Saiba o que é Segurança da Informação e como se proteger

Um Sistema de Gestão de Segurança da Informação (SGSI) define uma abordagem organizacional para que de acordo com os de Integridade, Confidencialidade, Confiabilidade, Autenticidade e Disponibilidade, os dados e informações de uma empresa estejam protegidos. Isso inclui instrumentos para monitorar, analisar, implementar e estabelecer a Segurança da Informação utilizando diversas estratégias, controles, políticas e planos.

O SGSI se baseia em normas ISO/IEC para prover segurança no uso dos ativos tecnológicos de uma empresa. Mais especificamente centralizado nas Normas ISO/IEC 27001 e 27002, o sistema estabelecido deve ser seguido por todos que se relacionam direta ou indiretamente com a infraestrutura de TI da organização, desde os funcionários até os fornecedores e parceiros.

É um processo contínuo composto por um conjunto de engrenagens e que em seu início implica na implementação e depois na manutenção e constante aprimoramento de uma série de processos que permitem o gerenciamento eficiente das informações.

É possível criar um modelo próprio de gerenciamento que considere todos os fatores essenciais para sua eficiência, bastando levar em conta o tamanho e o segmento de seu negócio.

Embora não exista um passo-a-passo para a implementação de um gerenciamento padrão considere os seguintes aspectos que contribuirão para a conquista de bons resultados:

Escopo

A norma 27001 adota o modelo PDCA (Plan-Do-Check-Act) sendo necessário portanto planejar o estabelecimento (Plan), Implementar (Do), Monitorar e melhorar (Check) e Manter (Act) o SGSI.

Plan

O planejamento pode ser dividido em duas etapas. Na primeira são necessárias as seguintes atividades: avaliação da situação atual da empresa diante da Segurança da Informação, análise de risco, definição dos controles que são compatíveis com o tamanho e o segmento de negócio da empresa, documentação da declaração de aplicabilidade (SOA). Já num segundo momento, as atividades necessárias são: estabelecimento de políticas, processos, departamentos e procedimentos para gestão da segurança da informação, os quais definem a abordagem e os objetivos da Segurança da Informação.

Do

Implementação do SGSI com operação da política de segurança, controles, medidas, processos e procedimentos. Deve conter a formulação de um plano de tratamento de riscos, implementar controles, programas de conscientização e treinamento. Além disso nessa fase deve começar o efetivo gerenciamento das operações e recursos de SGSI e a pronta detecção de eventos de SI e resposta a incidentes.

Check

Avaliação da eficiência e eficácia do sistema de gestão e apresentação de resultados. Comparação entre desenho alcançado e diretrizes definidas, valendo-se de métricas. Análise crítica de riscos, escopo e condução de auditorias internas em intervalos planejados. Atualização do plano de segurança da informação de acordo com os resultados do monitoramento e análise crítica.

Act

Executar ações corretivas e preventivas com base nos resultados de auditoria e análise crítica em busca de constante aprimoramento e ganho de eficiência. Implementação de melhorias identificadas e comunicação às partes interessadas de acordo com os objetivos pretendidos.

Apoio e estrutura

Obtenha o respaldo da alta administração e estabeleça um esforço conjunto, com uma estrutura adequada para a tomada de decisões como um Forum ou Comitê de Segurança que possa efetivar o que for determinado como governança da segurança da informação. A Gestão de Segurança não deve ser um projeto isolado gerenciado por um único colaborador, mas sim um compromisso de todos.

Defina seus ativos de informação

Ativos são todos os recursos que agregam valor a um negócio. Cada empresa tem suas particularidades e precisa definir quais são as informações importantes e quais ativos de informação que devem ser protegidos. Podem existir informações sensíveis de cunho competitivo e ou legal que precisem de um tratamento diferenciado.

Uma vez definido os ativos é preciso saber quais processos do negócio que envolvem ou geram estas informações; quais tipos e quem terá acesso; qual a classificação da informação (pública, restrita ou confidencial); termos de responsabilidade e confidencialidade; auditoria e monitoramento periódico e como descartar adequadamente a informação.

Gap Analysis

Entenda de acordo com melhores práticas reconhecidas da indústria e critérios estabelecidos como padrões a diferença entre sua performance de segurança atual e a desejada. Esse diagnóstico de brechas ou o GAP Analysis pode ser aplicável a qualquer normativo de adequação e é também muito útil em outras certificações além da ISO/IEC 27001.

Análise de Impacto e estimativa de recursos

Saiba as possíveis consequências para o seu negócio em caso de incidente disruptivo através de uma Análise de Impacto do Negócio (a chamada BIA, Business Impact Analysis). Identifique os processos críticos para a operação e priorize adequadamente de maneira proporcional ao possível impacto.

Estime todos os elementos necessários para a implementação da ISO / IEC 27001 em termos de recursos, tempo, investimento e pessoas e, por fim, planeje a implementação de maneira eficiente e com prazo máximo de 1 ano para que as mudanças de riscos, prioridades em relação a proteção de ativos e aparição de novas ameaças não tornem o sistema de gerenciamento desatualizado.

Gestão de Riscos de Segurança da Informação

Os riscos à Segurança da Informação são ameaças que impedem o alcance dos objetivos de uma organização. A gestão de riscos começa com um bom planejamento de infraestrutura, serviços, políticas e metodologias.

A Gestão de Riscos de TI envolve a identificação, análise e classificação por prioridade de cada risco identificado levando em consideração o possível impacto e probabilidade de que seja explorado. Tudo o que gira em torno de TI pode contribuir para aumentar ou diminuir o risco por isso essa avaliação deve ocorrer de maneira contínua.

Deve existir um plano de resposta aos riscos que forem identificados com ações a serem tomadas para seu gerenciamento. Devem ser atribuídos papéis e responsabilidades sobre os perigos que forem detectados. Entre as possíveis ações a partir da identificação de um risco podemos citar:

Evitar: tomar ações que eliminem completamente o risco;

Mitigar: redução da probabilidade e ou do impacto da possível exploração do risco;

Transferir: envolver um terceiro que será responsabilizado pelo risco;

Aceitar: monitorar continuamente e estabelecer mecanismos de alerta e de resposta em caso de concretização.

Pessoas, Processos e Tecnologia

Uma abordagem bem sucedida em Segurança da Informação deve contemplar uma estratégia de segurança em profundidade, ou seja, em diversas camadas e depende de três fatores fundamentais para formar uma defesa eficiente da organização.

Pessoas

Usuários são a peça-chave da segurança. Devem compreender e assimilar os princípios básicos para uma conduta segura, como a escolha de uma senha forte, navegação por VPN em locais públicos, saber identificar emails ou comportamentos suspeitos.

Processos

As organizações devem estabelecer processos e procedimentos bem definidos para que possa nortear a Governança da Segurança da Informação de forma clara para toda a empresa.

Política de senhas, processo de gestão de vulnerabilidade e Plano de resposta à incidentes são alguns dos processos essenciais para que a empresa possa agir proativamente e saber como lidar em caso de ataques bem sucedidos. Como identificar vulnerabilidades, proteger sistemas, detectar e responder as ameaças? Como se recuperar de um cyber ataque bem sucedido?

Tecnologia

Essa é a camada que requer maior investimento e que precisa se adaptar mais rapidamente frente às novidades constantes das áreas de negócio. Para que os processo de segurança da sejam efetivos e automatizados, é essencial a adoção de tecnologias especializadas para o estabelecimento do programa de segurança da informação na profundidade necessária para proteger o negócio.

Algumas tecnologias essenciais para proteção incluem firewalls de última geração, filtros DNS, VPN, proteção contra malware, antivírus e soluções para segurança de email. Firewalls de aplicação (WAF), sistemas de detecção de intrusos (IDS/IPS), scanners e varreduras de vulnerabilidade, análise de anomalias na rede também fazem parte da higiene básica da Cyber-segurança.

Como começar um programa de SI

O primeiro passo antes de iniciar a construção de um programa de segurança da informação é realizar uma avaliação de risco. O National Institute of Standards and Technology (NIST) desenvolveu o Cyber Security Framework, um guia de mapeamento de risco e adoção de melhores práticas para definir controles, proteger os ativos, monitorar e responder aos incidentes. Existem outros padrões e metodologias mais simplificadas na internet.

As metodologias e boas práticas para condução de avaliação de risco focam em três áreas principais: identificar os ativos que são essenciais para os processos de negócio e que processam ou armazenam informações confidenciais ou sensíveis; identificar ameaças, conformidades e riscos enfrentados por esses ativos e informações; entendimento dos danos que sua organização pode sofrer caso essas informações sejam perdidas ou expostas indevidamente. Nesta avaliação, devem ser consideradas as regulamentações e leis em vigor que afetem os seu segmento, tais como as leis de privacidade (LGPD e GDPR), BACEN 4.658 (instituições financeiras) e 3.909 (instituições de pagamento), PCI-DSS (processamento de cartões de crédito), entre outros.

Com base no resultado da avaliação de risco, deve-se adotar uma abordagem top-down, na qual os líderes, diretores e acionistas entendam os riscos apoiem a promoção de uma cultura de Segurança da Informação e Privacidade em todas as práticas e áreas do negócio. Desta forma, toda organização estará alinhada à importância da segurança e atenta à riscos e comportamentos anômalos.

Em seguida à avaliação de risco, deve ser desenvolvido o plano do programa de segurança da informação com visão de 2 a 3 anos, considerando os pontos de atenção mais relevantes, os ativos e informações mais críticos para o negócio. Esse plano deve prever o desenvolvimento e implementação de processos, as tecnologias necessárias para construir e estabelecer um programa de segurança da informação e capacitação da equipe técnica.

Sua implantação envolve, no geral:

  1. Análise de riscos da infraestrutura de tecnológica e da atual posição da empresa em relação à Segurança Digital, a fim de identificar pontos vulneráveis e as falhas que deverão ser corrigidas;
  2. Estruturação de Políticas de Segurança Digital, procedimentos e normas que respaldam a Segurança da Informação na organização
  3. Processos de detecção e resposta a incidentes de segurança que assegurem o pronto restabelecimento dos sistemas e acesso seguro a informações em caso de incidente;
  4. Plano de Continuidade de Negócios para assegurar que ao se recuperar de um incidente grave, as perdas sejam minimizadas;
  5. Plano de Conscientização de funcionários, parceiros e fornecedores perante a Segurança Digital e as respectivas estratégias adotadas na empresa;
  6. Procedimentos para auditoria e melhoria contínua.

Apesar de, à primeira vista, parecer uma tarefa trabalhosa e complicada, comece pequeno e foque em seus ativos e dados mais sensíveis, escalando seus esforços conforme seu programa de segurança ganha força e maturidade.

A utilização de uma plataforma para governança e gestão integrada da segurança da informação fornecerá uma visão dos riscos associados aos seus ativos dentro do contexto do negócio e irá facilitar a priorização e acompanhamento das ações necessárias para garantir uma postura proativa e diminuir os riscos de um cyber ataque ser bem sucedido.

Você também pode curtir isso: