Segurança da informação: conheça as 12 melhores práticas

NOVEMBRO 15, 2017

Segurança da informação é um tema estratégico da gestão de negócios, e nunca pode ser deixado de lado.

Seus desvios interferem no bom andamento das atividades rotineiras, no alcance dos resultados planejados e na sobrevivência e reputação de uma empresa. Percebeu a grande importância do assunto? Apesar de tão essencial, esse tema tem várias facetas desconhecidas pela maior parte dos gestores de negócio.

Quer mergulhar no universo da segurança da informação? Então, fique com a gente!

O que é segurança da informação?

Segurança da informação é um conjunto de práticas, habilidades, recursos e mecanismos utilizados para proteger sistemas, dados e informações contra o acesso indevido, o ataque de cibercriminosos e o uso impróprio, assim como para prevenir a perda ou o sequestro de dados.

É importante saber que nenhuma empresa é capaz de alcançar um nível de controle de cem por cento das ameaças à segurança da informação, especialmente pelo fato de haver uma dinâmica de inovação constante de hardware e software.

Segundo os especialistas do Gartner, as mudanças na segurança cibernética vão requerer novos tipos de habilidades para fazer frente às ameaças. Além disso, eles alertam que não é possível controlar tudo igualmente, é preciso priorizar o que é mais importante.

Eles reforçam que os investimentos em segurança da informação devem ser distribuídos equitativamente entre a prevenção e a detecção e resposta — já que não é possível conter todas as ameaças, mas é necessário saber como superá-las.

Quais são os princípios da segurança da informação?

Para entender o que representa a segurança da informação, é necessário conhecer os seus princípios básicos. Veja a seguir!

Confidencialidade

A informação só pode ser acessada e atualizada por pessoas autorizadas e devidamente credenciadas.

A empresa precisa contar com mecanismos de segurança de tecnologia da informação (TI) capazes de impedir que pessoas não autorizadas acessem informações confidenciais, seja por engano ou por má-fé.

Confiabilidade

É o caráter de fidedignidade da informação. Deve ser assegurada ao usuário a boa qualidade da informação com a qual ele estará trabalhando.

Integridade

É a garantia de que a informação estará completa, exata e preservada contra alterações indevidas, fraudes ou até mesmo a sua destruição.

Assim, é possível evitar violações da informação, sejam elas de forma acidental ou mesmo proposital.

Disponibilidade

É a certeza de que a informação estará acessível e disponível em escala contínua para as pessoas autorizadas.

Hoje em dia, os mecanismos de acesso remoto tornam possível a disponibilidade da informação de qualquer lugar em que o usuário esteja no planeta, a qualquer hora do dia ou da noite. Esse mecanismo viabilizou, inclusive, o gerenciamento remoto de TI.

Autenticidade

É saber, por meio de registro apropriado, quem realizou acessos, atualizações e exclusões de informações, de modo que haja confirmação da sua autoria e originalidade.

Como vimos, todos os aspectos da segurança da informação precisam estar em vista e ser tratados com o máximo de critério e cuidado para que os gestores e colaboradores da empresa sejam beneficiados, assim como os públicos externos — parceiros e clientes — que interagem com ela.

Quais são os pontos de controle da segurança da informação?

Os pontos de controle são todos os agentes e meios pelos quais a segurança da informação pode ser fragilizada ou ameaçada. São eles: os equipamentos de informática, os softwares, as redes lógicas e as pessoas.

Todos esses pontos de controle devem ser objeto de monitoramento e de ações para minimizar ou bloquear os riscos que podem acarretar à segurança da informação.

Quais são as principais ameaças à segurança da informação?

As ameaças à segurança da informação são muito variadas e abrangentes, e surgem novas a cada dia. Entre elas, podemos destacar:

• falhas no desenvolvimento, na implementação ou na configuração de mecanismos de segurança em softwares;
• negação de serviço — bloqueio de acesso por hackers;
• phishing ­— captura de dados para realização de fraudes;
• malwares — roubo ou sequestro de dados por meio de invasões a computadores e bases de dados;
• vírus — danos a sistemas e aplicativos.

Quais são as melhores práticas de segurança da informação?

As práticas de segurança vão do básico ao sofisticado, dependendo do mecanismo escolhido pelo gestor de TI.

Algumas práticas são tradicionais e conhecidas pela maioria das pessoas e outras, somente pelos especialistas da área.

Mas você não tem motivo para se preocupar. Neste post, vamos mostrar as 12 melhores práticas de segurança da informação, descritas de forma simples e objetiva. Vamos a elas?

1. Detectar vulnerabilidades de hardware e software

Os equipamentos de TI — hardwares — e os sistemas e aplicativos — softwares ­— passam por uma evolução tecnológica contínua e precisam ser substituídos periodicamente. A sua aquisição tem que levar em conta os aspectos técnicos e de qualidade, não podendo se nortear apenas pelo quesito preço.

A defasagem tecnológica torna vulnerável toda a infraestrutura e a segurança de TI e gera consequências como perda de competitividade, ineficiência operacional, insatisfação de colaboradores e clientes, morosidade e ineficácia do processo decisório.

Os equipamentos estão sujeitos a defeitos de fabricação, instalação ou utilização incorreta, quebra ou queima de componentes e má conservação, o que pode comprometer um ou mais dos princípios da segurança da informação.

Os softwares estão sujeitos a falhas técnicas e de configurações de segurança, uso equivocado ou negligência na guarda de login e senha de acesso.

Devem ser adotadas práticas de segurança específicas para cada elemento componente da infraestrutura de TI: servidores, computadores, a rede, os softwares e os componentes de comunicação, entre outros.

As práticas de segurança precisam do suporte de uma arquitetura pensada e estruturada de acordo com o propósito da empresa e os agentes que interagem no ambiente de TI, oferecendo e sofrendo riscos específicos à segurança da informação.

As soluções de segurança devem ter um design que considera cada elemento componente da infraestrutura de TI, mas leva em conta a sincronicidade e a interatividade do todo para que não haja nenhum ponto cego no panorama da segurança da informação.

É preciso ainda providenciar treinamento e atualização de conhecimentos para a equipe de TI e os usuários dos recursos tecnológicos. Inabilidade técnica também gera vulnerabilidades de hardware e software.

É imprescindível detectar de forma rápida as possíveis vulnerabilidades de hardware e software, para tomar providências imediatas para a sua solução.

2. Cópias de segurança

O tão conhecido backup — ou cópia de segurança — é um mecanismo fundamental para garantir a disponibilidade da informação, caso as bases onde a informação está armazenada sejam danificadas ou roubadas.

O backup pode ser armazenado em dispositivos físicos — servidores de backup, CD, pendrive, HD externo — ou em nuvem.

O mais importante é que haja pelo menos duas cópias das bases de dados, guardadas em locais distintos da instalação original — ou seja, em locais seguros fora do prédio da sua empresa.

A partir do backup é possível recuperar, em curtíssimo espaço de tempo, informações perdidas acidentalmente ou em consequência de sinistros (enchentes, incêndio etc.), sabotagens ou roubos.

Vale destacar: entre as empresas que funcionavam no World Trade Center na ocasião do atentado de 11 de setembro de 2001, todas que tinham boas práticas de manutenção de backup sobreviveram à catástrofe, voltando a funcionar normalmente em poucos dias.

3. Redundância de sistemas

A alta disponibilidade das informações é garantida com a redundância de sistemas, ou seja, quando a empresa dispõe de infraestrutura replicada — física ou virtualizada.

Se um servidor ou outro equipamento de TI (roteador, nobreak etc.) falhar, o seu substituto entra em operação imediatamente, permitindo a continuidade das operações, às vezes de forma imperceptível para o usuário.

4. Mecanismos de segurança eficazes

Existem mecanismos de segurança da informação físicos, lógicos ou uma combinação destes, apropriados para controle de acesso à informação e para prevenção de perda de dados e de recursos tecnológicos.

O mecanismo físico pode ser uma sala de infraestrutura de TI com acesso restrito e com sistema de câmeras de monitoramento. Outra forma de restrição de acesso é o uso de travas especiais nas portas, acionadas por senha (misto físico/lógico).

As instalações elétricas e o sistema de refrigeração são imprescindíveis para assegurar condições ideais de funcionamento da infraestrutura de TI, evitando perda de dados por falta ou sobrecarga de energia ou superaquecimento, que danificam os equipamentos de informática.

Para garantir o funcionamento contínuo dos recursos de TI, dois equipamentos entram em cena. O nobreak garante o funcionamento da infraestrutura por tempo suficiente para que nenhuma informação seja perdida quando ocorre falta de energia elétrica.

O equipamento de telemetria detecta falhas nos equipamentos de processamento de dados e emite alertas automáticos aos responsáveis por restabelecer o seu funcionamento.

Há também os mecanismos lógicos de segurança da informação. Veja a seguir os principais deles.

4.1. Firewall

É um mecanismo de controle do tráfego de dados entre os computadores de uma rede interna e destes com outras redes externas.

Ele trabalha segundo protocolos de segurança (TCP/IP, IPSec, HTTP etc.) que garantem o correto funcionamento da comunicação entre as duas pontas, visando impedir intrusões.

As intrusões ou invasões são praticadas por pessoas mal-intencionadas. Elas pretendem acessar dados confidenciais que permitam apropriação indevida de recursos financeiros de terceiros, a venda de informações privilegiadas, o bloqueio de acesso a dados para cobrança de resgate ou mesmo para demonstrar sua capacidade destrutiva.

4.2. Assinatura digital

É uma forma de identificação do usuário que está acessando os recursos de TI. Ela dá validade legal aos documentos digitais, assegurando a autenticidade do emissor da informação.

4.3. Biometria

O acesso às informações é liberado somente para a pessoa autorizada, levando em consideração as suas características físicas (impressão digital, voz ou padrões da íris do olho ou do rosto inteiro.).

Outra faceta importantíssima do controle de acesso é o uso de equipamentos próprios dos colaboradores para operação de sistemas e aplicativos empresariais de forma remota (BYOD – Bring Your Own Device).

Como a empresa não tem controle sobre as configurações de segurança e aplicativos dos dispositivos particulares dos colaboradores, ela tem que reforçar os mecanismos de validação da autenticidade do usuário e as barreiras contra ataques cibernéticos, para se proteger da Shadow IT.

5. Política de segurança da informação

A política de segurança da informação é um documento que estabelece diretrizes comportamentais para os membros da organização, no que tange às regras de acesso e uso dos recursos de tecnologia da informação.

Ela pode ter muitos capítulos, entre eles: papéis e responsabilidades; uso do correio eletrônico; acesso à internet e intranet; distribuição, acesso e renovação de computadores e recursos tecnológicos; backup e política de senhas, entre outros assuntos.

A política de senhas deve determinar uma estrutura e configuração que permita induzir a criação de senhas fortes, a fim de dificultar a ação de hackers.

Deve ainda definir um mecanismo automático que obrigue a troca de senhas periodicamente pelos usuários ativos, fazendo também o cancelamento de senhas de usuários inativos/desligados da organização. Essa é uma das práticas de segurança mais negligenciadas.

As regras contidas na política de segurança da informação servem para impedir invasões de cibercriminosos, que podem resultar em fraudes ou vazamento de informações, evitar a entrada de vírus na rede ou o sequestro de dados e garantir a confidencialidade, confiabilidade, integridade, autenticidade e disponibilidade das informações.

Idealmente, essa política deve ser desenvolvida de forma participativa entre a equipe de TI e os colaboradores dos demais departamentos, sendo aprovada pela alta direção da empresa. Assim, de comum acordo, fica muito mais fácil gerir a segurança da informação.

Vale ressaltar que é indispensável que o texto da política seja curto e objetivo em cada assunto abordado, para facilitar e estimular a leitura e tornar mais leve e eficaz o processo de divulgação e treinamento das pessoas.

6. Decisão pela estrutura de nuvem pública/privada/híbrida

Uma das formas mais avançadas de garantir a segurança da informação é a decisão pela utilização de uma estrutura de computação em nuvem. Essa estrutura tem três categorias distintas: nuvem pública, privada ou híbrida.

Na nuvem pública, toda a infraestrutura de TI, a sua manutenção, os seus mecanismos de segurança e a atualização são de responsabilidade do provedor do serviço. A instalação é rápida e os recursos são escalonáveis, de acordo com o perfil de demanda da empresa contratante.

A nuvem privada é de propriedade da companhia e fica instalada em sua área física, requerendo infraestrutura de hardware, software, segurança e pessoal próprios para o seu gerenciamento.

Já a nuvem híbrida combina o melhor dos dois tipos anteriores. Com isso, parte dos dados é disponibilizada na nuvem privada — aqueles que exigem sigilo — e outra parte fica na nuvem pública — dados não confidenciais.

Todos os três tipos de serviço de computação em nuvem respeitam altos padrões de segurança da informação. Basta avaliar qual é o mais adequado para as necessidades e expectativas da sua organização.

O advento da computação em nuvem viabilizou serviços como IaaS — Infraestrutura como Serviço, PaaS — Plataforma como Serviço e SaaS — Software como serviço.

Essas novas modalidades permitem terceirizar importantes serviços de tecnologia da informação, reduzindo custos, assegurando agilidade e atualização permanente e elevando o patamar de segurança de hardware e software.

7. Gestão de riscos de TI

Os riscos à segurança da informação são ameaças que podem impedir o alcance dos objetivos de uma organização. A gestão de riscos de TI começa por um bom planejamento da infraestrutura, dos serviços, das políticas e metodologias de trabalho, assim como da atribuição dos papéis e responsabilidades sobre os perigos.

Tudo o que gira em torno da TI contribui para aumentar ou diminuir os riscos — mas eles só podem ser gerenciados se forem conhecidos. Sendo assim, identifique os riscos de TI da sua empresa, analise-os e classifique-os por prioridade, levando em conta o nível de probabilidade e impacto que possam causar aos objetivos organizacionais.

A partir daí, prepare um plano de resposta aos riscos identificados, definindo as ações a serem tomadas no seu gerenciamento. Entre essas ações, podemos citar: evitar, mitigar, transferir ou aceitar o risco.

Se optar por evitar, deve tomar ações que extingam o risco. Se mitigar, as atitudes vão reduzir a probabilidade e/ou o impacto do risco. No caso de transferir, pode contratar um serviço de armazenamento de dados em nuvem, por exemplo, para que o ônus da segurança fique por conta do provedor do serviço.

Caso aceite o risco, deverá monitorá-lo continuamente e estabelecer mecanismos de alerta e de resposta aos impactos em caso de sua concretização. Um bom plano de resposta aos riscos — disaster recovery — não deixa sua equipe ser pega de surpresa por imprevistos que afetem a segurança da informação.

Para auxiliá-lo na identificação dos perigos à segurança da informação, vamos citar os principais e descrever formas de tratamento que poderão ser adotadas!

7.1. Falta de orientação

Não saber como operar equipamentos, sistemas, aplicativos e demais recursos de TI coloca em risco a segurança da informação. E o desconhecimento de técnicas de proteção, também.

Por isso, proporcionar treinamentos nas novas tecnologias e/ou recursos de TI aos usuários comuns e à equipe de informática é uma boa prática.

Dependendo do porte da empresa (média ou grande), vale a pena desenvolver profissionais C-Level em TI que possam ampliar os horizontes tecnológicos da companhia, tornando a área de TI alinhada à estratégia empresarial.

Com a ajuda desses especialistas, os recursos tecnológicos serão aplicados para alavancar a produtividade das equipes e facilitar o alcance das metas estabelecidas, sem perder de vista o aprimoramento contínuo da sistemática de segurança da informação.

7.2. Erros de procedimentos internos

Procedimentos de gestão da segurança da informação mal-estruturados ou desatualizados podem acarretar vulnerabilidades e perdas de dados.

Essas vulnerabilidades se manifestam nos hardwares, softwares ou nas pessoas despreparadas para fazer frente às ameaças que se renovam a cada dia.

7.3. Negligência

Deixar de cumprir com as regras da política de segurança da informação ou com os procedimentos internos de TI, por mera negligência, pode custar caro e trazer prejuízos financeiros, materiais ou de imagem.

É fundamental pensar em campanhas de conscientização dos colaboradores, para que eles redobrem os cuidados com as ciladas cibernéticas — especialmente em e-mails, sites e arquivos maliciosos, que provocam a propagação de vírus, malwares, trojans e outros na rede de informática.

7.4. Malícia

As ações mal-intencionadas de colaboradores internos insatisfeitos e de pessoas externas tornam instável a segurança da informação, especialmente se não houver mecanismos de detecção de intrusões.

Conhecer as principais fontes de riscos é o ponto de partida para mapear os diversos cenários que podem configurar ameaças à segurança da informação e tornar possível o desenvolvimento de boas práticas de gestão de riscos.

8. Regras de negócio bem-definidas

As informações críticas devem ser identificadas e as regras de negócio referentes ao acesso, manutenção (inclusão, alteração, exclusão) e tempo de guarda devem ser estabelecidas de forma criteriosa, para garantir total segurança.

As regras de negócios são indispensáveis para a configuração de permissões de acesso em softwares, hardwares e redes lógicas.

Essas regras precisam ser melhoradas continuamente, agregando novos mecanismos físicos e lógicos e novas práticas comportamentais que contribuam para minimizar os riscos à segurança da informação.

9. Cultura da organização

A terceira plataforma de TI combinou tecnologias sociais, computação em nuvem, dispositivos móveis (smartphones, tablets) e tecnologias de análise de dados (business intelligence e Big Data) para promover a conectividade permanente, romper as fronteiras da mobilidade e gerar informação em tempo real sobre o comportamento dos consumidores.

Esse movimento fez com que as metodologias de gestão da segurança da informação ganhassem uma nova dinâmica de readequação e realinhamento constantes, para bloquear as novas rotas de ataques cibernéticos às bases de dados das empresas, proporcionadas pelas novas tecnologias.

Tudo isto impacta diretamente na cultura organizacional, que precisa se adequar a essa transformação digital, modernizando os seus processos internos sem descuidar da segurança.

Para tanto, velhos conceitos, práticas e formas de pensar e trabalhar precisam ser revistas e até reinventadas, para que todos estejam cientes dos riscos e saibam como proteger as informações empresariais.

10. Contratos de confidencialidade

Os colaboradores internos de uma organização e os terceirizados, especialmente aqueles vinculados à área de TI, muitas vezes têm acesso a informações sigilosas, que precisam ser resguardadas.

A melhor forma de preservar a segurança da informação nesses casos é fazer um contrato de confidencialidade com todas as pessoas que conhecem e acessam informações sigilosas.

É importante que esse contrato de confidencialidade seja redigido considerando os requisitos legais aplicáveis à organização e eventuais acordos desse gênero pactuados com clientes, fornecedores, prestadores de serviços e parceiros de negócios.

11. Gestão de Continuidade de Negócios (GCN)

As informações de uma organização são essenciais para garantir a sua continuidade, pois são compostas de dados dos clientes, produtos, parceiros comerciais, transações financeiras e comerciais e demais assuntos pertinentes ao funcionamento de uma empresa. A sua perda pode tornar o negócio inviável.

A Gestão de Continuidade de Negócios (GCN) é uma prática que visa estabelecer planos de ação de emergência para resposta rápida a eventos adversos (desastres naturais, explosões, incêndios, fraudes financeiras, atentados, sabotagens, falhas nos sistemas informatizados ou nos equipamentos etc.).

Os planos de ação traçados pela GCN devem permitir minimizar ou evitar os impactos negativos que possam ser causados, tais como: paralisações na produção e/ou prestação de serviços, perdas financeiras e danos à imagem ou credibilidade do negócio.

A GCN é uma ferramenta de ação preventiva, que deve priorizar atitudes para eliminar os cenários de riscos passíveis de extinção, mediante a adoção de mudanças em processos, produtos ou serviços de TI. Pequenas alterações podem resultar em saltos quânticos na segurança da informação.

12. Benchmarking

O benchmarking é um importante instrumento de gestão, que parte do princípio de comparação de produtos, serviços, processos e práticas empresariais próprios de uma organização com os de terceiros — concorrentes ou não.

Isso mesmo, muitos insights fantásticos surgem da análise de situações das empresas de ramos diferentes de atividade e que podem ser replicadas (casos de sucesso) ou evitadas (casos de insucesso) com as devidas adaptações.

Há quem pense que o benchmarking foca somente nas situações de sucesso do mercado empresarial para gerar conhecimento. Muito pelo contrário! Ele também obtém lições das experiências ruins que são divulgadas.

Conhecer os casos malsucedidos de gestão da segurança da informação serve como base para não cometer os mesmos erros. Vejamos alguns casos de invasões na internet que viraram manchetes de jornais!

12.1. eBay

Em maio de 2014 a base de dados de usuários do eBay sofreu a violação das senhas de 112 milhões de pessoas, que foram obrigadas a trocá-las. Isso ocasionou a perda de dados pessoais armazenados ali. Foram preservadas apenas as informações financeiras.

Esse tipo de ocorrência gera transtornos a uma quantidade enorme de usuários e abala seriamente a confiança dos clientes na empresa.

12.2. Snapchat

O Snapchat passou por maus momentos em janeiro e outubro de 2014. No primeiro evento de ataque cibernético, foram vazados os dados pessoais de 4,6 milhões de usuários — o que gerou um pedido de desculpas por parte da empresa e a promessa de melhorias nos mecanismos de segurança.

Já o segundo evento resultou de falhas de segurança em um parceiro de negócios do Snapchat, que estava responsável por armazenar imagens compartilhadas pelo APP. Isso possibilitou a divulgação indevida de 13 GB de fotos dos usuários na web.

12.3. Kickstarter

A Kickstarter foi vítima da quebra de segurança dos dados pessoais e senhas de 6 milhões de usuários cadastrados, também no ano de 2014.

A reação rápida da empresa conseguiu evitar a perda dos dados dos cartões dos clientes, mas os impactos não deixaram de ser imensos.

12.4. Nasdaq

Nem mesmo o sistema de segurança da Nasdaq, considerado um dos mais robustos do mercado, ficou imune à intrusão, alteração e roubo de 160 milhões de registros. O ataque aconteceu no ano de 2013, gerando enormes prejuízos financeiros.

12.5. Agência Nacional de Segurança (NSA)

Em 2013, o ex-consultor da NSA — Agência Nacional de Segurança dos Estados Unidos ­— Edward Snowden vazou documentos que demonstraram atos de espionagem sobre cidadãos americanos e estrangeiros via internet, por meio de acesso indevido às bases de dados de nove empresas: Apple, AOL, Microsoft, Yahoo, Google, Facebook, Skype, YouTube e PalTalk.

Eventos desagradáveis como esse ligam o sinal de alerta e os radares da equipe de TI para a percepção de riscos internos e externos, que podem abalar o moral dos colaboradores e dos clientes da organização e que, em alguns casos, podem decretar o fim de uma empresa.

Até aqui, trilhamos uma longa jornada de visitação às melhores práticas de segurança da informação. Este post colocou todos os holofotes nas práticas proativas de prevenção de problemas na área de tecnologia da informação.

Todo esse arsenal poderá ser utilizado pela sua empresa para evitar intrusões, roubos ou sequestros de dados, fraudes, alterações ou exclusões indevidas de informações.

Dessa forma, serão prevenidas perdas de milhares de clientes, com os consequentes prejuízos de imagem e financeiros, assim como o repasse indesejado de estratégias de negócios para os concorrentes.

Ao mesmo tempo que produzem novos recursos para proteção da informação, as atualizações tecnológicas também abrem gaps que podem ser aproveitados por pessoas mal-intencionadas para realizar crimes cibernéticos.

Inúmeros casos de violação da segurança da informação são divulgados todos os anos e precisam ser tomados para estudo de caso e determinação de novas práticas de proteção, tanto no campo das máquinas e aplicativos, quanto nas ações das pessoas. Assim, é possível impedir infortúnios que afetam a vida de muita gente.

Quando o assunto é segurança, outro ponto de atenção é a adoção de critérios rigorosos para seleção e monitoramento da segurança da informação nos parceiros de negócios da área de TI e outras. Eles são solidários na responsabilidade pelo atendimento aos princípios da segurança da informação.

É preciso também garantir a segurança jurídica das relações de trabalho e de parceria, por meio da aplicação de contratos de confidencialidade. Sem se esquecer de investir em treinamento — inclusive coaching ou mentoring — para as equipes de TI e demais colaboradores.

A segurança da informação tem muitas facetas: tecnológicas, jurídicas, humanas, físicas e virtuais. Todas elas devem ser alvo de medidas que contribuam para melhorar a gestão da segurança da informação.

Agora que você conheceu as melhores práticas de segurança da informação, que tal assinar a nossa newsletter para ficar bem-informado sobre os assuntos relevantes de TI?