São Paulo/SP – 24 de fevereiro de 2023. Segurança da informação (SI) pode ser descrita como o conjunto de práticas adotadas para garantir a confidencialidade, a integridade e a disponibilidade (CID) das informações durante o seu ciclo de vida.
*Por Lucas Santos
O que é segurança da informação?
Segurança da informação (SI) pode ser descrita como o conjunto de práticas adotadas para garantir a confidencialidade, a integridade e a disponibilidade (CID) das informações durante o seu ciclo de vida.
A confidencialidade é o pilar de SI que visa restringir o acesso a dados e informações às pessoas que tem real necessidade de tal acesso.
O pilar da integridade tem por objetivo assegurar a qualidade das informações, ou seja, está associada ao conjunto de medidas implementadas para evitar a alteração indevida das informações, seja de forma acidental ou intencional.
Além de garantir que as informações permaneçam confidenciais e íntegras durante o seu ciclo de vida, é importante que estas estejam disponíveis para acesso sempre que necessário pelas pessoas autorizadas.
Objetivo da segurança da informação
Considerando o aspecto corporativo, as informações representam valor para as organizações, portanto, o principal objetivo da SI neste contexto é a proteção de valor organizacional.
O aspecto organizacional da segurança da informação deve considerar fatores específicos, uma vez que uma mesma informação pode ser acessada por diversas partes, como colaboradores, clientes, fornecedores, parceiros de negócio, entidades reguladoras, entre outras.
Por que implementar segurança da informação?
A devida integração da SI nas atividades de uma organização traz benefícios que suportam a proteção de valor.
Dentre eles, se destacam os seguintes:
- Gestão de riscos: parte fundamental da SI, a gestão dos riscos auxilia as organizações a conhecerem e mitigarem os riscos inerentes ao negócio;
- Prevenção de perdas: a implementação de técnicas e ferramentas de SI pode resultar na prevenção de perda da capacidade operacional, financeira, de dados, entre outras;
- Continuidade do negócio: uma vez que a disponibilidade é um pilar da SI, a garantia deste fator aprimora a continuidade das atividades do negócio;
- Gestão de ameaças e incidentes: conhecer e controlar ameaças e incidentes é parte essencial da SI, visando minimizar a probabilidade e o impacto destes de forma a evitar que ameaças se materializem em riscos para as organizações.
A implementação da segurança da informação deve ser personalizada de acordo com o contexto, tanto interno (processos, estrutura, cultura organizacional etc.) quando externo (mercado, expectativa de clientes, entidades reguladoras etc.) de cada organização.
Fatores críticos
A adequada implementação da SI nas organizações deve considerar, os seguintes fatores, para garantir a adaptação desta ao cenário organizacional:
- Porte: tanto o faturamento quanto a quantidade de colaboradores devem ser levados em conta durante o planejamento da SI, uma vez que estes fatores estão diretamente relacionados com a provisão de recursos (ferramentas e mão de obra) que suportarão a operacionalização da segurança da informação;
- Segmento: a SI deve ser planejada e implementada de forma a controlar ameaças, riscos e regulamentações específicas relacionados à área de atuação das organizações, além dos riscos globais de SI;
- Localização: os riscos associados aos locais e territórios de atuação das organizações devem ser considerados para a implementação de SI;
- Requisitos legais: leis, regulamentações e normas devem ser consideradas, para garantir a correta execução das atividades de SI pelas organizações;
- Estrutura e cultura organizacionais: estes fatores organizacionais determinam o melhor caminho para integração da SI nas atividades corporativas;
- Ambiente tecnológico: a estrutura de TI que suporta o negócio deve ser considerada, de forma a mapear as suas limitações para implementação de controles de SI.
Como implementar segurança da informação
A implementação de segurança da informação deve ocorrer de forma gradual e planejada considerando os fatores descritos anteriormente para assegurar a adequação desta à realidade da organização. As seguintes atividades devem fazer parte da implementação de SI:
- Mapeamento de áreas e atividades críticas: atividade fundamental para o mapeamento de recursos necessários e riscos associados a estas, viabilizando a adoção de estratégias adequadas para garantir a SI;
- Aderência a frameworks: atualmente, existem diversos frameworks de SI que descrevem controles a serem implementados nas organizações de acordo com as melhores práticas de mercado, como a norma ISO 27001, NIST CyberSecurity Framework, CIS Framework, entre outros. Cabe Às organizações avaliar qual framework é o mais adequado aos seus objetivos;
- Documentação: os processos e controles implementados para suportar a SI devem ser documentados de forma a garantir a padronização destes e devida divulgação para todas as partes interessadas;
- Engajamento da Alta Direção: é indispensável o engajamento da Alta Direção para a garantia de autonomia e independência das tomadas de decisões relacionadas à SI;
- Atribuição de papéis e responsabilidades: a definição e comunicação de papéis e responsabilidades de todos para com a segurança da informação suporta a sua correta implementação e execução das atividades que a permeiam.
Não é só implementar!
As atividades de manutenção e gestão de segurança da informação são tão importantes quanto a implementação em si. Estas auxiliam a organização na melhoria contínua da segurança dos seus dados e informações, garantindo que esta será constantemente aprimorada e atualizada conforme a constante mudança do ambiente tecnológico global.
Além das atividades relacionadas à implementação, as seguintes atividades são importantes para garantir a segurança das informações nas organizações:
- Monitoramento e avaliação: as atividades que suportam a SI nas organizações devem ser avaliadas quanto à sua eficácia e alinhamento com os objetivos da organização;
- Auditorias: auditores independentes devem ser responsáveis pela avaliação de eficácia dos controles implementados pela organização, de forma a garantir uma visão externa destes para viabilizar a identificação de eventuais gaps e oportunidades de melhoria;
- Conscientização: é importante que todos os colaboradores e partes interessadas da organização conheçam a importância da SI e seu papel em cumpri-la.
Considerações Finais
Um programa eficaz de segurança da informação é indispensável para organizações de qualquer porte e em qualquer segmento de atuação, para garantir a proteção de valor. O programa deve ser implementado de forma adequada e ajustada de acordo com o contexto organizacional, garantindo a adoção de medidas executáveis e suficientes para a proteção de dados e informações das empresas.
*Lucas Santos é GRC, Privacy and Information Security Senior Consultant na SAFEWAY.
Como podemos ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 15 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de implementação, manutenção e auditoria de Segurança da Informação, de acordo com a melhores práticas disponíveis atualmente no mercado. Caso deseje mais informações, entre em contato com um de nossos especialistas!
