Quais são os pilares e as funções da segurança da informação?

Os dados estão se tornando, cada vez mais, uma matéria-prima fundamental para o planejamento de ações estratégicas nas empresas. E justamente por isso, a análise de dados se tornou um dos pilares de organizações de todos os portes.

No entanto, apesar dos benefícios, surge uma nova obrigação para as empresas: a necessidade de garantir a segurança dessas informações.

Afinal de contas, a partir desses dados, as empresas passam a correr diversos riscos como, por exemplo, de sofrer ataques de invasão e exposição indevida desses dados. E esses riscos não afetam apenas a operação da empresa, mas também a segurança de outras pessoas envolvidas, inclusive clientes.

Infelizmente, mais do que mera suposição, esses ataques já são uma realidade no país. Foi o que ocorreu, em dezembro de 2020, com a exposição indevida de dados de mais de 243 milhões de pessoas brasileiras cadastradas no Sistema Único de Saúde (SUS), como contou a reportagem do jornal O Estado de São Paulo.

Pensando nisso, o objetivo deste artigo é refletir sobre as medidas de proteção que existem, além de apontar dicas de como capacitar pessoas para trabalharem com segurança da informação.

Por que investir em segurança da informação?

Os dados do FortiGuard Labs apontam que, no primeiro semestre de 2021, as empresas brasileiras sofreram mais de 16 bilhões de tentativas de ataques cibernéticos.

Na mesma perspectiva, 90% das pessoas entrevistadas na última pesquisa de referência de compliance de TI relataram que sua empresa sofreu impactos negativos por um incidente de terceiros em 2021.

VEJA TAMBÉM:

• Descubra o potencial da automação de processos na sua empresa
• As Hard Skills mais buscadas e como desenvolver na sua empresa
• Conheça os 5 principais desafios da gestão de TI - e as estratégias para superá-los

Além disso, a pesquisa da Netscout Threat Intelligence constatou que, em 2021, o Brasil passou a ocupar o 2º lugar no ranking de países em que mais ocorrem ataques cibernéticos, atrás apenas dos Estados Unidos.

Todos esses fatos e dados destacam a necessidade de planejar ações e criar mecanismos para proteger informações sensíveis em diferentes setores e, especialmente, de desenvolver os times para atuar com essa realidade.

Não por menos, a cibersegurança foi apontada como uma das tendências de TI para 2023

O que é segurança da informação?

A segurança de informação compreende um conjunto de ações e estratégias para proteger sistemas, programas, equipamentos e redes de invasões.

Então, de forma geral, o intuito central das ações de segurança de informação é proteger dados valiosos de possíveis violações ou ataques.

Pilares da segurança da informação

Nesse contexto, a segurança da informação atua a partir de três pilares principais: confidencialidade, integridade e disponibilidade — que você pode conhecer pela sigla CID.

Entretanto, com o desenvolvimento da tecnologia, surgiram mais três itens nessa lista: autenticidade, irretratabilidade e conformidade, que você confere com mais detalhes a seguir.

Confidencialidade

O primeiro princípio fundamental da segurança da informação é a confidencialidade, que envolve medidas para garantir que as informações sejam mantidas sob sigilo.

Um exemplo comum de ação de confidencialidade é o uso de criptografia de dados, usada em aplicativos de mensagens.

Ainda, a confidencialidade também compreende a implementação de restrições de acesso a informações específicas.

Disponibilidade

As informações também precisam estar disponíveis para as pessoas, no momento certo em que precisarem, seguindo as regras de confidencialidade.

Ou seja, as pessoas usuárias das informações devem conseguir acessá-las de todos os sistemas possíveis.

Integridade

Além de confidenciais, é indispensável que as informações permaneçam íntegras. Ou seja, que não sofram alterações não autorizadas ao longo de todo processo — que inclui tráfego, armazenamento e processamento.

Então, para garantir a integridade, são necessárias ações que previnam qualquer tipo de modificação não autorizada.

Autenticidade

Também é fundamental que as informações sejam verdadeiras e seguras. Isto é, elas precisam ser decorrentes de fontes confiáveis.

O pilar da autenticidade estabelece que é necessário registrar as pessoas autoras, para que seja possível rastrear e atestar a veracidade das informações.

Irretratabilidade

O princípio da irretratabilidade (ou do não repúdio) estabelece que as pessoas usuárias não podem negar a autoria das informações, como uma forma de garantir a sua autenticidade.

Isso significa que, por exemplo, nem a pessoa autora, nem a receptora podem contestar qualquer transação de dados.

Conformidade

Em último lugar, a segurança da informação deve garantir que todos os processos obedeçam às leis e às normas regulamentares.

Para isso, as empresas devem desenvolver protocolos em conformidade com essas normas e, mais que isso, promover mecanismos de fiscalização para assegurar o cumprimento dos protocolos.

Funções da segurança da informação

Assim, as funções da segurança da informação são, principalmente, identificar, registrar e combater as ameaças de roubo, danos e perdas de dados.

Para isso, as ações desse tipo compreendem processos para blindar, de maneira sincronizada, os ativos digitais e físicos referentes à informação, a partir de 5 principais áreas:

• Segurança de dados: atua na linha de frente de proteção dos sistemas e redes com auditorias de segurança e avaliações de risco;
• Segurança de sistemas de informação: implementação de melhores práticas e políticas de segurança e supervisão de infraestrutura de segurança de TI;
• Arquitetura da segurança: criação de mecanismos de proteção às ameaças digitais, especialmente referente à infraestrutura de segurança de TI;
• Engenharia da segurança: construção da infraestrutura de segurança de TI;
• Gestão de segurança de sistemas: administração da segurança da empresa.

Tipos de ameaças à segurança da informação

Os tipos mais comuns de ameaças à segurança da informação são:

• DDoS Attack: que é a sobrecarga nas atividades do servidor para tornar o sistema lento e, por consequência, os acessos indisponíveis.
• Port Scanning Attack: malware que se aproveita da vulnerabilidade do sistema para roubar informações e dados.
• Ransomware: bloqueio do acesso a todos os arquivos do servidor.
• Cavalo de Troia: malware para roubar informações pessoais e interromper funções no computador.
• Ataques de força bruta: invasão para testar chaves de acesso e descobrir senhas.
• Phishing: ataque que leva usuários e usuárias a entregarem informações sigilosas, como senhas, dados bancários e CPF.
• Cripto Jacking: uso do computador da pessoa usuária para fazer mineração de criptomoedas.
• Zero Day: busca de falhas de segurança para explorar brechas e bugs antes da correção.

Importância da segurança da informação nas empresas

A partir dos movimentos de transformação digital, os processos das empresas estão, cada vez mais, digitais. Sendo assim, a perda ou o vazamento de dados pode ter um impacto bastante significativo.

E, infelizmente, esses ataques estão cada vez mais comuns. Os dados da Pesquisa Nacional BugHunt de Segurança da Informação mostraram que uma em cada quatro empresas brasileiras sofre pelo menos um ataque virtual por ano.

Para refletir sobre a importância da segurança da informação empresarial, é só pensar na situação de um ataque cibernético. Logo de início, é possível pensar nas perdas financeiras que podem acontecer.

No entanto, mais do que isso, os ataques também podem atingir a reputação da imagem na empresa. Quais as organizações que vão continuar a confiar seus dados a essa empresa depois da situação?

Além do mais, a segurança de dados não é apenas um diferencial competitivo — ou apenas uma prevenção, é também uma obrigação legal, a partir da Lei Geral de Proteção de Dados Pessoais (LGPD).

Inclusive, o artigo 6º desta Lei prevê a obrigação de adotar medidas para proteger os dados pessoais de acessos não autorizados e acidentes.

Em resumo, além de prevenir acidentes e ataques, a proteção das informações evita prejuízos financeiros, judiciais e danos de reputação.

O que faz um profissional de segurança da informação?

A pessoa que atua como especialista em segurança da informação é responsável por proteger os sistemas de informação de uma organização contra ameaças e ataques cibernéticos. Suas principais atividades incluem:

1. Identificar vulnerabilidades e ameaças: realizar análises de risco para identificar possíveis vulnerabilidades nos sistemas e redes da organização, além de acompanhar as tendências e os novos métodos de ataque para se preparar para possíveis ameaças.
2. Implementar medidas de segurança: com base nas vulnerabilidades identificadas, implementar medidas de segurança adequadas, como firewalls, antivírus, sistemas de detecção de intrusão, entre outros. Tal profissional também pode desenvolver políticas de segurança e procedimentos internos para garantir a proteção dos dados.
3. Monitorar e detectar incidentes de segurança: monitorar constantemente os sistemas e redes da organização em busca de atividades suspeitas, a fim de responder rapidamente a incidentes de segurança, como tentativas de invasão, malware ou roubo de dados.
4. Responder a incidentes de segurança: em caso de incidentes de segurança, o (a) profissional deve investigar a origem do problema, minimizar os danos e restaurar a normalidade dos sistemas, além de reportar o incidente para as partes interessadas e implementar medidas para evitar que o incidente se repita.
5. Elaborar treinamentos:conscientizar as pessoas colaboradoras sobre boas práticas de segurança cibernética, fornecendo treinamentos e workshops para garantir que todas as pessoas da organização estejam cientes dos riscos e saibam como se proteger.
6. Estar por dentro das atualizações: com o constante avanço das tecnologias e das ameaças cibernéticas, quem atua na área precisa estar sempre por dentro das novidades, acompanhando as tendências, participando de cursos e certificações e conhecendo as melhores práticas de segurança da informação.

O que é preciso para atuar na área?

É comum ter dúvida se precisa de faculdade para trabalhar com segurança da informação, visto que é uma área bem específica. No entanto, não é obrigatório ter uma faculdade específica, mas é recomendado ter uma formação acadêmica em áreas como: Ciência da Computação, Engenharia da Computação ou Sistemas de Informação.

Além da formação acadêmica, é importante ter conhecimentos sólidos em redes de computadores, criptografia, sistemas operacionais, programação, gestão de riscos e conformidade, entre outros.

Também é interessante obter certificações reconhecidas no mercado, como a Certified Information Systems Security Professional (CISSP) ou a Certified Information Security Manager (CISM), além de contar com experiência prática, que podem ser adquiridas em estágios ou projetos.

Dessa forma, embora uma formação acadêmica seja recomendada, é possível trabalhar com segurança da informação sem ter uma faculdade específica, desde que se tenha conhecimentos técnicos, certificações relevantes e experiência prática na área.

Melhores práticas para garantir a segurança da informação

Se você está pensando em construir estratégias de segurança da informação na sua empresa, aqui estão algumas boas práticas que podem te auxiliar:

Construir uma estrutura de segurança

Em primeiro lugar, crie uma estrutura de segurança de informação na empresa. Esse processo vai te ajudar a definir, inclusive, um padrão de segurança.

Nesse processo, você deve pesquisar sobre ferramentas e técnicas que ajudam a evitar ataques e invasões.

Treinamento e desenvolvimento das pessoas colaboradoras

Além de estruturar o processo de segurança e pesquisar ferramentas, é fundamental que a sua equipe conheça toda estratégia de atuação para proteger as informações.

Isso passa, sem dúvidas, pelo treinamento e desenvolvimento das pessoas colaboradoras em digital skills e cibersegurança.

É importante ter em mente que mais do que simplesmente técnicas, a gestão baseada em riscos deve fazer parte da própria cultura da organização.

Ou seja, os assuntos referentes à segurança da informação devem se tornar um assunto, sobretudo, coletivo.

Faça testes sobre a estrutura

Depois de criar a estrutura e treinar as pessoas, é hora de fazer testes que simulam ataques hackers.

Só assim a empresa vai conseguir fazer uma avaliação real da capacidade de seus mecanismos de defesa e, o melhor de tudo, vai conseguir implementar as melhorias necessárias.

E na sua empresa? Como está o processo de segurança das informações?

Agora que você já sabe mais sobre o assunto, que tal capacitar seu time para o futuro? Fale conosco e conheça os cursos e os benefícios da Alura Para Empresas.