Segurança da Informação: Guia Completo

segurança da informação guia completo

Pergunte a gestores de grandes empresas qual a sua maior preocupação no momento e é muito provável que a segurança da informação apareça entre elas.

Não é para menos, afinal, há dados relacionados ao negócio cujo valor é tão alto que fica difícil mensurar.

São questões relacionadas ao modelo de atuação ou à sua operação que, se expostas, podem provocar prejuízos gigantescos, talvez até inviabilizando a sua continuidade.

Some a isso informações financeiras, como dados de contas bancárias, seus e dos clientes que atende, para ter uma real noção do perigo com o qual convive no dia a dia.

O quão terrível seria ter dados sequestrados, indevidamente acessados por cibercriminosos e bloqueados para o seu próprio manuseio?

Vale destacar que esse é apenas um dos tipos de golpes que se multiplicam no ambiente virtual.

Minimizar o risco é, portanto, uma questão de primeira ordem, que vai muito além da instalação de um potente sistema antivírus na rede interna de computadores.

Quando se fala em segurança da informação, os esforços devem ser da organização como um todo.

Como uma nova cultura a ser implementada, todos precisam participar, seja a qual escalão pertencerem na empresa.

Neste artigo, vamos aprofundar o estudo sobre o conceito, falar da sua importância, da atuação de profissionais especializados em segurança da informação e apresentar fatos que reforçam a urgência do tema.

Você também vai conferir os 5 pilares da segurança da informação e conhecer ações práticas para levar à ordem do dia no negócio.

Estamos falando de um conhecimento fundamental para a qualificação do gestor e administrador.

Então, não deixe de seguir a leitura para acompanhar os seguintes tópicos:

  • O que é segurança da informação?
  • O que faz um profissional de segurança da informação?
  • Qual a importância da segurança da informação?
  • 5 pilares da segurança da informação
  • O que é não repúdio em segurança da informação?
  • O que é confidencialidade, integridade e disponibilidade?
  • O que é um mecanismo de segurança?
  • As diferenças entre segurança de TI e segurança da informação
  • Invasões na internet com exemplos.
segurança da informação o que é conceitos
Pensar na segurança da informação de sua empresa precisa ser prioridade máxima

O que é segurança da informação? (conceitos)

Segurança da informação é a proteção de dados de propriedade das organizações contra ameaças diversas. Trata-se de um esforço pautado por ações que objetivam mitigar riscos e garantir a continuidade das operações.

De fato, é um conceito bastante abrangente, mas que podemos entender de forma mais clara ao dividi-lo em duas partes:

  • Informação: conteúdo de valor para uma empresa ou profissional
  • Segurança: a percepção de proteção contra perigos, ameaças e incertezas.

O objetivo da segurança da informação, portanto, é garantir ao proprietário desse conteúdo a sensação de que nada de ruim irá acontecer com ele.

Para tanto, se ampara em cinco pilares (sobre os quais vamos falar mais à frente), sendo suas ações capazes de ampliar a proteção ao conteúdo, mas sem garantir a segurança absoluta.

Isso significa dizer que, mesmo se a informação estiver armazenada para uso restrito, sempre haverá um risco.

Cabe aos profissionais da área, então, trabalhar para que ele seja o menor possível, empregando técnicas, táticas e ferramentas constantemente atualizadas – o que funciona como uma resposta proporcional aos avanços existentes também nas ações promovidas pelos cibercriminosos.

Vale esclarecer ainda que o conceito de informação é tão amplo quanto possível, já que pode compreender dados financeiros, bancários, relacionados a um projeto, serviço ou propriedade intelectual, entre outros, pertencentes à empresa ou de posse dela.

Um bom exemplo é o de escritórios de contabilidade.

Nesse tipo de empresa, além das suas informações, há todo o tipo de conteúdo dos clientes, como dados do seu faturamento, incluindo receitas e despesas, também fiscais e tributários, como notas, recibos e declarações à Receita Federal, assim como bancários, especialmente se o escritório faz a sua gestão financeira e de contas a pagar e a receber.

Perceba nesse exemplo a enorme quantidade de informações que precisam ser mantidas longe de mãos erradas.

MBA GESTÃO DE RISCOS DE FRAUDES E COMPLIANCE

O curso visa formar tomadores de decisão no entendimento, aplicação e gestão de Sistemas de Compliance, Riscos Corporativos, prevenção e combate a desvios éticos e legais

O que faz um profissional de segurança da informação?

Como vimos, é diária a exposição de conteúdo de valor aos riscos, especialmente virtuais.

Em resposta, o que as organizações fazem é criar soluções e contratar profissionais para minimizar ameaças.

É exatamente o que fazem aqueles que optam por essa carreira.

Como xerifes da era digital, eles monitoram riscos e projetam respostas a eles, no intuito de evitar a apropriação criminosa de dados sigilosos para uso em fraudes e golpes diversos.

São prevencionistas quando suas soluções se mostram eficazes para resguardar a integridade dos dados.

Ao mesmo tempo, agem como “bombeiros” em situações de emergência, buscando reduzir os prejuízos e estancar a exposição indevida do conteúdo com a maior brevidade possível.

Veja algumas das atribuições do profissional de segurança da informação

  • Garantir que os recursos estejam disponíveis por meio de mecanismos seguros
  • Definir políticas de acesso ao conteúdo protegido
  • Estabelecer processos para proteger a integridade dos dados armazenados
  • Assegurar a confidencialidade do conteúdo
  • Evitar o roubo de informações sigilosas ou o seu vazamento
  • Realizar a implementação e a manutenção de sistemas
  • Selecionar e instalar produtos e equipamentos voltado à proteção de informações sigilosas.

Um fato interessante é que, segundo pesquisa da plataforma de marketing digital SEMRush, a profissão de segurança da informação é a terceira com o maior número de buscas pelos brasileiros no Google.

Em termos de interesse dos usuários, então, ela só fica atrás do coach e do professor online, respectivamente primeiro e segundo colocados em volume de pesquisas na ferramenta.

segurança da informação importancia
É fácil mensurar a importância da segurança da informação: sem ela, o negócio está em risco

Qual a importância da segurança da informação?

Ao conhecer o conceito de segurança da informação, você toma conhecimento de quão importante é a atuação do profissional responsável por essa área.

Dados daquilo que a empresa compra e vende, dos seus funcionários, dos impostos que paga e muito mais estão expostos diariamente a riscos diversos.

Não que no passado a ameaça não existisse, mas é inegável que hoje ela é maior.

O mesmo avanço da tecnologia que agrega a vantagem de acessar todo o tipo de informação de qualquer lugar, a qualquer momento, por dispositivos diversos, implica na maior exposição dos dados.

E se eles são sigilosos, o futuro da empresa pode estar em jogo.

A expressão “ataque cibernético” aparece cada vez mais no noticiário.

Segundo a quarta edição do Relatório de Segurança Digital no Brasil, no primeiro semestre de 2018, o número de ocorrências do tipo foi quase o dobro do registrado no mesmo período do ano passado.

Mais precisamente, estamos falando de um avanço de 95,9%.

Particularmente nas empresas, uma ameaça que preocupa bastante é a do ransomware, ou vírus de resgate.

O que esse tipo de ataque faz é sequestrar as informações, bloquear o seu acesso pelo proprietário e cobrar um alto valor para liberá-las.

Somente nos primeiros meses deste ano, foram mais de 200 milhões de casos, informou relatório de ameaças cibernéticas da SonicWall.

Na América Latina, de acordo com Kaspersky Lab, o Brasil é líder entre as ocorrências de ransomware, respondendo por 55% dos ataques em toda a região.

A grosso modo, significa que, se uma empresa instalada no Brasil, seja qual for o seu porte, não realizar esforços de segurança da informação, é bastante grande a chance de ela ser a próxima vítima.

Aqui, vale aquela velha máxima; melhor prevenir do que remediar. Concorda?

segurança da informação cinco pilares

5 pilares da segurança da informação

Conforme os procedimentos em segurança da informação são aperfeiçoados, novos princípios são adicionados ao conceito.

Originalmente, contudo, eram cinco os pilares que regiam as ações de proteção aos dados nas empresas.

São eles:

  • Confidencialidade: o conteúdo protegido deve estar disponível somente a pessoas autorizadas
  • Disponibilidade: é preciso garantir que os dados estejam acessíveis para uso por tais pessoas quando for necessário, ou seja, de modo permanente a elas
  • Integridade: a informação protegida deve ser íntegra, ou seja, sem sofrer qualquer alteração indevida, não importa por quem e nem em qual etapa, se no processamento ou no envio
  • Autenticidade: a ideia aqui é assegurar que a origem e autoria do conteúdo seja mesmo a anunciada
  • Irretratabilidade: também chamada de não repúdio, impõe ao responsável por assinar a transmissão das informações assumir o ato.

Em linhas gerais, portanto, são esses os pilares para a implantação em uma empresa de um sistema de gestão de segurança da informação (SGSI).

Mas há outros termos importantes com os quais um profissional da área trabalha no dia a dia.

Podemos citar a legalidade, que diz respeito à adequação do conteúdo protegido à legislação vigente.

Também a privacidade, que se refere ao controle sobre quem acessa as informações.

E tem ainda a auditoria, que permite examinar o histórico de um evento de segurança da informação, rastreando as suas etapas e os responsáveis por cada uma delas.

Vale citar também conceitos relacionados à aplicação dos pilares, os quais veremos a seguir.

Conceitos relacionados à aplicação dos pilares

  • Vulnerabilidade: pontos fracos existentes no conteúdo protegido, com potencial de prejudicar alguns dos pilares de segurança da informação, ainda que sem intenção
  • Ameaça: elemento externo que pode se aproveitar da vulnerabilidade existente para atacar a informação sensível ao negócio
  • Probabilidade: se refere à chance de uma vulnerabilidade ser explorada por uma ameaça
  • Impacto: diz respeito às consequências esperadas caso o conteúdo protegido seja exposto de forma não autorizada
  • Risco: estabelece a relação entre probabilidade e impacto, ajudando a determinar onde concentrar investimentos em segurança da informação.
segurança da informação o que é não repudio
A palavra autenticação tem grande peso na era digital. Há uma razão para isso

O que é não repúdio em segurança da informação?

Agora que os principais conceitos e pilares de segurança da informação estão claros, vamos avançar no entendimento sobre cada um deles, a começar pelo não repúdio.

Afinal, o que isso significa?

O nome não ajuda muito, assim como o seu sinônimo: irretratabilidade.

Mas vamos explicar de modo mais prático, trazendo o conceito à realidade atual.

Hoje, como sabemos, a maioria das informações tem origem e movimentação eletrônica. É no meio digital que elas são criadas e manipuladas, inclusive com grande facilidade.

É justamente essa característica que impõe um controle mais rígido sobre todo o tipo de movimento realizado sobre o conteúdo protegido.

Se a informação foi alterada, por exemplo, é preciso garantir que o autor da modificação não negue que o tenha feito.

Nada mais é, portanto, do que uma ação pensada para garantir a confiança do processo, permitindo provar quem fez o quê, quando e onde.

É como uma autenticação, em geral utilizando métodos de criptografia.

Quer um exemplo?

Uma nota fiscal eletrônica deve ser validada pela autoridade tributária estadual, que então emite uma autorização de uso. Só que o processo depende de uma autenticação que, nesse caso, é garantida por um certificado digital.

O seu uso, então, funciona como um não repúdio, uma prova, inviabilizando uma possível tentativa de negar a autoria ou mesmo a realização da ação.

segurança da informação confidencialidade integridade disponibilidade
Toda a questão da segurança da informação cria a necessidade de uma educação específica para estabelecer boas práticas

O que é confidencialidade, integridade e disponibilidade?

De todos os pilares de segurança da informação, confidencialidade, integridade e disponibilidade são os de entendimento mais fácil.

Resumindo bastante, podemos dizer que eles objetivam que os dados sigilosos estejam inalterados e sempre prontos para acesso por pessoas autorizadas, mas só por elas.

Desse modo, o profissional responsável pela segurança da informação tem alguns desafios.

O primeiro deles se refere à tomada de ações que afastem o conteúdo confidencial de roubo, sequestro ou apropriação indevida, seja por meio de ataques virtuais ou espionagem industrial, por exemplo.

Alcançar a confidencialidade exige criar regras de acesso. Basicamente, estabelecer quem pode acessar o quê e como.

Obviamente, isso muda de empresa para empresa e também conforme a informação crítica.

Mas é importante que os departamentos diretamente relacionados a esse conteúdo o tenham disponível de maneira ininterrupta e no seu formato integral, sem cortes ou alterações.

Aí entram os outros dois pilares em destaque: a disponibilidade e a integridade.

Na prática, o que a organização vai fazer é estabelecer um conjunto de regras que, juntas, vão contribuir para que esses três princípios sejam alcançados.

Como exemplo, podemos citar:

  • Promover o controle de acessos por colaboradores, supervisores, gerentes e diretores
  • Criar programas de treinamento para ampliar a noção sobre os riscos, minimizar falhas e otimizar os processos
  • Definir permissões para visualizar ou modificar arquivos
  • Permitir que informações alteradas equivocadamente sejam restauradas às suas versões anteriores
  • Possuir cópias de segurança para evitar a perda de dados importantes
  • Dotar a empresa de infraestrutura tecnológica compatível com a exigência de manutenção e preservação das informações.

Essas e outras ações fazem parte de mecanismos de segurança da informação, sobre os quais vamos trazer mais detalhes no próximo tópico.

segurança da informação o que é um mecanismo
Há diversos mecanismos de segurança criados para garantir maior proteção a dados

O que é um mecanismo de segurança?

Um mecanismo de segurança da informação é uma ação, técnica, método ou ferramenta estabelecida com o objetivo de preservar o conteúdo sigiloso e crítico para uma empresa.

Ele pode ser aplicado de duas formas:

  • Controle físico: é a tradicional fechadura, tranca, porta e qualquer outro meio que impeça o contato ou acesso direto à informação ou infraestrutura que dá suporte a ela
  • Controle lógico: nesse caso, estamos falando de barreiras eletrônicas, nos mais variados formatos existentes.

Sobre o controle lógico, cabe lembrar que há diferentes maneiras de proteger e preservar uma informação digital.

Vai desde um antivírus, firewall ou filtro antispam, o que é de grande valia para evitar infecções por e-mail ou ao navegar na internet.

Passa por métodos de encriptação, que transformam as informações em códigos que terceiros sem autorização não conseguem decifrar.

Há ainda a certificação e assinatura digital, sobre as quais falamos rapidamente no exemplo antes apresentado da emissão da nota fiscal eletrônica.

Todos são tipos de mecanismos de segurança, escolhidos por profissional habilitado conforme o plano de segurança da informação da empresa e de acordo com a natureza do conteúdo sigiloso.

segurança da informação diferenças entre TI
Segurança de TI e segurança da informação não são a mesma coisa, mas se complementam

As diferenças entre segurança de TI e segurança da informação

Muitas vezes tratados como sinônimos, os processos de segurança da informação e de segurança em TI (tecnologia da informação) têm diferenças pontuais.

Agora, você já conhece o primeiro conceito. Mas e quanto à TI?

Podemos resumir da seguinte forma: esforços de segurança de TI se destinam a proteger a estrutura que suporta as informações da empresa.

Assim, seu objetivo é garantir a proteção de computadores, servidores e data centers, entre outros.

Enquanto a segurança de TI cuida das máquinas e do seu hardware, a segurança da informação foca no software e no conteúdo armazenado ou acessado por essas máquinas.

Portanto, estamos falando de dois processos de imensa valia para qualquer empresa.

Até porque, como veremos a seguir, não faltam exemplos de episódios em que vulnerabilidades foram exploradas e se tornaram incidentes, causando prejuízos gigantes às organizações.

segurança da informação invasões na internet
Infelizmente não faltam exemplos de ataques virtuais que causaram grandes prejuízos

Invasões na internet com exemplos

Não faltam exemplos terríveis para o mundo corporativo na história dos ataques cibernéticos.

Neste tópico, vamos relembrar alguns deles.

WannaCry

Em 12 de maio de 2017, o vírus WannaCry provocou aquele que ficou conhecido como o maior ataque de ransomware da história.

Em apenas um dia, foram mais de 230 mil infecções em 156 países diferentes.

E foi só o início, já que, ainda em 2018, empresas seguem sendo vítimas do poderoso vírus de resgate.

Equifax

Dados pessoais de pelo menos 147 milhões de americanos, canadenses e britânicos foram roubados da empresa de crédito Equifax, também em 2017.

Segundo projeções divulgadas no início deste ano, os custos relacionados à invasão devem superar os 400 milhões de dólares – a violação de dados mais cara da história corporativa.

Uber

O conhecido aplicativo de transporte também foi uma vítima recente: em 2016, nomes, e-mails e contatos telefônicos de 57 milhões de usuários acabaram sequestrados.

Para recuperar as informações, a Uber teria pago 100 mil dólares aos cibercriminosos.

O caso só veio à tona cerca de um ano depois.

Facebook

Outro caso rumoroso envolveu a maior rede social do mundo, o Facebook.

Neste ano, 120 milhões de perfis acabaram expostos a partir de um aplicativo chamado NameTests, que funcionava vinculado às contas.

Cosmos Bank

Em um dos casos mais recentes, registrado em agosto de 2018, o banco indiano Cosmos Bank perdeu quase 14 milhões de dólares depois de cibercriminosos invadirem o seu sistema.

PÓS-GRADUAÇÃO GESTÃO DE RISCOS DE FRAUDES E COMPLIANCE

Os custos gerados por fraudes são uma ameaça para a estabilidade financeira das empresas em diversos setores. Especialize-se na Prevenção e Gestão de Riscos de Fraudes

Conclusão

Muita gente olha para as altas cifras dos ataques cibernéticos e, equivocadamente, relaciona a necessidade de segurança da informação a grandes empresas.

É verdade que elas são muito visadas pelo valor em jogo, mas os cibercriminosos se mostram bastante “democráticos”.

Inclusive, 65% dos ciberataques atingem pequenos negócios.

Não dá para negar a realidade e conviver com vulnerabilidades, concorda?

É por isso que as empresas precisam elevar a proteção de dados sigilosos e, para tanto, contam cada vez mais com profissionais especializados nisso.

Quem deseja seguir uma carreira nessa área, então, tem pela frente um mercado promissor – mas não sem investir no seu aperfeiçoamento.

A Fundação Instituto de Administração (FIA) conta com uma série de cursos voltados ao tema, incluindo a pós-graduação e o MBA em Gestão de Riscos de Fraudes e Compliance.

São duas excelentes alternativas para você se preparar para as ameaças que rondam o mundo corporativo.

Saiba mais no site e, se desejar, faça contato conosco.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Sobre a FIA Business School:

Com um olhar sempre no futuro, desenvolvemos e disseminamos conhecimentos de teorias e métodos de Administração de Empresas, aperfeiçoando o desempenho das instituições brasileiras através de três linhas básicas de atividade: Educação Executiva, Pesquisa e Consultoria.

Ensino a distância

Confira os cursos de EAD que a FIA oferece em diversas áreas de atuação