Por Eljo Aragão*
Qualquer empresa, independentemente de seu nível de desenvolvimento, tem informações sigilosas que, se violadas, podem resultar em perdas financeiras diretas ou indiretas. O uso da tecnologia da informação nos principais processos de negócios implica na ‘digitalização’ de praticamente todos os ativos da companhia. Os funcionários estão cada vez mais familiarizados com o termo ‘segurança da informação’ e com o aparecimento de novos softwares em seus ambientes de trabalho. Também observamos a criação de departamentos na estrutura organizacional cuja principal tarefa é proteger dados e garantir a conformidade com legislações e normas impostas por entidades externas.
As empresas estão entendendo as consequências da falta de proteções para as informações digitais depois de serem vítimas de diversos ataques onde informações sensíveis são roubadas e ocorre prejuízo financeiro. As frequentes notícias sobre violações de dados causadas por funcionários ou por vulnerabilidades em um aplicativo costumam comover a gerência sênior para liberar mais orçamento a fim de fortalecer a segurança. No entanto, proteger as informações pode ser abstrato para as pessoas e, para que a mensagem seja transmitida corretamente e entendida pelos diretores da empresa, é necessário enfatizar os riscos como danos à reputação da empresa e perdas financeiras.
A análise de riscos de segurança é, primeiro e principalmente, parte do processo contínuo de proteção de dados. Isso implica em diversas medidas para avaliar o nível de proteção da infraestrutura na qual são realizadas operações que envolvem informações críticas para o negócio. Esse processo é descrito em documentos normativos e informativos. Tudo depende da esfera de atividades específica da empresa. Por exemplo, a segurança de informações no setor financeiro tem como base a documentação do próprio segmento, que por sua vez é composta por vários padrões organizacionais e específicos para cada região. Esses documentos são baseados nos métodos de avaliação de riscos de segurança de informações, que serão diferentes para cada área de atividade, sejam elas financeira, telecomunicações ou manufatura.
Em setores que não contam com normas de segurança específicas, as empresas devem criar suas próprias políticas. Um documento que resume o procedimento de gerenciamento de riscos não é uma orientação formal de como realizar esse processo, mas sim uma política prática de segurança que pode ser alterada considerando todas as possíveis imperfeições dos aspectos técnicos e organizacionais dos processos de negócios de uma empresa. São listadas todas as ameaças possíveis – sendo que a grande maioria delas afeta a infraestrutura de TI – com base em uma análise de risco prévia. Depois que a equipe de gerenciamento se familiarizar com o relatório, ela deverá decidir sobre o nível de investimento que será feito na criação ou modernização de um sistema automatizado de segurança de dados. Isso envolve a definição por uma equipe de especialistas de quais riscos podem ser minimizados usando dispositivos de computação.
O perigo de violação de dados confidenciais pode ocorrer em numerosas formas de ataque direcionado ao sistema de TI. Por isso, incidentes de segurança de informações podem acontecer em qualquer lugar e com qualquer um. Ameaças que exploram vulnerabilidades em aplicativos corporativos, interceptam dados confidenciais enviados por canais de comunicação inseguros e conexões de dispositivos de hardware à rede com a intenção de copiar dados para terceiros são apenas alguns dos motivos que fazem os administradores se preocuparem em implementar soluções corporativas de segurança, como criptografia, antivírus, DLP, firewalls para diferentes níveis do modelo de OSI, entre outros.
Também é necessário investir mão de obra na configuração das camadas e fazer uma auditoria do sistema resultante. Geralmente esse processo envolve grande quantidade de relatórios de segurança, e por sua complexidade, requer tempo de análise para uma correta avaliação da situação. Considerando os desafios de execução e manutenção das políticas corporativas de segurança, faz sentido unificar todos os vários componentes de proteção em um único console de gerenciamento de segurança. Isso permite ainda trocar informações entre os componentes, criando um ambiente interligado no qual cada elemento responsável por seu próprio escopo é conectado a outros elementos.
O processo de análise dos riscos de segurança, geração de relatórios, criação/modernização das políticas de segurança e implementação dos componentes necessários é uma tarefa contínua e complexa, que deve idealmente ser baseada em uma abordagem centralizada para acelerar significativamente o processo de minimização dos riscos. Com menos tempo de trabalho despendido na auditoria de segurança, o departamento de TI pode focar em processos críticos do negócio, como adaptar-se às mudanças do mercado ou no comportamento do consumidor e melhorar a eficiência das operações da empresa.
* Eljo Aragão, é diretor-geral da Kaspersky Lab no Brasil
Comments