Se por um lado a internet e os avanços tecnológicos estão trazendo mudanças bastante positivas para as empresas, por outro, o mundo digital pode deixar as corporações mais expostas a ataques. Tanto as ameaças externas, como hackers, quanto as ameaças internas, como roubo de informações, estão exigindo que as empresas reforcem suas estratégias de segurança.
É justamente por isso que a segurança da informação tem ganhado cada vez mais relevância. Ela tem como objetivo proteger um recurso muito importante de uma empresa, depois dos recursos humanos: as informações.
A seguir, mostraremos quais são os pilares da segurança da informação e também explicaremos melhor qual é o significado desse termo. Quer saber mais? Acompanhe a leitura e descubra!
A segurança da informação, também conhecida como InfoSec, em inglês, trata-se dos conjuntos de estratégias criadas por uma equipe de TI para impedir acessos não autorizados a computadores, redes ou dados. O objetivo da segurança da informação é manter a confidencialidade, autenticidade, disponibilidade e integridade das informações sensíveis para a organização.
Além de impedir que os dados sejam roubados, a segurança da informação também impede que eles sejam destruídos, modificados ou danificados sem autorização. Portanto, a segurança da informação é um fator importantíssimo para o compliance, tendo em vista que o desvio de dados confidenciais é crime.
Em 2012, a Comissão Europeia criou uma proposta de regulamentação referente à segurança da informação que ficou conhecida como GDPR (General Data Protection Regulation), que em português significa Regulamentação Geral de Proteção de Dados. Já no Brasil temos uma lei sancionada que é um reflexo direto da demanda causada pela criação da GDPR na Europa: a Lei Geral de Proteção de Dados (LGPD).
Como já citamos no tópico acima, a segurança da informação se baseia em alguns pilares. Há três pilares mais conhecidos, que são chamados de “tríade CIA” (Confidencialidade, Integridade e Disponibilidade). Além desses, citamos outros dois pilares para completar a ideia de segurança da informação. Veja a seguir uma explicação mais completa sobre cada um deles.
Esse pilar está relacionado à privacidade e se aplica a todos os tipos de dados: pessoais, sensíveis, financeiros e qualquer outro tipo de informação sigilosa. A confidencialidade garante que os dados estejam disponíveis para um pequeno grupo de pessoas autorizadas e restritos para o resto.
Para garantir a confidencialidade, a equipe de TI deve aderir a medidas de proteção, como controle de acesso, criptografia de mensagens e senhas. Aliás, a confidencialidade dos dados é um dos principais requisitos para a conformidade com as leis GDPR e LGPD.
A integridade consiste na preservação dos dados. Apenas pessoas autorizadas podem realizar qualquer tipo de alteração, essa medida serve para evitar que as informações sejam corrompidas, adulteradas ou danificadas.
Para que esse pilar mantenha-se de pé, também é necessário seguir alguns mecanismos de controle, como backups regulares, controle de versão e definição de permissão de acesso. Além dos casos de ciberataques e roubo de informações, também é muito comum encontrar empresas que tiveram a integridade de seus dados violada por falhas humanas e erros técnicos.
A disponibilidade é o pilar que garante que as informações estejam sempre disponíveis para que as pessoas autorizadas possam acessá-las quando necessário, pois essa é a melhor maneira de manter a continuidade dos processos da empresa.
Para garantir a disponibilidade dos dados, é preciso investir na estabilidade do acesso às informações do sistema. Isso pode ser feito por processos de manutenção rápidos, correções de falhas nos softwares, atualização periódica dos sistemas e investimento em uma rede de internet estável.
Vale lembrar que a disponibilidade dos sistemas pode ser afetada por causas externas, como blecautes, ataques de negação de serviço, desastres naturais, incêndios, entre outros.
Esse pilar está interligado com a legitimidade, pois, para que não haja manipulação ou intervenção de pessoas não autorizadas, o sistema precisa fazer a autenticidade dos usuários. Portanto, a autenticidade nada mais é do que a autorização que o usuário recebe para acessar, transmitir e receber informações confidenciais.
O mecanismo mais conhecido e usado para autentificar usuários é o uso de login e senhas. No entanto, o login e a senha podem ser facilmente roubados ou passados de uma pessoa para a outra. Por isso existem empresas que investem na identificação biométrica. Outro fator interessante é a autenticação multifator, como forma de dificultar invasões.
Também conhecido como não repúdio, esse pilar consiste no princípio jurídico da irretratabilidade. Resumidamente, a irretratabilidade garante que uma pessoa ou entidade não possa negar a autoria de informações fornecidas, como é o caso de diplomas, certificados e assinaturas digitais.
Na era digital em que vivemos, muitos contratos são feitos virtualmente, portanto, esse pilar da segurança da informação garante ao usuário comprovar o que foi feito, quem fez, o que fez e quando fez, impossibilitando a negação das ações da outra parte.
Como dissemos ao longo do texto, o roubo ou a manipulações de informações confidenciais não acontecem somente por meio de ataques de hackers. Existem muitos casos de colaboradores não autorizados que roubaram as senhas de seus superiores ou violaram o sistema de autenticidade para ter acesso a dados confidenciais.
Nesse caso, a criação de um canal de denúncias anônimas pode ajudar a empresa a identificar os autores do crime. Quando uma situação como essa acontece dentro da própria empresa, existem colaboradores com senso de honestidade que querem denunciar os responsáveis pelo ocorrido, no entanto, ninguém se sente à vontade para apontar o erro do outro diretamente para o supervisor. O canal de denúncias faz com que os colaboradores sintam-se mais seguros para fazer as manifestações, pois tudo pode ocorrer de forma anônima.
Agora que você já sabe quais são os pilares da segurança da informação e como eles podem ser aplicados, que tal investir na otimização do sistema de segurança da sua empresa? Como dissemos, os dados confidenciais de uma empresa são um dos seus maiores bens, portanto, faça de tudo para proteger essas informações!
Gostou das nossas dicas? Ficou interessado em ter um canal de denúncias para a sua empresa? Então entre em contato conosco agora mesmo !
Olá! Sou Pedro,
Comercial do Denouncefy.
Como posso ajudar?
Tell us a little bit more about yourself before we
we proceed to the demonstration video!
Conte-nos um pouco mais sobre você antes de
prosseguirmos para o vídeo de demonstração!