Pergunte a gestores de grandes empresas qual a sua maior preocupação no momento e é muito provável que a segurança da informação apareça entre elas.
Não é para menos, afinal, há dados relacionados ao negócio cujo valor é tão alto que fica difícil mensurar.
São questões relacionadas ao modelo de atuação ou à sua operação que, se expostas, podem provocar prejuízos gigantescos, talvez até inviabilizando a sua continuidade.
Some a isso informações financeiras, como dados de contas bancárias, seus e dos clientes que atende, para ter uma real noção do perigo com o qual convive no dia a dia.
O quão terrível seria ter dados sequestrados, indevidamente acessados por cibercriminosos e bloqueados para o seu próprio manuseio?
Vale destacar que esse é apenas um dos tipos de golpes que se multiplicam no ambiente virtual.
Minimizar o risco é, portanto, uma questão de primeira ordem, que vai muito além da instalação de um potente sistema antivírus na rede interna de computadores.
Quando se fala em segurança da informação, os esforços devem ser da organização como um todo.
Em uma nova cultura empresarial a ser implementada, todos precisam participar.
Neste artigo, vamos aprofundar o estudo sobre o conceito, falar da importância da segurança da informação, da atuação de profissionais especializados e apresentar fatos que reforçam a urgência do tema.
Você também vai conferir os 5 pilares de segurança da informação e conhecer ações práticas para levar à ordem do dia no negócio.
Estamos falando de um conhecimento fundamental para a qualificação do gestor e administrador.
Então, não deixe de seguir a leitura para acompanhar os seguintes tópicos:
Siga a leitura e entenda como podemos interpretar a segurança da informação em nosso dia a dia.
Leia também:
Segurança da informação é a proteção de dados de propriedade das organizações contra ameaças diversas.
Trata-se de um esforço pautado por ações que objetivam mitigar riscos e garantir a continuidade das operações.
De fato, é um conceito bastante abrangente, mas que podemos entender de forma mais clara ao dividi-lo em duas partes:
O objetivo da segurança da informação, portanto, é garantir ao proprietário desse conteúdo a sensação de que nada de ruim irá acontecer com ele.
Para tanto, se ampara em cinco pilares (sobre os quais vamos falar mais à frente), sendo suas ações capazes de ampliar a proteção ao conteúdo, mas sem garantir a segurança absoluta.
Isso significa dizer que, mesmo se a informação estiver armazenada para uso restrito, sempre haverá um risco.
Cabe aos profissionais da área, então, trabalhar para que ele seja o menor possível, empregando técnicas, táticas e ferramentas constantemente atualizadas – o que funciona como uma resposta proporcional aos avanços existentes também nas ações promovidas pelos cibercriminosos.
Vale esclarecer ainda que o conceito de informação é tão amplo quanto possível, já que pode compreender dados financeiros, bancários, relacionados a um projeto, serviço ou propriedade intelectual, entre outros, pertencentes à empresa ou de posse dela.
Um bom exemplo é o de escritórios de contabilidade.
Nesse tipo de empresa, além das suas informações, há todo o tipo de conteúdo dos clientes.
São exemplos: dados de faturamento, incluindo receitas e despesas, também fiscais e tributários, como notas, recibos e declarações à Receita Federal, assim como bancários, especialmente se o escritório faz a sua gestão financeira e de contas a pagar e a receber.
Perceba nesse exemplo a enorme quantidade de informações que precisam ser mantidas longe de mãos erradas.
Depois de entender o que é segurança da informação, você pode estar se perguntando: mas o que isso tem a ver comigo?
A verdade é que os escritórios contábeis são um entre tantos exemplos de negócios que podem ser afetados por eventuais vazamentos de informações de seus registros.
Porém, as empresas não são as únicas que devem se preocupar com essa questão, pois é um problema que afeta também as pessoas físicas.
Um exemplo disso é o crime conhecido como pornografia de vingança.
Nele, vídeos ou imagens de pessoas (geralmente mulheres) nuas ou tendo relações íntimas são divulgados sem consentimento, com o fim de prejudicá-las.
Há ainda uma nova modalidade desse crime, o deepfake, que consiste em manipular vídeos usando inteligência artificial para fazer pornografia de vingança.
Os cibercriminosos inserem o rosto da vítima em um conteúdo erótico, de maneira que pareça que ela é que está tendo relações sexuais.
Assim aconteceu com a ativista Kate Isaacs, que luta justamente contra a pornografia de vingança.
Ao conhecer o conceito de segurança da informação, você toma conhecimento de quão importante é a atuação do profissional responsável por essa área.
Dados daquilo que a empresa compra e vende, dos seus funcionários, dos impostos que paga e muito mais estão expostos diariamente a riscos diversos.
Não que no passado a ameaça não existisse, mas é inegável que hoje ela é maior.
O mesmo avanço da tecnologia que agrega a vantagem de acessar todo o tipo de informação de qualquer lugar, a qualquer momento, por dispositivos diversos, implica na maior exposição dos dados.
Se eles são sigilosos, o futuro da empresa pode estar em jogo.
Então, como podemos interpretar a segurança da informação se não como uma necessidade corporativa?
Aliás, a expressão ataque cibernético aparece cada vez mais no noticiário.
Particularmente nas empresas, uma ameaça que preocupa bastante é a do ransomware, ou vírus de resgate.
O que esse tipo de ataque faz é sequestrar as informações, bloquear o seu acesso pelo proprietário e cobrar um alto valor para liberá-las.
Na América Latina, de acordo com o Kaspersky Lab, o Brasil é líder entre as ocorrências de ransomware, respondendo por 55% dos ataques em toda a região.
Isso significa que, se uma empresa instalada no Brasil, seja qual for o seu porte, não realizar esforços de segurança de informação, é bastante grande a chance de ela ser a próxima vítima.
Aqui, vale aquela velha máxima: melhor prevenir do que remediar.
Concorda?
Conforme os procedimentos em segurança da informação são aperfeiçoados, novos princípios são adicionados ao conceito.
Originalmente, contudo, eram cinco os pilares que regiam as ações de proteção aos dados nas empresas.
Se você se pergunta como podemos interpretar a segurança da informação e sua aplicação prática, estes pilares ajudam a explicar:
O mais importante dos cinco pilares de gestão da segurança da informação é a confidencialidade, afinal, o principal objetivo dos profissionais da área é preservar o sigilo dos dados.
Isso significa que certas informações não devem ser acessadas por pessoas que não sejam credenciadas, nem divulgadas por essas pessoas com fins obscuros.
Também trata das garantias de confidencialidade quando os dados trafegarem na internet ou internamente, por meio de recursos como a criptografia de dados.
Um exemplo simples de aplicação deste pilar é quando acessamos nossas contas de email e, para isso, somos obrigados a informar login e senha.
As redes sociais também fazem isso, algumas contando até com recursos extras, como a autenticação em dois fatores.
Restringir o acesso aos dados ou criptografá-los enquanto trafegam não pode impedir a quem de direito acessar as informações no momento em que for necessário.
Esse é o princípio da disponibilidade, segundo o qual os dados devem ser acessíveis na hora em que as pessoas credenciadas mais precisarem.
Nesse sentido, as empresas responsáveis por manter os dados seguros devem fornecer os meios para que eles possam ser livremente acessados.
Isso pode implicar a cessão ou venda de hardwares, softwares e conexões que permitam o usufruto dos repositórios de dados.
Em certos casos, podem ser exigidos recursos adicionais, como a assinatura eletrônica, de responsabilidade exclusiva de quem pretende ter acesso a um certo banco de dados.
Não faria sentido algum manter dados sob sigilo ou criptografá-los se, no processo, eles sofressem algum tipo de adulteração.
Faz-se necessário, portanto, preservar a integridade das informações que são trocadas ou acessadas, de modo que seus destinatários ou titulares as recebam em sua totalidade.
Se temos acesso a uma lista com 100 nomes, essa é a quantidade de pessoas que devem constar nesse cadastro, nem mais, nem menos.
Dessa forma, a integridade é de certa forma um pressuposto da segurança da informação, cuja aplicação só é válida quando os dados protegidos não são corrompidos ou adulterados.
Grandes repositórios de dados não se formam sem fontes que sejam igualmente seguras e confiáveis.
Só assim fica garantido o respeito ao pilar da autenticidade, cujo foco é a garantia sobre a veracidade da fonte de uma informação.
Sempre que acessamos um email que nos é enviado, podemos saber, além do endereço do remetente, dados como a hora do envio e até o número do IP.
Assim fazem as empresas que, em seus data lakes e data warehouses, mantêm registros sobre as fontes dos dados coletados.
Dessa forma, elas asseguram que os insights gerados a partir desses dados serão fidedignos, pois são provenientes de informações de fontes confiáveis.
O pilar da irretratabilidade é complementar ao da autenticidade.
Ele dá a garantia de que, se um dado vier de uma fonte qualquer, essa autoria não poderá ser contestada sob hipótese alguma.
Isso evita, por exemplo, que ações fraudulentas sejam realizadas e sua autoria seja contestada em razão de um suposto uso indevido de dados de acesso.
Claro que, em certos casos, é muito difícil apontar quem foi o autor de uma ação virtual criminosa ou ofensiva somente a partir dos dados de usuário identificados remotamente.
O que se busca com este pilar é aumentar a confiança sobre os processos de segurança da informação para dissuadir eventuais fraudadores.
Vale citar também conceitos relacionados à aplicação dos pilares, os quais veremos a seguir.
Manter dados críticos a salvo de pessoas não autorizadas não é só uma forma de fazer a gestão da segurança da informação, mas de cumprir a lei.
Afinal, desde 2018, o tráfego de dados no Brasil está sujeito às penalidades previstas na Lei Geral de Proteção de Dados (LGPD), que prevê pesadas sanções para quem a descumprir.
Dessa forma, as empresas têm por obrigação desenvolver mecanismos e investir em infraestrutura para que os dados pessoais coletados em suas operações não sejam vazados.
É o caso, por exemplo, dos dados bancários, sempre alvo de cibercriminosos oportunistas.
Para isso, a segurança de informação nas empresas pode ser garantida por dois meios: digitais e físicos, como veremos na sequência.
Também chamados de controles lógicos, consistem nas medidas digitais de acessibilidade, tais como senhas, códigos e demais sistemas de blindagem virtual.
Alguns exemplos desse tipo de controle são:
Sobre as senhas, nunca é demais lembrar que elas devem ser complexas o bastante para que não sejam facilmente descobertas.
Devem ser preferencialmente de uso único, ou seja, para cada login ou conta a ser acessada, deve ser definida uma senha diferente.
Os sistemas de controles lógicos não eliminam a necessidade de, em alguns casos, implementar também mecanismos de monitoramento físico.
Veja a seguir alguns exemplos:
Esses e outros recursos de segurança também são utilizados para dificultar a ação de criminosos ou para evitar que pessoas credenciadas usem indevidamente suas prerrogativas.
Também servem como uma proteção contra intempéries e a ação de agentes externos, principalmente nas empresas que contam com uma infraestrutura de servidores mais robusta.
O Google, nesse aspecto, é um dos melhores exemplos de uso de instalações e dispositivos de proteção e monitoramento em seus poderosos data centers.
Muitas vezes tratados como sinônimos, os processos de segurança da informação e de segurança em TI (tecnologia da informação) têm diferenças pontuais.
Ao ler até aqui, você já está familiarizado com o primeiro conceito.
E quanto à TI?
Podemos resumir da seguinte forma: esforços de segurança de TI se destinam a proteger a estrutura que suporta as informações da empresa.
Seu objetivo é garantir a proteção de computadores, servidores e data centers, entre outros.
Enquanto a segurança de TI cuida das máquinas e do seu hardware, a gestão da segurança da informação foca no software e no conteúdo armazenado ou acessado por essas máquinas.
Portanto, estamos falando de dois processos de imensa valia para qualquer empresa.
Até porque, como veremos a seguir, não faltam exemplos de episódios em que vulnerabilidades foram exploradas e se tornaram incidentes, causando prejuízos gigantes às organizações.
Ainda que os profissionais de segurança da informação trabalhem para garantir uma blindagem à prova de falhas, sempre haverá algum grau de exposição.
Como veremos mais à frente, nem mesmo grandes multinacionais têm seus dados 100% protegidos, já que não são raros os casos de vazamento de informações confidenciais.
Seja qual for o tamanho da organização ou o nível de cibersegurança em que seus dados estão resguardados, há erros comuns que se repetem.
Destacamos os seguintes:
Negligenciar a segurança dos dados é flertar com o perigo constantemente.
Para as empresas, as implicações da falta de sistemas de segurança e de proteção nas trocas de informações pode levar a prejuízos milionários.
Em alguns casos, os infratores são descobertos a tempo de evitar esses desfalques, como no caso da ex-funcionária da Coca Cola que foi presa por espionagem.
No entanto, nem sempre as grandes empresas conseguem isso, como no caso em que um fraudador aplicou sucessivos golpes na Apple, aproveitando-se da negligência da empresa ao verificar a procedência das reclamações recebidas online.
Contudo, não são apenas os prejuízos financeiros as únicas consequências da falta de segurança no tratamento dos dados.
O caso da Apple, por exemplo, mancha a reputação da empresa que, ao não se mostrar capaz de proteger suas próprias operações, coloca em xeque a segurança das soluções que oferece aos clientes.
Apple e Coca-Cola são apenas duas das grandes marcas que se viram envolvidas em escândalos que expuseram falhas em seus sistemas de segurança da informação.
Na verdade, quanto maior a empresa, maiores são os riscos de falhas, afinal, são elas as mais visadas pelos criminosos e fraudadores.
Veja na sequência algumas das companhias que sentiram no bolso os problemas causados por essas falhas e as consequências disso para suas atividades.
No dia 30 de agosto de 2021, o Pacific City Bank, em Los Angeles, enviou uma mensagem para seus clientes, dando conta de que uma falha crítica havia exposto seus dados.
Como noticiou o portal Ciso Advisor, o comunicado dizia que:
“Estamos escrevendo para notificá-lo sobre um incidente de segurança cibernética que pode afetar a segurança de suas informações pessoais. Pedimos desculpas por qualquer preocupação que isso possa causar e asseguramos que estamos dando a este assunto nossa atenção urgente. Esta carta fornece informações sobre o incidente e sobre as medidas que estamos tomando para ajudá-lo a proteger suas informações pessoais”.
Em 2013, a Petrobras se viu mergulhada em uma série de escândalos e, para piorar, teve o nome envolvido em um suposto esquema de espionagem.
O autor da denúncia foi o ex-analista da Agência de Segurança Nacional dos Estados Unidos (NSA) Edward Snowden, que envolveu até o nome da então presidente Dilma Rousseff.
Nela, Snowden detalhou como os agentes da NSA seriam treinados para invadir os sistemas de grandes corporações, a fim de obter indevidamente informação de interesse nacional.
Como vimos no caso da Apple, nem mesmo as empresas de tecnologia estão imunes às ações de fraudadores e falhas em seus sistemas.
Em 2006, a HP sofreu as consequências em razão do comportamento antiético de um de seus executivos, que por sinal era um dos mais longevos da companhia até então.
Ele seria o responsável por vazar para a imprensa informações confidenciais da companhia, interferindo assim no preço das ações no mercado financeiro.
Como vimos, é diária a exposição de conteúdo de valor aos riscos, especialmente virtuais.
Em resposta, o que as organizações fazem é criar soluções e contratar profissionais para minimizar ameaças.
É exatamente o que fazem aqueles que optam por essa carreira.
Como xerifes da era digital, eles monitoram riscos e projetam respostas a eles, no intuito de evitar a apropriação criminosa de dados sigilosos para uso em fraudes e golpes diversos.
São prevencionistas quando suas soluções se mostram eficazes para resguardar a integridade dos dados.
Ao mesmo tempo, agem como “bombeiros” em situações de emergência, buscando reduzir os prejuízos e estancar a exposição indevida do conteúdo com a maior brevidade possível.
Veja algumas das atribuições do profissional de segurança da informação:
Um fato interessante é que, segundo pesquisa da plataforma de marketing digital SEMRush, a profissão de segurança da informação é a terceira com o maior número de buscas pelos brasileiros no Google.
Em termos de interesse dos usuários, então, ela só fica atrás do coach e do professor online, respectivamente primeiro e segundo colocados em volume de pesquisas na ferramenta.
Não se esperaria outra coisa para o mercado de trabalho para profissionais de segurança da informação que não um panorama bastante aquecido.
Como aponta o Cybersecurity Workforce Study (em inglês), da (ISC)², o déficit mundial de profissionais hoje é de 3,4 milhões.
Uma evidência desse gap são os salários atrativos no Brasil, a começar por cargos como o de analista de segurança da informação, com média de R$ 4.862,00 segundo o site Vagas.com, o que indica que podem haver posições com vencimentos bem mais altos.
Até porque o site Glassdoor, por sua vez, informa que a média salarial em nosso país para quem trabalha com segurança da informação é de R$ 11.283,00 mensais.
Nada mal, não?
Segurança é sempre um assunto muito sério.
Quando se trata de proteger dados sigilosos, todo cuidado é pouco e, sendo assim, é normal que os fóruns e redes sociais sobre TI estejam repletos de dúvidas.
Por isso, fomos em busca das perguntas que as pessoas mais fazem na internet sobre o tema, para que você termine esta leitura muito bem informado.
Veja abaixo mais sobre o conceito de segurança da informação, sua função e pilares.
Confira a seguir.
Conceitualmente, segurança da informação é a postura adotada por empresas, pessoas e entidades com o objetivo de manter sob controle o uso que se faz dos seus dados.
Para isso, são empregados dispositivos, softwares e programas do tipo firewall para evitar que informações de interesse estratégico sejam acessadas indevidamente.
A segurança da informação é a área do conhecimento que cuida da proteção dos dados.
Portanto, sua função principal é prover os meios necessários para que os repositórios de dados, bem como suas plataformas de gestão, sejam acessados somente por pessoas credenciadas.
As atividades e rotinas em segurança da informação devem ser orientadas por cinco pilares, que servem para referenciar o trabalho dos profissionais, pautando suas respectivas condutas:
Neste texto, explicamos o que é segurança da informação, sua importância e pilares.
Muita gente olha para as altas cifras dos ataques cibernéticos e, equivocadamente, relaciona a necessidade de investir na área apenas para grandes empresas.
É verdade que elas são muito visadas pelo valor em jogo, mas dá para dizer que os cibercriminosos se mostram bastante “democráticos”, de uma forma negativa, é claro.
Afinal, 65% dos ciberataques atingem pequenos negócios.
Não dá para negar a realidade e conviver com vulnerabilidades, concorda?
É por isso que as empresas precisam elevar a proteção de dados sigilosos e, para tanto, contam cada vez mais com profissionais especializados nisso.
Quem deseja seguir uma carreira nessa área, então, tem pela frente um mercado promissor – mas não sem investir no seu aperfeiçoamento.
A FIA Business School conta com uma série de cursos voltados ao tema, incluindo a pós-graduação e o MBA em Gestão de Riscos de Fraudes e Compliance.
São duas excelentes alternativas para você se preparar para as ameaças que rondam o mundo corporativo.
Se desejar, faça contato conosco!
Um plano de continuidade de negócios (PCN) é uma estratégia essencial para minimizar impactos e…
Descubra o que é flexibilidade no trabalho e como essa tendência está transformando empresas, atraindo…
O futuro do trabalho em 2025 apresenta mudanças importantes para empresas e profissionais. Descubra as…
A ética na IA envolve princípios e práticas que orientam o uso responsável dessa tecnologia…
A auditoria externa é uma análise detalhada das finanças empresariais, garantindo precisão e conformidade com…
A matriz de materialidade é um método de grande utilidade para as empresas que têm…