Falhas na segurança da informação podem causar diversos prejuízos às empresas. Por isso, proteger dados contra o acesso e o uso indevido tem se tornado uma prioridade para elas.
Para entender como isso acontece, acompanhe a seguir um guia sobre o assunto, com dicas de como implementar uma política de proteção e quais são os erros que mais cometemos.
O que é segurança da informação?
É o conjunto de práticas e ferramentas de proteção de informações contra acessos, usos, destruição, divulgação, modificação, inspeção e registros indevidos.
As informações protegidas podem ser físicas ou digitais, públicas ou privadas —como um perfil em mídias sociais, a biometria e os dados bancários das pessoas.
Essa é uma prática que remonta à Antiguidade, da escrita hieroglífica da civilização egípcia, passando pelo Império Romano, com as cifras de César, à máquina alemã de codificação e decodificação Enigma, construída durante a Segunda Guerra Mundial.
Nos dias atuais, a segurança da informação tornou-se um desafio para as organizações, pois as informações são acessíveis a todos, em qualquer lugar e a qualquer momento.
Como funciona?
Por meio da implementação de uma Política de Segurança da Informação, as empresas estabelecem regras e padrões de segurança.
Essa política deve estar de acordo com a norma ISO 27001, padrão internacional de referência para sistemas de gestão da segurança da informação.
Além disso, deve estar alinhada aos objetivos de negócio da organização presentes no plano estratégico da empresa.
Qual é a sua importância?
Esse tipo de proteção é de extrema importância para as organizações porque a informação é um ativo valioso e um recurso patrimonial crítico para qualquer organização.
Como as violações de dados têm causado prejuízos financeiros e políticos para as nações, ter uma política de segurança da informação é indispensável para as organizações.
O custo do dano de cibercrimes globais atingiu 20 bilhões de dólares em 2021, valor 57 vezes maior do que em 2015, de acordo com relatório da Cybersecurity Venture.
Por isso, o iFood tem uma Política de Segurança da Informação bem definida, pública e efetiva, para evitar danos, prezando pela segurança dos dados dos clientes.
Conheça os princípios da segurança da informação
Os princípios são integridade, confidencialidade e disponibilidade e têm origem no ISO/IEC 17799: 2005, da Associação Brasileira de Normas Técnicas (ABNT), que é um código de prática para a gestão da segurança da informação.
Integridade é a manutenção da informação tal qual foi disponibilizada por quem tem a sua propriedade, de modo que seja protegida de alterações indevidas, intencionais ou acidentais.
Confidencialidade diz respeito à proteção da informação de acordo com o grau de sigilo de seu conteúdo, com o objetivo de limitar o acesso e o uso apenas a quem tem autorização.
Disponibilidade é tornar toda informação gerada ou adquirida por indivíduos ou organizações disponível para seus usuários quando eles precisarem delas para qualquer finalidade.
Pilares da segurança da informação
Além dos já citados acima, complementam esses pilares a autenticidade, a conformidade, o controle de acesso e a irretratabilidade, segundo o livro Segurança da Informação.
Autenticidade
É a garantia de que a informação provém da fonte à qual ela é atribuída. Ou seja, a informação é autêntica e verídica.
Conformidade
É estar de acordo com as leis e normas internas e externas regulamentadas, para que os protocolos de segurança da informação sejam adequadamente seguidos.
Controle de acesso
É a limitação e o controle físico e/ou lógico dos ativos de uma organização por meio de identificação, autenticação e autorização, para proteção contra acessos não autorizados.
Irretratabilidade
É uma forma de se proteger caso o/a autor/a de uma informação no futuro negue a sua autoria.
Qual a diferença entre TI e segurança da informação?
Apesar de serem áreas correlatas, Tecnologia da Informação (TI) e Segurança da Informação têm diferenças de processos e objetivos.
A TI faz a gestão das informações e cria soluções para sistemas de informações, enquanto a segurança da informação é responsável pela proteção dessas informações.
6 ferramentas para conhecer
Existem diversas ferramentas que são utilizadas para manter uma boa segurança da informação, que podem ser categorizadas por diferentes tipos e usos.
As principais ferramentas são antivírus, firewall, criptografia e protocolos de segurança, softwares de monitoramento e backup.
O treinamento de funcionários é uma ferramenta de segurança, como o uso de senhas complexas, a adoção de sistemas em duas etapas, evitar acessar sites desconhecidos e não conectar unidades externas aos computadores corporativos.
Como usar a tecnologia em segurança da informação?
A tecnologia é usada para aplicação dos princípios de confidencialidade e integridade das informações e dados de empresas e usuários.
Tecnologias como blockchain, computação em nuvem, criptografia, biometria e mascaramento de dados são as mais utilizadas em sistemas de segurança da informação.
6 erros comuns de segurança da informação
Cerca de 88% dos erros comuns de segurança da informação são causados por falha humana, segundo apontou um estudo de pesquisadores da Universidade de Stanford.
Entre os erros mais comuns estão:
- Clicar em links e mensagens não solicitadas;
- Usar senhas fracas e pular atualizações de computadores e dispositivos;
- Falha em aprimorar a autenticação de dois fatores;
- Falha ao fazer backup;
- Usar e compartilhar dispositivos de trabalho para uso pessoal;
- Não usar software de segurança em todos os dispositivos.
5 dicas de como implementar uma política de segurança da informação
As empresas podem implementar uma boa política de segurança da informação (PSI) seguindo uma série de princípios, regras e diretrizes amplas e genéricas.
Para isso, as empresas devem lançar mão de várias políticas inter-relacionadas, como política de senhas, de backup, de contratação e instalação de equipamentos e softwares.
O manual Boas Práticas em Segurança da Informação, do Tribunal de Contas da União, traz diversas dicas de como implementar uma política nessa área. Veja algumas:
- Tenha uma área responsável pela política de segurança. É ela que vai iniciar o processo de elaboração dessa política, e também coordenar sua implantação, revisá-la e designar funções de segurança.
- Verifique se essa política contém os seguintes tópicos: declaração do comprometimento da alta administração da empresa com a PSI; objetivos de segurança da instituição; definição de responsabilidade gerais na gestão; orientações sobre análise e gerência de riscos.
- Assegure-se de que os sistemas computacionais estejam de acordo com a PSI e que possuam padrões mínimos de qualidade.
- Faça a classificação das informações: uso irrestrito, uso interno, confidenciais ou secretas.
- Observe os princípios legais de tecnologia da informação, como direitos de produção intelectual, direitos sobre software, normas legais relacionadas aos sistemas desenvolvidos e cláusulas contratuais.