4 minute read
Em Rede
A importância de estabelecer uma PSI nas organizações
O ano de 2022 está sendo bem movimentado. E, infelizmente, não estou falando da guerra na Ucrânia, das tensões políticas em Taiwan, da Copa do Mundo ou mesmo das eleições no Brasil. O fato é que, no mundo da TI, este ano entrará para a história pelo aumento recorde nos casos de incidentes relacionados à cibersegurança. Até o momento, o cenário não é nada animador, isso porque, de acordo com o último levantamento da CPR CheckPoint Research, divisão de Inteligência em Ameaças da companhia israelense CheckPoint, o segundo trimestre de 2022 apresentou um pico histórico, com um aumento dos ataques cibernéticos globais na ordem de 32% em comparação com o segundo trimestre de 2021 (o Brasil apresentou um crescimento acima da média, em torno de 46%).
Pelos dados atuais, a América Latina registrou o maior aumento nos ataques, com uma em cada 23 organizações impactadas semanalmente, um aumento de 43% em comparação com o segundo trimestre de 2021, quando o índice apontou ataques a uma em cada 33 organizações. Em nível global, os ataques de ransomware atualmente afetam uma em cada 40 organizações por semana, o que representa um aumento de 59% em relação ao segundo trimestre de 2021. Por aqui, a CPR aponta que as organizações brasileiras foram atacadas 1540 vezes semanalmente, e que o crescimento do trabalho remoto e a disposição das organizações em pagar resgate quando dados são sequestrados impactam consideravelmente no crescimento dos incidentes. Por isso, é importante discutir um tema que, em tempos de preocupações com as sanções da LGPD – Lei Geral de Proteção de Dados, chega a soar como algo corriqueiro, mas que, no fundo, é indispensável: o estabelecimento de PSI - Políticas de Segurança da Informação nas empresas.
Para a construção de uma política que seja simples, direta e traga os valores e objetivos que refletem a empresa, é necessário observar as melhores práticas de mercado. Neste caso específico, estamos falando da ISO 27001, que é a linha de base na qual a NEO se inspirou para criar suas políticas e também os controles implantados, reforçando os pilares de segurança da informação, também conhecido como CID –Confidencialidade, Integridade e Disponibilidade, trazendo o peso e a força necessários ao desenvolvimento dessas políticas e, mais especificamente, da política de segurança da informação, que tem em seu conteúdo as diretrizes e objetivos reforçando estes pilares.
Esmiuçando o CID, temos como primeiro elemento a confidencialidade, que trata dos elementos que devemos preservar em uso restrito, tais como os assuntos estratégicos, dados pessoais sensíveis, dados financeiros, entre outros que possam trazer essas características. Tais informações, ou melhor, esses ativos de informação, devem ser restritos a um grupo de interesse ou a um número mínimo de pessoas, que deverão estar cientes do termo de confidencialidade aplicado e respeitar a classificação das informações estabelecidas na empresa.
A integridade, por sua vez, assegura que as informações devem estar completas, legíveis, mantendo o valor que recebe. Essa integridade está intimamente ligada ao entendimento que a informação traz e sua forma de proteção como tipos de acessos de grupos e pessoas, criptografia, assinatura digital backup (cópia de segurança) e restore (restauração de informação) dos ativos, que por sua vez tendem a manter essa integridade necessária.
Por fim, a disponibilidade, que assegura que os ativos de informação devem ficar disponíveis pelo tempo necessário para a empresa, um grupo de pessoas ou ainda a um grupo restrito de pessoas ou recursos, mantendo a disponibilidade e o acesso aos ativos de informação.
Utilizando esses princípios, é possível criar uma política de segurança da informação sólida, que dá suporte à empresa na diminuição de vulnerabilidades e combate às ameaças, mitigando os potenciais riscos aos negócios.
Priorizar uma sólida política de segurança da informação é crucial para manter os seus dados livres de ataques, vazamentos e outros riscos. Cada vez mais os dados são considerados bens valiosos, e resguardar informações, sobretudo quando o seu core business está intimamente ligado à experiência do cliente (CX) não é diferencial, e sim uma obrigação. Mas, afinal, por que é importante estabelecer uma PSI efetiva?
Por diversos motivos. Na prática, uma política de segurança da informação permite estipular as regras e procedimentos que todos os indivíduos da organização devem seguir. Podemos definir os parâmetros de confidencialidade, a disponibilidade, ou seja, os níveis de
Esta seção aborda aspectos tecnológicos das comunicações corporativas, em especial redes locais, mas incluindo também redes de acesso e WANs. Os leitores podem enviar suas dúvidas para Redação de RTI, e-mail: inforti@arandanet.com.br.
acesso aos dados para cada colaborador e o que acontece com quem não segue as regras.
O objetivo das políticas de segurança é mapear e abordar as ameaças, implementar estratégias e definir diretrizes para mitigar as vulnerabilidades de segurança em TI. Por meio de uma PSI bem documentada, temos não só mais segurança em casos de violação de dados, como também subsídios para realizar o trabalho preventivo, que, vale destacar, é essencial e precisa ser totalmente baseado em políticas educacionais e de orientação, mostrando aos colaboradores o que fazer e, principalmente, o que não fazer.
Para instituir a PSI de maneira eficaz é necessário esforço, disciplina e registro em documento, como um elo entre colaboradores, processos internos, segurança e tecnologia. E se futuramente uma violação de segurança acontecer, muito provavelmente um dos termos estipulados na PSI terá falhado, mas, nesse caso, você saberá como agir, inclusive o que deverá ser feito em relação a quem não seguiu as regras. A PSI precisa prever sanções para quem direta ou indiretamente esteja envolvido em um incidente relacionado à quebra de segurança.
Agora, imagine não dispor de medidas de proteção? Além de fazer parte de posteriores estatísticas, você pagará caro por isso, já que, pelas regras da LGPD, um vazamento indevido de informações pessoais de clientes pode render uma multa entre R$ 50 milhões a 2% do faturamento total da empresa. Em suma, prevenir ainda é melhor do que remediar.
