Segurança da informação: o que é e quais são seus pilares

A segurança da informação (SI) protege dados de empresas e Pessoas Físicas para que não caiam nas mãos de pessoas mal intencionadas.

Você já ouviu falar em ataques cibernéticos, violação de informações ou vazamento de dados? Tudo isso faz parte de um grande problema enfrentado por grandes, médias e pequenas empresas, e que atinge diretamente seus clientes e fornecedores.

Mas, a boa notícia é que há uma solução para essa dificuldade: investir em segurança da informação (SI). Empresas de todos os portes devem investir em práticas e ações que visam à proteção de dados e à segurança da informação.

Neste artigo, falamos sobre o conceito de segurança da informação, sua função e pilares. Também trazemos alguns exemplos de vazamento de dados em grandes empresas para que você saiba tudo sobre o assunto. Confira!

O que é segurança da informação?

O conceito de SI está relacionado à defesa dos dados. Serve para assegurar que somente seus responsáveis e as pessoas ou empresas com as quais estes decidirem compartilhá-los tenham acesso a eles.

Nas empresas, a SI engloba políticas, métodos e processos empregados para controlar e assegurar a circulação de dados. Assim, é possível evitar que pessoas indesejadas tenham acesso ou cheguem a usar essas informações.

Para isso, é necessário ter um departamento de Tecnologia da Informação preparado para cuidar dessa área. A partir da aplicação de políticas e ferramentas que garantem a confidencialidade e a integridade das informações, é possível garantir a segurança nessa área.

A SI também está relacionada à forma como as pessoas utilizam as informações às quais têm acesso.

O que é segurança da informação em TI?

Além da SI, as empresas também precisam pensar na segurança de TI. Enquanto a primeira tem relação com processos e ferramentas que protegem as informações corporativas, a segunda trata da segurança da rede, que faz parte dos cuidados com a segurança dos dados virtuais.

A principal ameaça à segurança de TI são os malwares, ou softwares mal-intencionados, que infectam os dispositivos de diversas formas. Assim, a segurança de TI impede essas ameaças e possíveis violações de segurança. As duas frentes caminham juntas.

Política de segurança da informação

Política de segurança da informação é o nome dado às regras que determinam o acesso, o controle e a transmissão de dados em uma empresa. Esse documento deve ser atualizado frequentemente por meio de uma parceria entre a diretoria, colaboradores e o time de TI.

É necessário tomar alguns cuidados na elaboração de uma política de SI. Ações prévias ajudarão a determinar a estrutura necessária e a cultura que é mais indicada para que todos os colaboradores saibam lidar com as ferramentas e conceitos.

Confira pontos de destaque para elaborar a política:

• Definir a estrutura e ferramentas necessárias;
• Definir processos e tarefas que passarão por mudanças para garantir a segurança;
• Classificar as informações da empresa entre internos, públicos, secretos e confidenciais.

Função

Agora que você já sabe o que é segurança da informação, vamos entender qual é sua função. Os principais papéis da Segurança da Informação são assegurar a privacidade e a confidencialidade dos dados.

Além desses, tem como objetivo fazer o gerenciamento e controle do processamento, compartilhamento, armazenamento e distribuição das informações.

Assim, no meio empresarial, por exemplo, a segurança da informação busca aplicar práticas e políticas de segurança que garantam a integridade das informações corporativas, evitando possíveis ataques, vazamentos de dados, dentre outras ameaças que podem prejudicar a empresa.

Importância para as empresas

Outro ponto importante para entender o que é segurança da informação é entender que no ambiente corporativo, a segurança da informação está relacionada à aplicação de políticas e práticas que evitem ataques, vazamentos de dados e outras ameaças que possam prejudicar as organizações.

Quando uma empresa sofre um ciberataque, não apenas seus dados confidenciais são ameaçados, como seus relacionamentos com clientes e fornecedores. Isso porque a empresa os estará expondo, inclusive, a riscos legais.

Independente do porte, hoje os negócios dependem dos sistemas de computadores diariamente. Cada vez mais empresas estão migrando as vendas, bem como toda a operação de seus negócios para o ambiente online.

Sem políticas de segurança adequadas, os riscos de invasões são constantes. Investir em metodologias que garantam a proteção do negócio nessa área é essencial para o sucesso e a segurança das operações empresariais.

Imagem: Freepik

Quais são os pilares da segurança da informação?

Uma estratégia de defesa tem como base três maneiras de controle na segurança da informação. É a partir dele que os processos serão criados e os mecanismos de segurança poderão ser adotados em sua empresa. Confira:

Confidencialidade

O objetivo é garantir que as informações não sejam divulgadas para entidades, processos ou pessoas não autorizados. Senhas ou números de cartões de crédito são exemplos de informações protegidas por essa premissa.

Assim, toda vez que uma informação é acessada por alguém não autorizado, ocorre uma quebra de confidencialidade. A ruptura do sigilo pode trazer grandes danos para a empresa, clientes e até mesmo para o mercado em que ela atua.

Um ótimo exemplo disso são as instituições financeiras, que possuem dados pessoais e bancários de diversos usuários. Se a confidencialidade delas for quebrada, diversas pessoas ficam expostas e os prejuízos são incalculáveis.

Integridade

Já a integridade está relacionada ao quanto as informações são precisas ao longo de todo o ciclo de vida. Dessa forma, os dados não podem ser alterados sem autorização ou informação ao titular.

Um dos grandes deveres das empresas que lidam com dados é mantê-los inalterados. Caso contrário, podem ocorrer erros na interpretação das informações, gerando rupturas no compliance e até sanções penais.

Assim, para garantir que os dados são íntegros é preciso tomar as precauções necessárias para que as informações não sejam modificadas ou excluídas sem autorização. Dessa forma, irão manter a consistência e a legitimidade.

Uma falha nesse processo por alteração ou falsificação gera quebra da integridade. Isso também pode trazer grandes impactos negativos para as organizações, colaboradores e clientes.

Disponibilidade

As informações devem estar disponíveis sempre que necessário para cumprirem seu propósito. Assim, os sistemas de armazenamento e processamento de informações, canais de segurança e de comunicação devem estar em pleno funcionamento.

Para isso, existem sistemas de alta disponibilidade, que evitam interrupções nos serviços em casos de quedas de energia ou atualizações do sistema, por exemplo. Essa medida também envolve a prevenção de ataques que visam derrubar serviços essenciais para o acesso à informação.

Dessa forma, a SI possibilita que todos os membros e colaboradores da empresa tenham acesso aos dados de forma eficiente, segura e fluida.

Segurança da informação X vazamento de dados

Confira alguns casos de vazamento de dados, ou quebra da segurança da informação, ocorridos no ano de 2020:

1.Vazamento na Microsoft expôs dados de 250 milhões de usuários

Falha na segurança do banco de dados do serviço de atendimento ao cliente da Microsoft expôs os dados de 250 milhões de usuários, o que correspondia a 14 anos de comunicação entre empresa e clientes. Informações como endereços de IP, localização, e-mails e outros dados sigilosos foram expostos.

2. Rede de hotéis MGM Resorts vazou dados de clientes famosos 

A rede de hotéis de luxo sofreu um ataque que expôs os dados de 10,6 milhões de clientes. Entre os dados expostos, estavam informações de celebridades como o CEO do Twitter, Jack Dorsey, e Justin Bieber. Os dados vazados foram endereços, e-mails, telefones e datas de nascimento. Dados bancários não foram expostos.

3. Contas de usuários do Zoom vazadas

Dados de aproximadamente 500 mil contas de usuários do Zoom foram vazados. Endereços de e-mail e senhas de acesso foram expostos e negociados na dark web. A empresa afirmou que não havia dados corporativos entre os vazados.

Entenda o que é um ativo em segurança da informação

Já tratamos sobre o que é segurança da informação, mas você sabe o que é um ativo em segurança da informação? Todos os recursos que possuem valor para a companhia e devem ser protegidos pela segurança da informação são entendidos como ativos.

Atualmente, os dados ocupam essa posição, já que são essenciais para a tomada de decisão, na relação entre a empresa e seus clientes, e para a totalidade da gestão empresarial.

Dessa forma, os bancos de dados, contratos, documentos, conhecimentos e informações geradas, processadas, armazenadas e compartilhadas pelas empresas estão englobados nesta categoria.

Um ativo de informação pode ter forma física ou digital. Assim, tanto um acesso com informações de login e senha salvos em nuvem quanto um documento com informações sigilosas impressas em papel, de forma física, representam ativos de informação.

Todos esses itens, que têm tanto valor para a empresa, também devem ser protegidos de forma robusta. Isso porque pessoas mal intencionadas também reconhecem que esses dados são valiosos e podem querer acessá-los para tirar vantagem.

Norma ISO

A norma ISO 27001 exige a classificação de ativos de informação para estabelecer níveis de proteção para as diferentes informações de uma empresa. Essa é uma forma de definir quem, em quais momentos e de que forma esses ativos poderão ser acessados.

Os critérios de classificação são os seguintes:

• Valor;
• Requisitos legais;
• Criticidade;
• Sensibilidade.

Os ativos normalmente são classificados em uma de quatro categorias:

• Confidencial;
• Restrita;
• Uso interno;
• Pública.

Ameaças em Segurança da Informação

Qualquer fator que possa interferir ou causar danos à confidencialidade, integridade, autenticidade ou à disponibilidade das informações da empresa, ou de seus clientes e fornecedores é vista como uma ameaça à segurança da informação. Conhecer essas ameaças é tão importante quanto entender o que é segurança da informação.

Confira abaixo quais são as principais ameaças à segurança da informação para evitá-las:

• Ataques direcionados – São aqueles que utilizam técnicas de engenharia social  e informações específicas sobre a empresa para um ciberataque;
• Ataques persistentes avançados – Essas ameaças têm como foco a espionagem online, e só param quando alcançam seu objetivo;
• Ataque DDoS (Distributed Denial of Service, ou Negação de Serviço Distribuída) – Enviam múltiplas solicitações para o sistema invadido com o objetivo de sobrecarregá-lo e torná-lo indisponível.

Como os hackers invadem os dispositivos?

O próximo passo após entender o que é segurança da informação é identificar as estratégias dos hackers para invadir dispositivos. As formas mais comuns de invasões mal intencionadas são as seguintes:

1. Malwares

Softwares maliciosos que são executados quando um usuário abre anexos de e-mails, links suspeitos, pendrives contaminados e outros. Eles infectam os computadores da empresa, buscando corromper arquivos e acessar informações sigilosas.

2. Ransomwares

Neste ataque hacker, os dados corporativos mais importantes são sequestrados e só são liberados com pagamento de resgate. Os criminosos ameaçam apagar todas as informações se a vítima não acatar a todas as suas exigências.

3. Spywares

Por meio dessa ameaça, os criminosos instalam programas espiões nos computadores da empresa para coletar as informações que consideram mais relevantes.

Empresas famosas que falharam na segurança da informação

Pacific Bank

Um dos casos mais antigos de empresas que falharam na segurança da informação é o do Pacific Bank dos Estados Unidos. Em 1978, um funcionário conseguiu roubar 10 milhões de dólares devido à falta de um sistema de segurança da informação adequado. 

HP

Também há um caso de 2005 da Hewlett-Packard (HP). A Justiça acusou a empresa de usar métodos ilegais em uma investigação interna. Após um um vazamento de dados, a empresa decidiu fazer grampos nas linhas telefônicas e contratou detetives particulares para espionar seus colaboradores.

Uber

Mais recentemente, em 2018, a Uber foi condenada a pagar 148 milhões de dólares, o que corresponde a R$ 600 milhões pelo vazamento de dados de 57 milhões de seus clientes. O caso aconteceu em 2016 e envolve dados de 196 mil brasileiros, além de 50 estados dos Estados Unidos, nos quais 25 milhões de clientes da empresa foram expostos.

Eles ainda tentaram esconder a invasão das autoridades e ofereceram 100 mil dólares para que os hackers apagassem os dados roubados.

Netshoes

Já em 2019, a Netshoes foi condenada a pagar R$ 500 mil devido ao vazamento de dados de 2 milhões de clientes. Esse incidente envolveu a exposição de dados pessoais de servidores da Presidência, da Polícia Federal e do STF.

O Ministério Público constatou que foram vazados dados como nome, CPF, e-mail, data de nascimento e histórico de compras de clientes. Mas, as investigações apontam que dados de cartão de crédito ou senhas não foram expostos.

Facebook 

O último caso é ainda mais recente: em 2021, hackers expuseram dados de mais de 8 milhões de contas do Facebook de 106 países, incluindo o Brasil. Foram mais de 500 milhões de dados vazados, como telefone celulares, nome completo, data de nascimento, biografias, nome de usuários e e-mails.

A empresa declarou que o vazamento não foi fruto de uma invasão aos sistemas, mas que os hackers utilizaram uma técnica chamada raspagem, que utiliza robôs para fazerem o armazenamento de informações que ficam públicas. A empresa informou que a vulnerabilidade, que aconteceu em 2019, já foi corrigida.

Dicas para implementar uma política de segurança da informação na sua empresa

Mais do que entender o que é segurança da informação, as empresas precisam saber que existem diferentes ações operacionais, estratégicas e práticas que podem ser adotadas para o fortalecimento de sua segurança da informação. Confira as principais ações:

Segurança contra ataques DDoS

Você já ouviu falar de ataques DDoS? Essa sigla quer dizer Negação Distribuída de Serviço e se refere às ameaças nas quais os hackers buscam sobrecarregar as redes, servidores ou serviços da empresa com muito tráfego, ou seja, fazendo acessos simultâneos de diversos computadores com o fim de interromper suas operações.

Para lançar essas ameaças, eles utilizam pacotes de dados, solicitações de conexões ou mensagens falsas. Com isso, afetam a conexão, tornando-a muito lenta.

Pode parecer que esse tipo de ataque não oferece muitos riscos, mas eles influenciam nas oportunidades de negócios, na produtividade, na receita e também na reputação das organizações. 

Enquanto as empresas buscam encontrar e solucionar suas fraquezas de segurança, seus custos operacionais só aumentam. Esse tipo de ataque não possui um alvo específico, atingindo desde usuários comuns até corporativos.

Para combater esse tipo de ação, é possível usar um firewall para identificar os endereços IP que estão tentando forçar o acesso ao seu servidor e bloqueá-los. Fazer o monitoramento do tráfego da empresa de forma constante e estabelecer uma rotina de ciber higienização do sistema também auxiliam.

Segurança contra ataques Ransomware

Os Ransomwares são ataques que buscam criptografar os arquivos da vítima, independente de ser pessoa física ou empresa. Dessa forma, o dono dos dados e arquivos não consegue mais acessá-los, a não ser que pague o valor solicitado ao hacker.

Esse tipo de crime costuma ser realizado por oportunismo, quando o hacker identifica uma brecha de segurança ou mesmo um histórico de que a diretoria realizou outros pagamentos em situações passadas semelhantes. Nesse caso, o porte ou a relevância da empresa não é tão importante.

Para evitar esse tipo de ataque, podem ser adotadas medidas protetivas como:

• Fazer backup dos arquivos periodicamente;
• Manter o sistema operacional atualizado, para garantir que ele não fique tão vulnerável;
• Recomendar a não instalação de softwares e arquivos desconhecidos;
• Usar antivírus que detecta programas maliciosos como os ransomware desde o momento em que entram no sistema e os coloca em quarentena para impedir sua ação.

Importância do certificado SSL

Entender o que é um certificado SSL é tão importante quanto saber o que é segurança da informação. Os certificados SSL servem para garantir a segurança da conexão do site da empresa. 

Eles serve, para garantir que a conexão do endereço web com o usuário final seja criptografada. Essa certificação é essencial para garantir a proteção de todos os dados privados e informações dos usuários contra as ações de hackers.

A empresa deve fazer a compra do certificado SSL que melhor atenda às suas necessidades. Isso deve ser feito por meio de um provedor certificado, que irá validar se o pedido de certificação e as informações sobre a empresa são legítimos.

Validação de domínios (Domain Validation) e organização (Organization Validation)

As certificações Domain Validation ou Validação de Domínio (DV) e Organization Validation (OV) são tão necessárias para a segurança das empresas quanto entender o que é segurança da informação. 

A DV utiliza a criptografia para analisar a procedência e os mecanismos de segurança básicos do site corporativo. Normalmente, esse tipo de certificação é adotado em sites que usam formulários de contato. Esse certificado também pode ser adquirido por meio da internet.

Já o OV tem como função garantir que a empresa por trás de um site corporativo é real. Isso é feito por meio da validação do CNPJ junto à Receita Federal do Brasil. Sites que armazenam informações de login e outros dados sensíveis, como dados financeiros ou pessoais, devem utilizar essa certificação.

Procedimentos de segurança da informação indispensáveis para sua empresa 

Você já entendeu o que é segurança da informação nas empresas. Mas, como torná-la eficiente? Existem uma série de ações, decisões e processos que devem ser adotados pelas empresas que querem melhorar a segurança da informação.

Esses procedimentos devem ser adotados, personalizados e aprofundados de acordo com a infraestrutura digital e de processos da empresa. Confira os principais:

Automatização de backups

Conhecer os pilares de segurança de dados é tão importante quanto entender o que é segurança da informação. A disponibilidade é um desses pilares. Para garanti-la, uma das ações mais importantes é realizar a automatização de backups. 

A política de backups serve para garantir a proteção, resguardo e acessibilidade dos dados, mesmo diante de situações críticas, como o comprometimento do repositório central, por exemplo.

Dessa forma, ao automatizar essa tarefa, as empresas podem evitar erros humanos, como esquecer de criar cópias dos dados, e otimizar o cronograma de backup aumentando o rigor desta tarefa tão importante.

Configuração de firewalls

Com a digitalização das operações empresariais, o uso da rede de internet para as comunicações e rotinas diárias é massivo. Isso significa que os riscos envolvidos nesse tipo de atividade também são.

Uma das formas de proteger os dados da empresa é utilizar firewalls. Essas tecnologias servem para qualificar a comunicação de dados entre as empresas e fontes externas por meio de filtros do fluxo de dados, que permitem apenas acessos autorizados em portas específicas.

Grande parte dos sistemas operacionais da atualidade já incluem firewalls. Mas, como os dados das empresas são ativos mais importantes, é preciso adotar sistemas que sejam mais robustos e fazer configurações mais detalhadas, o que requer suporte especializado dos profissionais da área de Tecnologia da Informação.

Instalação de software antivírus

Com o passar do tempo, os recursos de segurança da informação vão ficando mais abrangentes e eficientes. Porém, os riscos também evoluem. Novos softwares maliciosos, malwares e diversos outros vírus são criados todos os dias para burlar a segurança de dados.

Por isso, é essencial que as empresas instalem softwares de antivírus em seus sistemas e máquinas e os mantenham sempre atualizados. Dessa forma, sempre estarão aptos a identificar e combater as ameaças que aparecerem.

Implantação da gestão de riscos de TI

Outro ponto essencial no qual a segurança da informação se apóia são as estratégias de prevenção que buscam antecipar e gerir os riscos de maneira que a empresa sofra o menor prejuízo possível.

Por isso, a empresa também deve atuar com uma gestão de riscos de TI na qual os profissionais fazem verificações ativas nos sistemas para identificar falhas ou pontos de atenção que podem abrir espaço para falhas de segurança.

Essa é uma forma econômica e eficiente de aumentar o controle sobre as informações e blindar os dados da empresa. Isso porque seu papel é solucionar as falhas antes que elas evoluam para problemas maiores.

Política de segurança da informação

Além de investir em infraestrutura, as empresas devem preparar sua cultura interna para a segurança da informação. Para isso, é essencial criar e implantar uma política de segurança que reforce a importância desse tema para cada membro da equipe.

Isso é importante porque, mesmo que a empresa faça altos investimentos em softwares, equipamentos e soluções de segurança, se seus recursos humanos não tiverem consciência da importância dessa questão, as falhas continuarão acontecendo.

Assim, é necessário conscientizar, treinar, educar e preparar o ambiente para seguir com a implantação de recursos de segurança.

Senhas criptografadas 

Por último, mas tão importante quanto os itens anteriores está a adoção de ferramentas de criptografia de senhas. Esse recurso impede o acesso de softwares maliciosos e hackers ao conteúdo das senhas utilizadas na empresa.

Isso é feito por meio de chaves que embaralham os caracteres e inviabilizam a leitura das informações, mesmo quando o sistema é invadido. Por exemplo, com esse recurso, o criminoso não terá a chave criptográfica para conseguir traduzir o conteúdo e se apropriar das credenciais de acesso dos funcionários da empresa.

Conclusão

Investir em segurança da informação é essencial para empresas que querem se manter bem-sucedidas na era digital. Por isso, é essencial desenvolver políticas e adotar ferramentas que garantam a confidencialidade, integridade e disponibilidade dos dados com os quais o negócio trabalha.

O Whom? é uma ferramenta de gerenciamento de certificados digitais que ajuda a manter a segurança da informação do seu negócio, conferindo operações protegidas e mais dinâmicas!

Seu escritório já toma medidas para garantir a segurança dos seus clientes? Compartilhe esse texto com seus colegas que também precisam se informar sobre o assunto!