Os maiores erros que as empresas de tecnologia podem cometer na gestão da segurança da informação

Perfil Braspag

21 de dezembro de 2018

Sem categoria

Os maiores erros que as empresas de tecnologia podem cometer na gestão da segurança da informação

Com o advento da tecnologia da informação nas empresas e a enxurrada de informações que somos expostos todos os dias, entramos numa época em que os dados valem ouro. A empresa deve assegurar ao máximo a segurança de seus dados. Se a organização não proceder dessa forma, corre sérios riscos de comprometer suas atividades e até mesmo sua existência: os erros de gestão de segurança da informação podem, sim, levar à falência.

Como boa prática de gestão de segurança da informação, podemos identificar alguns pontos importantes, essenciais e até imprescindíveis na manutenção de uma empresa de tecnologia. Uma delas é aderir, mesmo que não oficialmente, às práticas da ISO 27001. A necessidade de emitir a certificação para manter a estrutura de segurança da informação oxigenada, pode ser identificada quando não há uma constância em manter os normativos descritos na ISO. Esta certificação ajuda a empresa a estar em conformidade com as melhores práticas e manter a segurança dos seus ativos. O apoio da alta direção é o ponto principal para permitir o engajamento dos colaboradores e, além disso, o investimento na área de TI é fundamental para ajudar a manter a certificação e as obrigações que a acompanha. É importante atingir maiores níveis de maturidade no que se relaciona à segurança da informação.

 

Confidencialidade, integridade e disponibilidade: os três pilares da segurança da informação

Ao examinar a Gestão de Segurança da Informação das empresas de tecnologia, levamos como premissa os três pilares que sustentam a segurança em TI: confidencialidade, integridade e disponibilidade. A partir destes pilares, dividimos em tópicos com os maiores erros que as empresas de tecnologia podem cometer na gestão da segurança da informação. Estes não estão em ordem de importância ou prioridade.

 

Não ter um programa de inteligência de Risco

Mesmo que as normas não explicitem como deve ser realizado um programa de gestão de risco, é preciso entender importância e a ajuda que uma inteligência de risco pode fazer por um programa de segurança da informação. A gestão de risco nos faz entender melhor o nosso ambiente e nossa situação perante a ataques e ajudam a monitorar mudanças que possam afetar o seu risco. A partir daí, boa parte da fragilidade de uma empresa pode ser identificada e prevenir os problemas que podem comprometer a informação.

 

Não levar a sério o Plano de Contingência em TI

Um dos pontos mais importantes sobre a segurança da informação é proteger os dados de ataques e também de acidentes. Como? Estabelecendo planos, procedimentos e normas que permitam a um sistema ser recuperado de forma rápida e efetiva após um desastre ou interrupção do serviço. O problema é que isto só costuma acontecer de forma eficaz quando algo grave acontece e a empresa não possui resiliência suficiente. Geralmente, quando a empresa sofre este tipo de situação, pode ter prejuízos altíssimos e ser tarde demais.

 

Não levar a sério as ameaças à Segurança da Informação e suas fontes

É imprescindível identificar as falhas que possam comprometer a segurança da informação da sua empresa. Seja no desenvolvimento, na implementação ou na configuração de mecanismos de segurança em softwares, negação de serviço, phishing, malwares e vírus. É necessário fazer testes de invasão e de resiliência constantemente e detectar vulnerabilidades de software, hardware e pessoas. As empresas possuem elos fracos que podem ser porta de entrada para ladrões de informações e ataques. Precisamos identificar esses elos e criar mecanismos de mitigação e prevenção de problemas, pois podem ser fatais para uma empresa. Mecanismos de segurança precisam ser levados completamente a sério. Firewall, assinatura digital, autenticação de duplo e multifator já não são mais diferenciais a muito tempo. Como diria Henry Ford: “Uma corrente é tão forte quanto seu elo mais fraco”.

 

Backup negligenciado

A tão conhecida cópia de segurança, ao ser negligenciada, pode piorar qualquer situação de desastre ou pode salvar uma companhia. Tudo depende da importância dada ao processo. Se a empresa não possui modelo de redundância de sistemas, contingenciamento conhecido como hot-hot – que significa alta disponibilidade – o serviço de armazenamento periódico pode ser a resiliência que a empresa precisa em tempos de desastre. O backup permite à empresa recuperar, em um espaço curto de tempo, informações perdidas em consequência de ataques, incêndio e etc. Um ótimo exemplo, apesar de trágico, foi no World Trade Center. As empresas que tinham boas práticas de manutenção de backup voltaram a funcionar em poucos dias após a catástrofe.

 

Falta de uma Política de TI bem definida e periodicamente avaliada

Como já dito, o engajamento da alta direção é ponto essencial para a implementação e manutenção de uma política de Segurança da Informação. Sem este, podem surgir problemas que vão de estruturais a financeiros, completamente relacionados. A política de segurança da informação é um documento que estabelece diretrizes comportamentais para os membros da organização, no que tange às regras de acesso e uso dos recursos de tecnologia da informação e sinaliza a necessidade de investimento, atualização e modernização. A política possui papéis e responsabilidades, uso do correio eletrônico, acesso à internet e intranet, distribuição, acesso e renovação de computadores e recursos tecnológicos, backup e política de senhas, entre outros assuntos.

A necessidade da segurança da informação pode ser reconhecida de pontos de vista diferentes: tecnológicas, humanas, jurídicas, virtuais e físicas. Precisamos entender que o mercado já mudou e que é necessário proteger dois dos nossos ativos mais importantes, os dados e as informações.

Como podemos lhe ajudar?