Segurança da Informação – parte 1 #BEDO

Tudo bem pessoal?

Essas ultimas semanas falamos bastante sobre assuntos relacionados a negócio e tecnologia, não poderia ser diferente, vamos fechar esses dias de postagens falando sobre segurança da informação, é um mundo fantástico e extremamente importante onde as empresas investem pesado para garantir um serviço de qualidade para seus clientes.

Antes de iniciarmos quero informar que não vamos entrar em um assunto muito técnico, pois quero facilitar para quem está iniciando ou para que você proprietário de algum tipo de negócio, possa ver a segurança da informação com outros olhos, quero que você após ler essa matéria consiga mensurar e analisar detalhes que podem fazer a diferença entre você dormir tranquilo ou ter insônia e dor de cabeça.

Lembre-se, investir em segurança da informação na maioria dos casos é menos custoso do que investir em recuperação do que foi perdido.

Segurança da Informação é uma área complexa e técnica no mundo da Tecnologia da Informação, requer estudo constante, e se é isso que você deseja como profissional, então prepare-se para estudar praticamente sua vida toda, pois estar atualizado é um pré-requisito para os desafios que você irá enfrentar. Mas não se assuste, existe muitos cursos de especialização, normas, certificações e ferramentas, além de grandes grupos que desenvolvem metodologias e práticas bastante difundidas e utilizadas no mundo dos negócios.

Em uma empresa que tem incorporado um setor de TI, é extremamente importante para segurança da informação, alinhar a TI com as necessidade de negócio da empresa, caso contrário os negócios não seguirão da maneira como deveria. Mas não quer dizer caso sua empresa não dispor de um setor de TI que não deva alinhar a tecnologia aos negócios, pois fará toda diferença nos resultados de curto e médio prazo, pois as decisões a longo prazo podem ser prejudicadas por um planejamento pouco efeito, com resultados confusos para tomada de decisão.

Onde a segurança da informação está embutida dentro da empresa? Simplesmente posso lhe afirmar em tudo, ou seja a informação circula em todos os setores de uma empresa, vai de pessoa a pessoa, de sistema a sistema, de cliente a fornecedor e vice versa, então para ter controle e segurança sobre a informação é preciso definir boas práticas e utilizar os conceitos estabelecidos nas normas, pois contribuirão para um serviço seguro e eficiente.

Para chegarmos no ponto chave é preciso entendermos alguns causadores de risco para segurança da informação, vamos começar falando sobre alguns termos que levamos em conta para mensurar ou criar um plano de ação.

Dentre eles temos a Vulnerabilidade da informação, consiste em fragilidades que de alguma maneira possam ser exploradas por uma ou mais ameaças, prejudicando, danificando a segurança da informação. Ou seja, se estamos vulneráveis estamos correndo riscos.

Se estar vulnerável quer dizer que estamos frágeis, então onde posso analisar a causa raiz?

As políticas de conduta da empresa podem ser fatores raízes, pois não seguir as normas de segurança podem abrir brechas e deixar vulnerável a informação. Fatores físicos, setores que não seguem as normas e políticas de segurança, processos mal analisados, também contribuem para vulnerabilidade. Existe diversos fatores que se enquadram na vulnerabilidade, mas não quer dizer que a vulnerabilidade irá provocar algum tipo de incidente, pois ela necessita de um evento causador e condições que favoreçam sua ocorrência.

Dentre os fatores causadores da vulnerabilidade, temos uma classificação que deve ser analisada com muito cuidado independente do tamanho da sua empresa ou negócio.

Um deles é conhecido como o fator natural.  O fator natural está intrinsicamente ligado com a natureza, mas como assim ligado com a natureza? São fenômenos naturais, como terremoto, furacão, inundações, incêndios sem precedentes, entre outros advindos da natureza. Agora imagine sua empresa em uma região que ao chover inunda, alaga, entrando água dentro dos setores, danificando seus equipamentos, malotes, documentos e produtos.

Veja como é importante dedicar atenção ao fator natural. Muitas empresas não fazem um mapeamento a longo prazo, principalmente sobre alagamentos, simplesmente constroem um barracão próximo a um córrego, ao passar dez anos, as mediações se encontram tomadas por prédios e casas, devido à pouca absorção do solo pela camada espeça de asfalto e concreto, tubulações que despejam água diretamente no córrego fazem com que água passe do limite seguro, prejudicando e danificando tudo que se encontra a seu alcance. Temos o fator natural interferindo no fator físico.

Percebam até onde vai a segurança da informação.

Temos outros fatores prejudiciais que se classificam dentro da vulnerabilidade, como o fator Físico.  Todo ambiente em que a informação se encontra é considerado fator físico, ou seja os ambientes onde a informação está armazenada (diferente de equipamento de armazenamento de dados). Imagine um setor financeiro onde o ambiente é bastante úmido, não tem uma ventilação adequada, as guias e notas fiscais começam a manchar e danificar, esse é outro fator muito importante a ser analisado. Agora imagine um data center onde diversos computadores armazenam e processam dados, não ter um ambiente físico que de segurança tanto para umidade quanto para o calor. Vou mais além, imagine se não tiver sistema contra incêndio, controle de acesso, cabeamento de energia e rede dentro dos padrões, o que seria da informação se tratando de segurança com tamanha vulnerabilidade circulando. 

Então pessoal deu para sentir que é um mundo enorme quando falamos de segurança da informação, isso que só estamos no início.

Os meios de armazenamento também se enquadram dentro da vulnerabilidade, são conhecidos como os suportes físicos para armazenamento de informação. Muitos são conhecidos e utilizamos quase que diariamente, como o Hard disc, o velho CD ROM entre outros equipamentos de tecnologia que armazena dados. Mas não quer dizer que por estarmos no mundo da tecnologia, a informação necessariamente deve ser armazenada em computadores ou em outros dispositivos eletrônicos, nesse quesito a vulnerabilidade de armazenamento também está enquadrando tudo que está registrado em papel, ou seja as guias de clientes, de pacientes, notas fiscais, e outras informação que tem valor para empresa.

Classificamos a vulnerabilidade nesse quesito através do tipo de armazenamento que a informação se encontra. Por exemplo, se está em um HD externo, temos riscos do equipamento cair e danificar, ou o próprio ambiente que se encontra o equipamento pode ser prejudicial diminuindo a vida útil. Outro ponto a ser comentado é o prazo de validade, defeito de fabricação, utilização incorreta. A utilização incorreta é algo que pode abrir muita brecha para vulnerabilidade, principalmente por pessoas não capacitadas ou treinadas que venham a operar um equipamento que necessite maior segurança. Isso ocorre bastante em empresas pequenas, onde o custo de mão de obra específica é visto como um gasto e não um investimento, então brechas de vulnerabilidade da informação são expostas a ameaças.

Políticas, procedimentos, planos, processos entre outros, fazem parte do fator Organizacional. Podemos classificar o fator organizacional como um dos principais pontos que podem afetar a vulnerabilidade. É muito difícil controlar de forma eficiente as políticas de segurança em um ambiente que não tem uma estrutura organizada, ou seja, a falta de políticas de segurança, de treinamento, processos mal definidos ou até mesmo a ausência de processos ou de procedimentos e rotinas, contribuem para que se estabeleça a vulnerabilidade organizacional.

Em um ambiente organizacional a informação é o bem mais precioso que se possa ter, pois é através dela que o conhecimento é expandido e seu valor contribui para que a empresa se mantenha competitiva. Imagine uma empresa de vendas pela internet a qual não tem boas políticas de segurança da informação e por algum motivo seu sistema fica fora do ar, como seria a recuperação de desastre ou de que forma se daria a continuidade do serviço da informação. Vejamos que é preciso ter planos bem definidos, processos bem otimizados com medidas que consigam manter a continuidade do serviço independente do desastre ou incidente que venha ocorrer.

Bom pessoal, hoje ficaremos por aqui. Continue lendo sobre vulnerabilidade na matéria  Segurança da Informação Parte 2. Acompanhem, pois tem muita informação interessante pela frente.

Aproveitem e leiam sobre Gerenciamento de Processos de Negócio e Mapa Mental, vocês irão gostar.

bedo3

Deixe uma resposta

%d blogueiros gostam disto: