A segurança da Informação é relacionada a proteção de dados e todas as ações envolvidas neste objetivo. Atualmente trilhões de bits e bytes de informação circulam o mundo da internet a todo o tempo, rompendo os grilhões da distância. Estes dados estão ligados a tudo no mundo: comunicação entre pessoas e instituições, educação, prestação de serviços, transações financeiras, etc.
Quando falamos em Segurança da Internet, faz-se a associação com evitar ataques de hackers. Mas nem todo o trabalho de segurança se remete a somente isso. A Segurança da Informação também organiza e controla quem acessa cada dado da empresa, de acordo com as permissões definidas pelos cargos e atividades de cada um.
Este conteúdo também está disponível para donwload:
Se tratando de conceitos, muitos confundem o que são dados, informações, conhecimentos, ideias e sabedoria. Os Dados são elementos diversos e aleatórios. As Informações tratam de uma assimilação ou classificação de dados. Já os Conhecimentos são quando você associa informações para um resultado. As Ideias estão associadas com soluções de problemas; E a sabedoria está ligada com a capacidade de executar ações com todos os fatores anteriores.
E qual é a relação disso com o Segurança da Informação? Bem, você está lidando com dados, seja para armazenamento, ou evitando que pessoas indevidas tenham acesso a eles. Conforme as pessoas vão tendo acesso a mais dados elas podem encontrar utilidades boas ou ruins com eles compondo os outros elementos. Entender isso ajuda a saber que tipo de acesso a dados cada pessoa pode ter em sua organização.
A imagem demonstra que dados isolados, ou até informações isoladas podem parecer sem relevância a primeiro momento, mas que conforme se coloca em um contexto, ou um grupo de dados, começam a fazer sentido e permitir que gere resultados analíticos distintos.
Logo, percebemos a importância de lidar com a segurança de dados, pois talvez para você aquele dado em especial pode ser irrelevante, mas para outras pessoas pode ser fundamental, podendo trazer resultados benéficos ou maléficos.
A importância da Segurança da Informação
Manter os dados armazenados, organizados, protegidos e acessíveis conforme o nível de acesso de cada colaborador é basicamente o trabalho envolvido na Segurança da Informação. E por isso mostra a sua importância. Não é à toa que é uma das maiores preocupações no setor de tecnologia da Informação.
Os dados podem ser fundamentais para tomadas de decisões, definição de metas, escolher estratégias ou qualquer outra ação que envolva uma organização. É por isso que hoje buscam-se cada vez mais profissionais aptos a proteger os dados, e outros a interpretá-los. Na Era da Informação os dados literalmente valem ouro.
Dentre as vantagens de adotar políticas de Segurança da Informação estão:
• Garante a proteção dos dados;
• Identifica e corrige falhas e vulnerabilidades;
• Visão holística dos dados da empresa;
• Gera credibilidade e confiabilidade;
• Eleva o valor de mercado.
Mas a importância dos dados e a sua relação com a Segurança da Informação traz outro problema. Quando você mantém dados de sua empresa, parceiros e clientes, você é responsável por eles, não somente pela manutenção e pela proteção, mas também pelo uso que fará delas. É o que trataremos a seguir.
Os 4 Princípios da Segurança da Informação
Também conhecidos como Pilares da Segurança da Informação. Todos os princípios são extremamente importantes e passam por toda atividade relacionada com a Segurança da Informação.
Eles se fazem necessários, pois as equipes que atuam com a segurança e precisam ter diretrizes para orientar seu trabalho. Estas diretrizes são princípios básicos que norteiam as atividades a serem executadas.
Os princípios da SI são:
• Confidencialidade, que se restringe em garantir que a informação estará acessível apenas para pessoas autorizadas;
• Integridade, que é assegurar que as informações mantenham em condições iniciais, e caso necessitem a necessidade de alteração, que seja por pessoas autorizadas;
• Disponibilidade, que as informações estejam sempre acessíveis às pessoas que possuem autorização para usá-las.
• Autenticidade, é garantir que toda informação seja identificada, registrada e associada ao usuário que está atuando nela. O meio de confirmação da identidade do usuário também está incluído a este princípio.
A Lei Geral de Proteção de Dados (LGPD)
Como as empresas lidam com a Segurança da Informação tem sido um tema cada vez mais relevante, principalmente no setor de tecnologia. Podemos citar como o Facebook e o Google estão sendo investigados por suspeita de uso de dados, dentre estas várias quebras de privacidade dos usuários.
As Políticas de Privacidade têm sido discutidas justamente em conjunto com a Segurança da Informação. Até onde está o direito da empresa em usar os dados, e onde começa o Direito de Privacidade dos usuários? Esta discussão tem envolvido empresas e governos do mundo todo.
A LGPD foi criada para regulamentar estas questões, após uma série de pressões políticas que ocorreram em todo o mundo. O Brasil passou a adotar a LGPD através de sua ratificação em agosto de 2018.
Ela se fundamenta em diversos valores, principalmente o que diz respeito à privacidade, mas também a ao direito dos usuários de permitirem que tipo de dados serão coletados deles, inviolabilidade da intimidade, anonimato, da honra e da imagem, como também dentre outros assuntos.
A LGPD também alterou alguns artigos do Marco Civil da Internet, e entrará em vigor em agosto de 2020. Por isso que é importante para as empresas se atualizarem e se prepararem para o tema, já que as normas de Segurança da Informação serão cobradas a partir desta data.
Na Europa, fala-se muito de General Data Protection Regulation (GDPR). Mas os conceitos e práticas são bem semelhantes à LGPD aqui do Brasil. E se tornou obrigatória a partir de maio de 2018 em toda a União Europeia. Já a California Consumer Privacy Act of 2018 (CCPA), nos Estados Unidos, foi aprovada em junho de 2018.
Métodos de implantação da Segurança da Informação
• Nomeie os profissionais responsáveis
Selecione uma equipe de profissionais responsáveis e confiáveis para lidar com as informações e a administração de quem possa ter acesso a elas. Eles irão estruturar o programa de segurança, monitorar o funcionamento, testar o sistema e implementar melhorias.
• Estabeleça níveis de acessos aos dados
É necessário definir que profissional terá acesso a determinados dados. Isso é definido pelo cargo e atividades, avaliando a importância do dado em específico.
• Definição de uma política de segurança
É necessário estabelecer uma política de segurança que visa impedir que dados sejam acessados, utilizados, replicados ou destruídos sem a autorização. Esta política irá tratar as várias possibilidades de falha e vulnerabilidade e definir o responsável de atuar nas possíveis correções.
• Mecanismos de Autenticação
Desde senhas até criptografias, serve para identificar e confirmar o usuário que está fazendo alguma modificação nos dados da empresa, podendo adotar um ou mais meios, dependendo da necessidade e importância dos dados a serem acessados. É importante que tais identificações sejam individuais, para momentos que é necessário atribuir alguma atividade a um responsável.
• Backups agendados regularmente
Defina a periodicidade que deve ser feito o backup de cada informação para evitar perda de informações relevantes. Esta periodicidade é definida pela importância dos dados, frequência de alterações de informação e a necessidade de manter os servidores disponíveis.
• Configuração de firewalls
Isto diz respeito exatamente à proteção dos dados e sistemas. Ele pode ser oferecido por sistemas operacionais ou implementado por hardware e softwares. Ele serve para impedir que arquivos não autorizados entrem na rede.
Ferramentas úteis para a Segurança da Informação
Listamos aqui algumas ferramentas interessantes que podem ser úteis para a Segurança da Informação:
• System Center Configuration Manager
O System Center Configuration Manager foi desenvolvido para acompanhar as atualizações do Windows 10, fornecendo suporte aos novos recursos do Windows à medida que eles são disponibilizados. Na Segurança da Informação, o SCCM ajuda a manter o ambiente atualizado com as correções de segurança.
• Gestão de identidades com o SGA
O Sistema de Gestão de Acessos, ou SGA, é um produto da Dinamio Tecnologia. Ele serve para facilitar as empresas a gerir o fluxo dos usuários em redes e sistemas, criando usuários quando o profissional é admitido, alterando permissões conforme necessário, e excluindo o acesso quanto o profissional é desligado da empresa. Na Segurança da Informação é fundamental, pois além de manter uma política de acessos sempre atualizada, evita que o profissional tenha acesso aos sistemas da empresa depois de desligado, evitando vazamentos de informações.
• BitLocker
O Windows 10 já possui uma tecnologia para criptografar os dados que são armazenados no computador evitando que caso o mesmo seja roubado os dados não poderão ser acessados.
• Data Loss Prevention - DLP
Ou conhecido como simplesmente DLP. É um serviço inteligente do Microsoft Office 365. Através de uma procura nos arquivos, mensagens e documentos, ele identifica tipos de informações confidenciais, como por exemplo: número de cartão de crédito, números de seguro social e outras informações de identificação pessoal. Os tipos destas informações são configuráveis adaptando para todo o tipo de empresa.
• SIEM com o Azure Sentinel
O Azure Sentinel é uma ferramenta Security Information and Event Management, em português Gerenciamento e Correlação de Eventos de Segurança, que permite que os eventos gerados por diversas aplicações de segurança, tais como: firewalls, proxies, IPS e antivírus. Estes eventos gerados são coletados, normalizados, armazenados e correlacionados, permitindo uma rápida identificação e resposta de incidentes.
• Backup na Nuvem com o Azure
Fazer backup de dados e aplicativos de um sistema local para o Azure, usando o Backup do Azure ou uma solução de parceiro. Uma conexão com a Internet para o Azure é usada para conectar-se ao Backup do Azure ou ao Armazenamento do Azure. O Servidor de Backup do Azure pode gravar backups diretamente no Backup do Azure.
• Azure Site Recovery
O Site Recovery é uma DRaaS, Disaster Recovery as a Service, ou Recuperação de Desastre como Serviço Nativa. Através da implantação de processos de replicação, failover e recuperação de dados para ajudar a manter os aplicativos em execução durante indisponibilidades planejadas ou não planejadas.
• BitLocker, Proxy e Firewall do Windows 10
O Windows 10 já possui Proxy e Firewall de qualidade, útil para impedir ataques e controlar acessos não autorizados pelos funcionários a sites que coloquem em risco a empresa. Já a ferramenta de BitLocker permite criptografar arquivos garantindo mais segurança em notebooks e desktops, e eles serem abertos apenas para quem possui a chave de acesso.
• Proxy e Firewall
Com as soluções de Firewall e Proxy previne-se o ataque de hackers aos servidores da empresa bem como que usuários acessem sites que podem colocar em risco o ambiente computacional.
Sobre os serviços da Dinamio Tecnologia
Somos uma empresa de tecnologia, parceiros da Microsoft e Citrix. No mercado há 23 anos como fusão de duas empresas catarinenses, Integral e KeepIT. Com um grande portfólio de produtos e serviços essenciais para empresas que dependam de uma estrutura de tecnologia da informação de qualidade. Dentre estes serviços, encontram-se equipes especializadas em segurança de computadores, servidores, redes e sistemas, tanto para preparar projetos de ambientes seguros, como para fazer a manutenção destes ambientes, serviços como:
• Gestão de Backup;
• Gestão de Firewall;
• Gestão de Proxy;
• Gestão de Antivírus;
• Monitoramento do Ambiente;
• Gestão de Atualizações;
• Gestão de Conformidade.
O que achou de nossa publicação? Espero que ajude bastante a manter os dados de sua empresa segura. Lembre-se que ela também está disponível para download aqui. Também nos acompanhe nas redes sociais: Twitter, Facebook e LinkedIn. Se procura soluções para melhorar a segurança da sua empresa, pode entrar em contato com nosso time comercial que será um prazer atendê-lo.