemas de TI precisam ter mais treinamentos específicos para suas funções. A equipe de TI responsável por implementar um ciclo contínuo de avaliação, aquisição e operação de hardware e software relacionados à segurança, precisa até de um nível mais alto de envolvimento. Ou seja, deve considerar as orientações de seus próprios especialistas em segurança e daqueles contratados como consultores.

5. Conformidade com os padrões regulamentares

Além de cumprir seu próprio programa de segurança de dados, a empresa também pode precisar cumprir um ou mais padrões definidos por terceiros. Este componente do plano de segurança define quais são esses padrões e como deverão ser cumpridos.

Os padrões regulatórios que podem afetar a empresa incluem HIPAA (para informações sobre pacientes), PCI (para processamento de cartão de crédito), FISMA (para agências governamentais e contratadas), Sarbanes-Oxley e Gramm-Leach-Bliley (para gestão financeira corporativa).

6. Plano de conformidade de auditoria

Esse componente do programa de segurança de dados determina com que frequência a empresa auditará sua segurança de TI e avaliará sua conformidade com o programa de segurança. Contudo, há aspectos de segurança que devem ser auditados com uma frequência que varia de diária a anual. Afinal, avaliações de segurança periódicas são importantes para descobrir se a segurança já foi violada.

Além disso, elas ajudam a empresa a ficar por dentro das novas ameaças de segurança por meio da tecnologia certa e do treinamento da equipe. As auditorias ajudam ainda a realizar investimentos inteligentes, auxiliando o gestor de TI a priorizar os itens de alto impacto de sua lista.

Atenção:

É importante frisar que um programa de segurança de dados nunca é “concluído”. Afinal, a equipe de TI está sempre em processo de iteração durante o ciclo de vida do programa para todas as áreas definidas. O que se faz com um programa de segurança de dados é avaliar riscos, mitigá-los, implementar soluções, monitorar incidentes e usar essas informações como feedback.  

[cta type=”ebook-maior-estudo-de-cloud-no-brasil”]

Por que ter um programa de segurança de dados?

Lembre-se: não importa se o programa de segurança de dados tem cinco páginas ou 200 páginas. O importante é ter um programa de segurança de dados e usá-lo para abordar a segurança da sua empresa de maneira organizada, abrangente e holística. É possível adaptar os elementos acima para criar um programa de segurança para sua organização. Afinal, cada caso é um caso.

O importante é compreender que todo mundo precisa ter um programa de segurança. Não só porque ele ajuda a empresa a manter seu foco na segurança de TI. Mas porque ele auxilia na identificação e manutenção de conformidade com os regulamentos que afetam o gerenciamento de dados. Ele ainda é capaz de manter  a empresa em pé de igualdade com seus clientes no que diz respeito ao cumprimento de suas obrigações legais e contratuais.

Seu processo de ciclo de vida também garante que a segurança esteja continuamente se adaptando à sua organização e ao ambiente de TI altamente mutável. Isso sem falar que essa é a coisa certa a fazer. Afinal, proteger a segurança de seus dados é o mesmo que proteger seu ativo mais importante.

 

Fonte:  Q3 2008 issue of The Barking Seal