Sistema de Gestão de Segurança Digital ou Sistema de Gestão Segurança da Informação, é um conjunto das melhores práticas de processos aliado à pessoas, hardware (equipamentos) e softwares (aplicativos e plataformas), que tem como objetivo manter e garantir níveis adequados de segurança e privacidade.
Estes níveis podem ser tanto no meio digital e online, quanto nas informações que transitam de forma offline (impressos, anotações e documentos) em uma organização, tendo como seu documento primário a Política de Segurança da Informação. No artigo a seguir, abordaremos sobre algumas das partes desse sistema e seus pré-requisitos necessários.
Sistema de Segurança da Informação
A segurança da informação (SI) está diretamente relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São propriedades básicas da segurança da informação: confidencialidade, integridade, disponibilidade, autenticidade e legalidade.
Segundo a Wikipédia:
Um sistema é um conjunto de elementos interdependentes de modo a formar um todo organizado. […] Todo sistema possui um objetivo geral a ser atingido…
A boa integração dos elementos componentes do Sistema de Gestão de Segurança da Informação é chamada sinergia, determinando que as transformações ocorridas em uma das partes influenciará todas as outras. A alta sinergia de um sistema faz com que seja possível a este cumprir sua finalidade e atingir seu objetivo geral com eficiência; por outro lado se houver falta de sinergia, pode implicar em mau funcionamento do sistema, vindo a causar inclusive falha completa, pane, queda do sistema, etc.
Pessoas, Processos e Tecnologia
Vinculados com a LGPD – Lei Geral de Proteção de Dados Pessoais, a tecnologia pode ajudar a aderência aos princípios da nova Lei. Pode-se dizer que Segurança da Informação também é tecnologia, mas não se limita somente a ela. Existem lugares que a tecnologia não consegue alcançar, como por exemplo os documentos impressos. Os 3 pilares principais definidos como Pessoas, Processos e Tecnologia precisam se preparar e completar de maneira a estarem constantemente evoluindo, para que seja possível um nível aceitável de segurança.
A realização de treinamentos é sem dúvida o melhor investimento para implementação das melhores práticas de segurança da informação, ainda que seja um processo com retorno de médio prazo e sem métricas objetivas de sucesso, também afetando outras áreas como produtividade, desempenho e engajamento da equipe de colaboradores. Além das pessoas, os processos ou a forma como os projetos, tarefas e atividades são realizados, compõem nosso terceiro eixo. Aqueles que apresentam maior risco ou são mais importantes para a continuidade do negócio, precisam ser mapeados e observados, seja para propor melhorias ou avaliar riscos para as pessoas ou a especificamente para empresa como um todo.
Identidade e credenciais de acesso
Login, senha, certificado digital e leitores biométricos são alguns exemplos de credenciais de acesso, responsáveis por validar a identidade de uma pessoa, além de permitir ou negar o acesso a determinados arquivos e documentos, conforme os princípios definidos pela empresa e seus gestores.
Devem ser realizados de forma centralizada, evitando que o usuário necessite utilizar com frequência desnecessária suas senhas, tornando possível auditar de forma simplificada quando, quem e o que foi acessado. Além disso, como ponto ainda mais relevante, também que seja possível a revogação de acessos, ou seja, remover o acesso de arquivos offline ou que foram baixados em caso de identificação de acesso ou através de compartilhamento indevido.
No Sistema de Gestão de Segurança da Informação, as melhores práticas também preveem que elas sejam únicas e não compartilhadas entre pessoas e usuários, e ainda evitar o uso da mesma senha em diferentes ambientes. A senha corporativa deve ser utilizada somente neste ambiente, da mesma forma que senhas que permitem acessos a conteúdos restritos e confidenciais, e principalmente logins em redes sociais sejam diferentes das utilizadas nos ambientes anteriormente citados, sendo possível serem alterados da forma mais rápida possível em caso de incidentes.
Acessos a Internet
A facilidade de compartilhamento de arquivos, fotos, informações e notícias através da internet pode ser um aliado da sua empresa, mas o correto uso deve ser estimulado sempre. Vulnerabilidades e riscos de segurança, as vezes disfarçados em uma imagem atrativa ou mesmo através de um anexo malicioso, impactam diretamente no desempenho e na velocidade dos computadores e, por vezes, de toda a infraestrutura de TI da empresa.
Um firewall atualizado e configurado da maneira correta é a primeira barreira para a proteção do seu ambiente digital. Além de bloquear acessos não autorizados a internet, ele também acompanha as conexões e emite alertas sobre tentativas de intrusão e outros incidentes.
Os filtros de conteúdo, sejam em e-mails ou nos acessos a sites e aplicativos, realizam um segundo nível de proteção, ou bloqueando possíveis ameaças ou limitando acessos a conteúdos indevidos e impróprios de serem utilizados durante o expediente de trabalho.
As conexões seguras também conhecidas como VPN, rede virtual privada em tradução livre, é uma camada adicional de segurança em algumas conexões. Comum em ambientes corporativos, permitem acesso às configurações de servidores hospedados em nuvem (cloud), por precisarem de um nível maior de confiabilidade e integridade dos dados transmitidos.
Há também a criptografia, onde em um próximo nível, as conexões devem ser criptografas, como por exemplo quando você acessa um Internet Banking ou website seguro e confiável, você pode ver um cadeado ao lado do endereço do site. Este símbolo indica que as comunicações entre o servidor e seu navegador são realizadas de forma a garantir que não sejam modificadas ou adulteradas. Então como implementar um Sistema de Gestão de Segurança da Informação?
Antivírus
Também chamados de End Point Security, são aplicativos instalados em estações de trabalho para evitar que malwares de todos os tipos explorem falhas e causem problemas nos equipamentos da empresa. Eles precisam estar instalados em todos as plataformas, sendo necessários que sejam mantidos atualizados.
Diariamente são criadas diversas formas de burlar a segurança e obter acesso aos dispositivos e suas informações presentes. Por este motivo, esses softwares possuem atualizações com maior frequência que os demais, mantendo o ambiente de trabalho das empresas livres de problemas.
Atualizações
É extremamente importante e necessário, manter as atualizações de segurança e correção de problemas (bugs) dos sistemas operacionais dos computadores, servidores e demais plataformas, em dia. Os demais aplicativos e softwares instalados nos computadores possuem atualizações que corrigem problemas de desempenho ou problemas de segurança que foram identificados por seus respectivos desenvolvedores. No entanto, somente o anti-vírus não consegue eliminar todos os riscos a que o ambiente de sua organização são expostos todos os dias.
Existem times inteiros de especialistas em Segurança nos principais fabricantes, dedicados a identificar, corrigir e informar sobre os problemas encontrados, para que o tempo entre a descoberta e solução seja tão curto que não possa ser explorado e prejudicar os clientes.
Dispositivos Móveis
Uma forma bastante utilizada para se obter informações, dados e imagens de seus proprietários e da empresa, é o roubo de celulares, tablets e notebooks. Esses dispositivos móveis, geralmente acompanham seu usuário, junto com diversos documentos, senhas e arquivos. Qual o impacto deste incidente com o seu equipamento? A resposta é simples — Depende.
Em um ambiente ideal de segurança da informação os discos estarão criptografados e serão necessárias senhas de validação de identidade para acesso. A possibilidade de localização do dispositivo estará configurada e ativa, além de contar com uma cópia de segurança (backup) dos dados importantes, documentos, e-mails e arquivos.
Ferramentas e softwares de terceiros
Muitas aplicações, softwares, plataformas e sistemas diversos são utilizados diariamente em todas as organizações. Principalmente com o advento da Transformação Digital, empresas de todos os portes estão vivenciando o desafio de automatizar, padronizar e otimizar tarefas repetitivas em seus processos.
Junto com essas ferramentas que ajudam muito no dia a dia, vem um compromisso da sua marca em garantir que os dados e informações compartilhados com terceiros são tratados corretamente. Afinal além das obrigações legais, sua empresa possui um compromisso com o cliente em manter as informações seguras. Por isso a importância de um Sistema de Gestão de Segurança da Informação.
Incluir esses parceiros e fornecedores na trilha de adequação é fundamental, tanto para a identificação ágil de incidentes quanto para evitá-los, sendo fundamental o compromisso de ambas as empresas sobre o entendimento e alinhamento dos níveis de segurança e privacidade dos dados compartilhados.
Reputação da sua empresa
Muito se fala na nova economia, que os dados são o petróleo do séc. XXI e também já se sabe que o descuido em relação a forma que eles são utilizados também são grandes responsáveis pela reputação da sua empresa e da sua marca. Em um estudo realizado recentemente, constatou que 6 em cada 10 consumidores deixariam de comprar produtos e serviços de empresas envolvidas em vazamento de informações ou denúncias de uso incorreto das mesmas seja por colaboradores ou ex-funcionários.
Tanto que a existência da Política de Privacidade já se tornou boa prática nos ambientes digitais e online das empresas, sendo o reflexo e parte integrante da Política de Segurança da Informação, documento que deve ser amplamente divulgada para colaboradores, parceiros e fornecedores para que sejam alinhadas as prioridades e o entendimento entre as duas partes, abrangendo tanto o uso online e digital ou de forma offline, já que o objetivo é o correto tratamento dos dados pessoais/informações, independente o meio que a transporta ou armazena.
Essa política e seus documentos auxiliares, contemplam essas e outras questões relevantes e fundamentais para o conhecimento do seu ambiente de Tecnologia da Informação, além de garantir formalmente, compromissos e responsabilidades, tanto em relação a Lei Geral de Proteção de Dados Pessoais – LGPD quanto ao Marco Civil da Internet e outras exigências legais e de mercado.
Os consumidores
Cada vez mais exigentes em relação a experiência com uma marca, produto e serviço, é indispensável a transparência. Com isso os consumidores devem ser informados sobre os motivos e como serão tratados os dados pessoais por eles informados. Além dessas exigências, existem também as sanções previstas no Marco Civil da internet, no Código de Defesa do Consumidor e Regulamentadas através da Lei 13709/18 – LGPD, que entra em vigor em Agosto de 2020.
De forma resumida, todos os dados e informações coletados de seus clientes, contatos e também colaboradores, fornecedores e parceiros, precisam ser tratados da forma correta. Desde a coleta inicial até a comunicação para essas pessoas, devem ser clara, objetiva, simples e verdadeiras, além de descritas por quanto tempo será tratadas na sua empresa ou em uma aplicação de terceiros.
Além do Digital
Além do trânsito de dados em meios digitais, como por exemplo, pendrives, mídias físicas, hd’s externos, cartões de memória entre outros, temos também um universo offline que precisa ser incluídos em uma Política de Segurança da Informação. A forma de controle e acompanhamento desses elementos precisam ser documentados e uma avaliação crítica e/ou auditoria, realizada periodicamente.
As impressoras, por exemplo, representam um risco considerável tanto pela impressão indevida como do esquecimento de documentos sensíveis nas bandejas, ficando disponíveis para qualquer pessoa que transite próximo a esse equipamento. O setor de Tecnologia da Informação, necessita de ferramentas adequadas para identificar e conter vazamentos e utilizações inseguras realizadas por esse equipamento.
Além da Tecnologia
Existem muitas ferramentas disponíveis no mercado para que sejam alcançados os níveis ideais para um Sistema de Gestão de Segurança da Informação, assim como normas nacionais e internacionais e melhores práticas. Com certeza serão necessários investimentos neste setor, seja na atualização ou novos recursos para o seu ambiente digital. Mas como observamos nas transcrições acima, existem outras questões que também precisam ser analisadas e implantadas.
É necessário estar atento também para as pessoas, tanto internas quanto externas, e prepará-las para este novo cenário através de treinamentos, capacitações e formações, seja de forma presencial, quanto digital e online. E o primeiro passo é um comprometimento dos gestores e da empresa em relação ao tema.
A Zemus Segurança da Informação oferece diversas soluções para sua empresa na área da informação. Nossas soluções personalizadas tem como ponto de partida um diagnóstico da situação que se encontra a instituição, entendendo e documentando o estágio atual dos controles de segurança da empresa. Você sabe o que sua empresa precisa fazer para se adequar à nova LGPD? Entre em contato conosco hoje mesmo e saiba mais como sua empresa poderá ficar em conformidade com a exigência da nova Lei.
:: Veja também:
– Segurança da Informação na Prática
– Proteção de Dados Pessoais (LGPD)
– LGPD e Tecnologia