Segurança da Informação: O Que É e Por Onde Começar

Segurança é uma das grandes preocupações de organizações que atuam no mercado financeiro! Pelo menos deveria ser, já que é uma das preocupações de seus usuários, principalmente depois dos incidentes ocorridos nos últimos anos. Mas, o que é Segurança da Informação?

“Ah, é aquela coisa de computador né?”

Sim e não.

Segurança da Informação trata de proteger as informações da organização, durante todo seu ciclo de vida. Como, atualmente, as informações estão armazenadas em meios digitais, muita gente assimila Segurança da Informação com “aquela coisa de computador”, mas, em algum momento essa informação “sai” do mundo virtual é é escrita em algum papel ou falada durante alguma conversa e precisa ser protegida da mesma forma.

Quando falamos em Segurança da Informação, pensamos em três características principais:

• Confidencialidade: garantir que a informação esteja acessíveis APENAS para as pessoas que necessitam do acesso;
• Integridade: garantir que a informação não sofreu nenhuma alteração indevida, e;
• Disponibilidade: garantir que a informação esteja disponível no momento em que ela é requisitada pelo usuário.

Em termos práticos, vamos usar um exemplo do mundo financeiro. A movimentação da minha conta bancária, é uma informação confidencial, ela não deve estar acessível publicamente para qualquer pessoa, por isso trabalhamos para garantir a sua confidencialidade. Da mesma forma, sempre que eu precisar efetuar alguma movimentação, essa informação deve estar disponível para mim, garantindo a disponibilidade da informação. Se o saldo final da minha conta tiver sido alterado sem eu ter efetuado alguma transação com tal fim, houve uma falha que comprometeu a integridade dessa informação.

Agora que já entendemos um pouco melhor o que é Segurança da Informação, como eu me protejo?

O que não falta atualmente são normas, regulamentações, boas práticas e manuais indicando controles de segurança para nossa organização. Pegando a norma ISO/IEC 27001:2013 como exemplo, são mais de 100 controles de segurança recomendados, onde muitos podem não se aplicar ao nosso negócio. A ISO/IEC 27001 é hoje a principal norma utilizada por organizações que desejam elevar sua maturidade em Segurança da Informação, sendo um selo de qualidade reconhecido globalmente. Mas, se nem todos controles se aplicam ao meu negócio, por onde eu começo?

O primeiro passo é entender cada processo e informação manipulada dentro da organização. Entender a importância de cada um para o negócio, quais informações são protegidas por leis, quais processos tratam informações sensíveis e o impacto que terá para o negócio se algo comprometer a confidencialidade, integridade ou disponibilidade dessas informações.

Feita essa análise inicial, precisamos montar um programa de segurança que nos ajude a responder perguntas como:

• Quantos incidentes sofremos no último ano?
• Quanto perdemos com esses incidentes?
• Sabemos o que está conectado na nossa rede?
• Sabemos quais aplicações estão rodando na nossa rede e/ou sistemas?
• Sabemos se existem pessoas acessando informações sensíveis sem permissão?
• Os colaboradores estão cientes dos riscos de segurança e o que fazer em relação a eles?

Dessa forma, estamos dando os primeiros passos para ter controles de segurança realmente eficientes, capazes de proteger nosso ambiente e nossas informações de ameaças ao nosso negócio, além de fornecer informações estratégicas para auxiliar na tomada de decisões referente aos investimentos em segurança.