Este post contém trechos do nosso e-book: Tudo que você precisa saber sobre segurança de dados.

Nunca se falou tanto em segurança de dados como hoje. Empresas de todos os portes e em todos os segmentos de atuação se preocupam — ou deveriam se preocupar — com a integridade, a disponibilidade e a confiabilidade de suas informações.

A importância do tema é tamanha que, segundo um estudo de 2016 da PwC, 69% dos executivos de negócios estão investindo em soluções de cibersegurança baseados na nuvem. Esses líderes, ao mesmo tempo em que entenderam o quanto é importante manter os dados corporativos seguros, também enxergaram a possibilidade de obter melhores custos com a virtualização das soluções.

Na sua empresa, a segurança dos dados é um assunto em pauta? Aproveite este post para pensar mais a fundo sobre o tema. Aqui, além de entender o conceito, você verá quais são os mecanismos e ferramentas mais utilizados e que erros não devem ser cometidos. Ao final, veja também algumas dicas para melhor proteger as informações do seu negócio.

Boa leitura!

O que é a segurança de dados?

Quando o assunto é segurança de dados, estamos falando sobre a proteção dos dados perante ameaças, acidentais ou intencionais, de modificação não autorizada, roubo ou destruição. Em outras palavras, referimo-nos à preservação de informações e dados de grande valor para uma organização — e, nós sabemos, em maior ou menor grau, todos os dados corporativos têm valor.

Por padrão, existem três atributos que conduzem a análise, o planejamento e a implementação de processos e ferramentas para garantir a segurança dos dados em uma empresa. São eles: a confidencialidade, a integridade e a disponibilidade.

Juntos, com mais ou menos intensidade, esses três atributos garantem a segurança da informação. Entenda, a seguir, o que cada um significa em termos práticos:

Confidencialidade

A confidencialidade trata da imposição de limites de acesso à informação apenas às pessoas e/ou entidades autorizados por aqueles que detêm os direitos da informação. Ou seja, somente pessoas confiáveis podem acessar, processar e modificar os dados.

Integridade

A integridade diz respeito à garantia de que as informações manipuladas conservarão todas as suas características originais. Ou seja, os dados vão se manter íntegros, conforme criados ou estabelecidos pelo proprietário.

Portanto, este é um atributo que está ligado ao controle das mudanças e à preservação do ciclo de vida da informação — que compreende origem, manutenção e destruição.

Disponibilidade

Já a disponibilidade é a garantia de que as informações estarão sempre disponíveis para o uso legítimo. Ou seja, as pessoas e/ou entidades autorizadas pelo detentor dos direitos terão sempre garantido o acesso aos dados.

É também importante saber que o nível desejado de proteção de dados varia de empresa para empresa e deve ser definido por meio de uma política própria. Ou seja, com um conjunto de normas, regras e recomendações, todos os indivíduos envolvidos com as informações corporativas devem entender o valor que cada tipo de dado possui. Com isso, todos passam a perseguir o nível desejado de confiabilidade, integridade e disponibilidade.

Mas e como isso é feito? A resposta para essa pergunta é o que você verá no capítulo a seguir!

Mecanismos e ferramentas de segurança de dados

Para falarmos sobre mecanismos e ferramentas que ajudam a criar a segurança dos dados em uma empresa, temos que entender a diferença entre o controle físico e o controle lógico das informações.

Afinal, os mecanismos e as ferramentas são aplicados nesses dois âmbitos. Eles são totalmente complementares e, juntos, conseguem estabelecer a segurança da informação em uma organização. Entenda:

Controles físicos

Chamamos de físicos todos os controles que abrangem barreiras limitadoras do contato ou do acesso direto à informação ou à infraestrutura criada e mantida para garantir a existência dos dados.

Existem diversos mecanismos de segurança que suportam os controles físicos. Dentre eles, estão: portas, paredes, trancas, blindagem e vigias. Esses mecanismos protegem, por exemplo, o centro de dados, evitando que pessoas não autorizadas acessem o espaço onde se concentram os hardwares.

Controles lógicos

Já os controles lógicos, como o próprio nome sugere, são as barreiras que impedem ou limitam o acesso aos dados mantidos em ambiente controlado de modo eletrônico ou virtual.

Aqui estão alguns exemplos de ferramentas e mecanismos que dão suporte aos controles lógicos:

Criptografia 

Mecanismo de segurança que utiliza esquemas matemáticos e algoritmos para codificar os dados em textos inelegíveis, os quais só podem ser decodificados ou descriptografados pelas pessoas que possuem a chave de acesso.

Assinatura digital 

Conjunto de dados criptografados, associados a um documento do qual são função. Garantem a integridade do documento, mas não a sua total confidencialidade.

Honeypot 

Esse é o nome dado a um software usado para detectar ou impedir ações de crackers, spammers ou qualquer outro agente externo não autorizado. Essa solução engana o agente externo, fazendo-o acreditar que ele está de fato explorando uma vulnerabilidade.

Controles diversos de acesso

Biometria, palavras-chave, cartões inteligentes e firewalls são alguns exemplos de mecanismos dessa categoria.

Quando existem falhas nos controles físicos e lógicos, geralmente, as empresas amargam prejuízos financeiros, perdem competitividade e têm até a sua imagem danificada.

Sobre isso, você poderá refletir no capítulo que segue!

Principais erros na segurança de dados

Uma pesquisa realizada pela Symantec, uma das maiores empresas desenvolvedoras de soluções em antivírus do mundo, revelou que, ao longo de 2016, os brasileiros tiveram prejuízos financeiros na casa de R$ 33 milhões somente com cibercrimes.

Foram afetados nada mais nada menos do que 42,4 milhões de pessoas no país, o que representou um aumento de 10% nos ataques virtuais em relação a 2015. Ou seja, à medida que cresce a informatização, também se expande a chamada “indústria hacker”.

Quando olhamos especificamente para o universo corporativo, vemos que a preocupação é tão grande quanto no campo dos usuários individuais. De acordo com o Relatório Barômetro de Rede 2016, divulgado pela Dimension Data, o número de empresas vulneráveis no mundo aumentou cinco vezes em relação a 2015.

O estudo, que abrange 28 países, constatou que, a cada 100 dispositivos em rede no continente americano, 66 contêm algum tipo de vulnerabilidade. 

As empresas cometem inúmeros erros em relação à segurança da informação. Aqui estão os principais:

Não realizar um planejamento completo

Um dos maiores erros que as empresas cometem é não ter um planejamento de segurança de dados. Ou seja, não fazer um levantamento de quais são as informações que devem ser protegidas nem ter planos de ações para garantir essa defesa.

Com um planejamento frágil, as empresas não sabem reconhecer qual é o valor dos seus dados e, consequentemente, também não conhecem as suas próprias vulnerabilidades físicas e lógicas.

Logo, também não conseguem fazer uma administração proativa de seus ambientes críticos. Por não fazerem o monitoramento de seus bancos de dados, por exemplo, só conseguem perceber os incidentes depois que eles acontecem. Por não praticarem auditorias constantes na infraestrutura, também não atuam para diminuir riscos e detectar o que foi mal estruturado e está sendo mal conduzido.

Não alinhar a política de segurança com a diretoria

O não alinhamento da política de proteção de dados com a diretoria costuma fazer com que a organização veja o assunto mais como gasto do que como investimento. Logo, os profissionais responsáveis vão se deparar com dificuldades de orçamento e baixa adesão dos usuários (em efeito cascata, desde a alta hierarquia até os colaboradores do dia a dia operacional, passando pelos líderes), por exemplo. 

E quando esses problemas aparecem, é natural que os esforços sejam sufocados por demandas mais corriqueiras. Se olharmos para os Estados Unidos, talvez hoje o país mais antenado com a segurança dos dados, veremos essa realidade muito presente. De acordo com uma pesquisa da Avaya, somente 25% dos profissionais de TI tomam medidas eficazes para combater cibercrimes.

Para 35% dos profissionais entrevistados, ter uma política de segurança que contemple a segmentação de redes, por exemplo, é “muito complicado”. Outros 29% disseram que isso “requer muitos recursos”.

Não treinar a equipe

No estudo da Dimension Data, que citamos acima, descobriu-se que 37% dos incidentes de segurança de dados que ocorrem no mundo são frutos de erros humanos ou de configuração.

Eis um erro que pode colocar qualquer estratégia de segurança de dados em xeque: não treinar a equipe. E aqui estamos falando tanto do time de TI quanto dos usuários, ou seja, dos colaboradores da empresa que não entendem sobre os detalhes técnicos.

Quando não há treinamentos sobre segurança da informação, as pessoas tendem a relaxar na utilização das aplicações corporativas. Elas compartilham chaves de acesso, baixam arquivos não confiáveis, adquirem soluções SaaS sem solicitar auxílio do setor de TI… Enfim, provocam vulnerabilidades, muitas vezes, sem saber. E as brechas abertas podem ser cruciais para o negócio.

Não possuir normas de proibição claras

Outro ponto importante, que ainda é muito vilipendiado por várias empresas, é a inexistência de normas claras sobre o que é proibido fazer na rede interna. Sem limites claros, as pessoas tendem a manipular dados de diversos níveis de confiabilidade sem muita preocupação.

Independentemente do tamanho da empresa, não é recomendável que todos os funcionários tenham acesso a todas as informações e documentos. É preciso delimitar os acessos com o uso de senhas e, mais do que isso, fazer o rastreamento baseado em hierarquias de responsabilidades — saber quem manipulou os dados, por exemplo.

Dicas extras para elevar a segurança de dados

Para finalizar, trazemos um compilado de dicas que você pode começar a colocar em prática ainda hoje para elevar a segurança de dados na sua empresa. Confira:

Fique de olho em novas tecnologias

A tecnologia avança, e a cada dia surgem mais e mais ferramentas e mecanismos de segurança da informação. É preciso acompanhar os novos lançamentos e verificar quais deles melhor se encaixam na estratégia do seu negócio. Muitas vezes, os investimentos são bem menores do que os prejuízos causados pela perda de informações importantes.

Esteja atento à atuação de hackers

Como dissemos, conforme a indústria de TI avança em soluções, também cresce o cibercrime. Logo, é importante acompanhar as notícias e estar atento às dicas de especialistas no assunto para saber como está a atuação dos hackers.

Quer um exemplo? O portal ComputerWorld publicou recentemente uma matéria mostrando que o ataque a roteadores na Alemanha é um alerta para o Brasil. Logo, podemos perceber que é preciso reforçar a política em relação a dispositivos de segurança.

Faça avaliações periódicas

De tempos em tempos, é importante fazer uma varredura para identificar as possíveis vulnerabilidades nos dados corporativos. Isso deve ser feito de forma automatizada, por meio de ferramentas de monitoramento, mas também com auditorias periódicas.

Transforme a proteção de dados numa causa de todos

Ganhar o engajamento de todas as pessoas da empresa também é fundamental para garantir proteção aos dados. Para isso, é importante demonstrar o quanto cada indivíduo pode ser prejudicado com ataques, por exemplo.

Um bom recurso é apresentar casos, promover palestras e debates, além de fazer uma comunicação clara da política (o que deve ou não ser feito e quais as consequências, por exemplo).

Conclusão

Como você viu ao longo deste post, o conceito de segurança de dados é abrangente e deve ser uma preocupação que vai muito além do departamento de TI. Todas as camadas hierárquicas devem se preocupar com o assunto e trabalhar para diminuir riscos e potencializar resultados com uma infraestrutura tecnológica eficiente e confiável.

É possível que alguns dos erros aqui apontados ainda estejam sendo cometidos na sua empresa. Como você também viu nas pesquisas citadas, isso não é algo exclusivo do seu negócio. Milhares de organizações em todo o mundo ainda não estão totalmente blindadas. O que importa é que, a partir da conscientização, você poderá começar a trabalhar para que os riscos não determinem negativamente o futuro do seu negócio.

Como uma empresa que se preocupa em auxiliar seus clientes na resolução de problemas, nós, aqui da Diferencial TI, ficamos muito felizes de proporcionar essa reflexão a você, pois entendemos que as companhias que melhor exploram os seus dados (e os mantêm protegidos) são as que se tornam mais competitivas e promissoras.

O que você tem feito para garantir confiabilidade, integridade e disponibilidade dos dados da sua empresa?

Felipe Lucena
CTO & Partner.