Neste primeiro trimestre de 2015, tenho apresentado nas empresas em geral e em nossos clientes as fortes tendências e o que esperar em 2015 para a Segurança da Informação.
Por Fernando Ferreira*
Nas reuniões, sejam com as áreas de Segurança da Informação, com o Comitês de Auditoria e com o Conselho, digo de maneira bem objetiva que, antes de se pensar em tendências, as empresas devem saber se estão, no mínimo, fazendo o “básico” da Segurança da Informação.
Em um primeiro momento, fazer o “básico” assusta, pois as empresas querem desenvolver e implementar novos projetos que assegurem maior produtividade, rentabilidade e robustez as suas operações de negócios.
O que é fazer o “básico”?
Entendo que deve ser dada a devida manutenção em 3 pontos importantes para Gestão da Segurança da Informação:
1. Diretrizes, Políticas e Normativos
a. Por força de lei (inc III, do art 982, do Código Civil e parágrafo 2º, do art. 13, do Código Penal), a empresa é responsável cível e criminalmente pelos atos praticados pelo colaborador. Portanto, é necessário que a empresa crie e revise periodicamente suas regras, pois sem elas, não há como responsabilizar ninguém.
b. Outro ponto que também vem tendo uma aderência junto as empresas que já têm uma política estabelecida, mas que desejam um revisão, é o fato de muitas situações novas não estarem previstas nas antigas políticas, como ainda é o caso da consumerização / BYOD, Redes Sociais e do Cloud Computing. As três práticas trazem riscos legais e de continuidade às empresas.
2. Conscientização e Sensibilização dos Colaboradores
a. As pessoas são os recursos mais suscetíveis a falhas e aliciamento, e não adianta pensar que os colaboradores sabem o que fazer, porque não sabem. Um colaborador que não foi treinado adequadamente trás mais riscos do que um potencial fraudador e pessoa mal intencionada.
b. A principal preocupação aqui é com o vazamento de informações, que pode ser eficazmente prevenida com a adoção de um Programa Contínuo de Conscientização e com o uso simultâneo de ferramentas tecnológicas, como a Criptografia.
c. Importante: a maior parte das falhas está relacionada como as pessoas manipulam as informações, e não à tecnologia.
d. É recomendável se utilizar de palestras presenciais ou com outras formas interativas, por exemplo, as modalidades de Ensino a Distância. Há uma infinidade de recursos e opções que podem ser trabalhadas nas empresas para que o Programa de Conscientização tenha alta aderência e participação. Cabe uma conversa com as áreas de RH, Marketing e Comunicação Interna. Com certeza, elas são bem criativas nesse quesito e vão propor muitas alternativas.
3. Monitoração dos Controles e Atividades
a. Depois de “legislar” sobre Segurança da Informação e Conscientizar todos os envolvidos e responsáveis por mantê-la, a empresa deve monitorar se ela está sendo cumprida.
b. Somente com um processo contínuo, estruturado e com indicadores, seus resultados podem propiciar o melhor gerenciamento de riscos de segurança, pois pode-se focar em ações preventivas.
c. É necessário monitorar, por exemplo, os resultados do Programa de Conscientização. Com essas informações, o gestor de Segurança pode mapear claramente quais são os principais “gaps” e fraquezas de conhecimentos que precisará investir mais tempo em ações reforço (ex.: boletins internos, banners, palestras direcionadas, dentre outros). Em suma, é preciso monitorar se o processo funciona.
d. Em paralelo à monitoração dos processos de Segurança da Informação, as empresas precisam se certificar que “ninguém saia da linha”, ou seja, não adianta apenas ter políticas e falar para todos o que pode e não pode ser feito. As empresas precisam utilizar controles tecnológicos para efetivamente terem certeza que os processos estão funcionando.
e. Em outras palavras, se está definido que ninguém pode copiar nada em pen-drive, a empresa deve utilizar controles ou ferramentas que bloqueiem as portas USB das estações de trabalho. E se algum engraçadinho tentar burlar a regra, alertas são emitidos e registrados.
Já estou no mercado de Riscos Corporativos e de Segurança da Informação há mais de 18 anos e nunca vi ele ter tamanha importância nas empresas como tem hoje, e o “básico” nunca pode deixar de ser bem feito.
Diante dos escândalos, fraudes e vazamento de informações que ocorreram nos últimos 2 anos, quanto mais avançamos e apimentamos as discussões, tenho cada vez mais consciência do longo caminho a ser trilhado em Segurança da Informação.
E tem muito mais por vir: Internet das Coisas e por aí vai.
* Fernando Nicolau Freitas Ferreira
Sócio-fundador e CEO da empresa AuditSafe Auditoria e Consultoria em Riscos Corporativos.
- Mestre em Engenharia da Computação (foco em Redes e Segurança da Informação) pelo Instituto de Pesquisas Tecnológicas da Universidade de São Paulo Tecnólogo em Processamento de Dados pela Universidade Mackenzie
- Bacharel em Administração de Empresas pela UniSant’Anna.
- Membro e Conselheiro Técnico da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia – OAB/SP
- Membro da Comissão de Gerenciamento de Riscos Corporativos – IBGC
- Conselheiro Fiscal – Câmara de Comércio Indonésia-Brasil.Fernando foi vencedor do Prêmio de Excelência do Profissional de Segurança da Informação, denominado SECMASTER, na categoria de Melhor Contribuição para o Setor Privado. O concurso foi uma iniciativa do Capítulo Brasileiro da ISSA (Associação dos Profissionais de Segurança da Informação); e foi eleito como um dos 50 profissionais mais influentes na tecnologia de segurança da informação do país, para a 5ª edição do prêmio “A Nata dos Profissionais de Segurança da Informação 2008”.