Segurança da informação
A informação, ativo valorizado no mundo moderno, é importante para a operação e a inteligência dos negócios da empresa, e principalmente para a sua credibilidade diante de Clientes e parceiros comerciais.
A proteção de dados da empresa é uma prática mandatória, não negociável. Por esta razão, as empresas modernas buscam estabelecer uma estrutura de segurança da informação baseada em políticas, soluções de segurança e aderência aos padrões e melhores práticas de mercado, objetivando proporcionar um nível adequado de segurança para o negócio.
A estrutura de segurança da Informação abrange as políticas de segurança, processos e mecanismos de gestão, controle e monitoramento contínuo da integridade das informações, prevenção de ataques internos e externos, furto de dados, acesso seguro às informações da empresa e a continuidade das funções de negócio em caso de incidentes ou desastres naturais.
O bom funcionamento desta estrutura depende fortemente do planejamento, manutenção e constante evolução da prevenção contra a dinâmica de ataques constantes e cada vez mais sofisticados. O sucesso da empresa depende da implementação de uma estratégia robusta que permita a captura, acesso, armazenamento, processamento e monitoramento dos dados de forma segura.
O planejamento da segurança da informação
O planejamento da Segurança da Informação é um processo que deve ser conduzido periodicamente e pode ter abrangências diferentes. O trabalho de planejamento pode incluir: a avaliação dos riscos (novas ameaças e convencionais), a aderência às políticas; a eficácia dos processos estabelecidos; os serviços e soluções tecnológicas utilizados; mecanismos de recuperação e restabelecimento das funções de negócio, e o trabalho de conscientização de colaboradores.
Os principais elementos que constituem este trabalho:
Necessitam ser analisados, pois devem direcionar todas as iniciativas que estabelecem os novos mecanismos e atualizam a estrutura existente de segurança da informação da empresa (Ex.: terceirização de funções, mobilidade, expansão dos negócios nos meios digitais, internacionalização, integração com parceiros comerciais através da troca de arquivos e transações).
Mitiga o risco da aplicação de penalidades por parte de órgãos reguladores, devido à não conformidades, caso de alguns setores do mercado. Auxiliam ainda, no estabelecimento de políticas, governança, controles e processos para a estrutura de segurança da informação da empresa.
Permite avaliar as funções, papéis e responsabilidades, capacitação, comunicação e níveis de serviços (internos e desempenhado por terceiros).
Permite avaliar a diversidade de plataformas tecnológicas (hardware, software, aplicações) e os mecanismos existentes para o controle e monitoramento destes ambientes.
Permite avaliar os dados, incluindo: privilégios de acesso, política de retenção, local de armazenagem, e determinar as medidas necessárias para o controle e proteção.
Permite avaliar a efetividade das diferentes camadas de segurança da informação, incluindo: programas antivírus, patching, e-mail, filtros, firewalls, monitoramento, MDM1 segmentação de ambientes lógicos e físicos.
Permite analisar os controles estabelecidos, riscos (aceitáveis ou não), ações de mitigação e planos de contingencia.
Políticas e procedimentos específicos para o acesso de terceiros à rede, informações, espaços, sistemas de informação da empresa.
Determina as responsabilidades e as ações a serem executadas no caso de incidentes de forma a garantir a continuidade das funções de negócio
Promove o entendimento de políticas e procedimentos, responsabilidades, e no estabelecimento de uma cultura de prevenção de incidentes
Benefícios
- Promove o alinhamento das iniciativas de segurança da informação com os objetivos estratégicos de negócio
- Permite avaliar riscos e vulnerabilidades e definir estratégias e ações de mitigação
- Identifica os gaps existentes e oportunidades de melhorias
- Define e prioriza as iniciativas de curto, médio e longo prazo
- Prevenção de perdas financeiras decorrentes de incidentes ou penalidades devido à não conformidade (exigências regulatórias)
- Prevenção do risco de imagem e reputação
- Postura proativa (ao invés da postura de bombeiro “fire fighters”)
- Proporciona maior transparência, maior facilidade na comunicação com executivos da organização, agilizando a aprovação das iniciativas necessárias para a boa gestão da segurança da informação na empresa
Os ataques cibernéticos
Relacionamos o resultado de pesquisas realizadas recentemente em relação aos riscos de ataques cibernéticos que confirmam a importância do planejamento da segurança da informação:
- Em 2017, o Brasil passou a ser o segundo país com maior número de casos de crimes cibernéticos no mundo, afetando cerca de 62 milhões de pessoas e causando um prejuízo de US$ 22 bilhões. No ano anterior, o Brasil era o quarto colocado, mas agora fica apenas atrás da China. (Norton Cyber Security)
- 68% dos líderes das empresas acreditam que o volume de ataques cibernéticos está crescendo. (Accenture)
- Hackers atacam em média 2.244 vezes por dia ou uma vez a cada 39 segundos. (Universidade de Maryland, EUA)
- A média para identificar uma violação em 2019 era de 206 dias. (IBM)
- Um total de 4 bilhões de dólares foi o custo do incidente de violação de dados na Equifax, empresa de avaliação de risco de crédito. (Time Magazine)
- Em 2018, foram realizados 10.573 bloqueios por dia em aplicações suspeitas em smartphones. (Symantec)
Como podemos ajudar a sua empresa?
As iniciativas de revisão da estrutura existente e planejamento de segurança da informação podem assumir diferentes objetivos e escopo variado, dependendo da necessidade da empresa. Incluímos abaixo um exemplo que pode ser aplicado à sua empresa:
Revisão da estrutura existente e planejamento
Oferece aos líderes de negócio e TI uma avaliação dos riscos ante as ameaças de ataques cibernéticos e identifica as vulnerabilidades da estrutura existente, e apresenta um plano de melhorias, levando-se em consideração as exigências regulatórias, as melhores práticas do mercado e o alinhamento com os objetivos estratégicos do negócio.
Porque a Citrine Consulting?
Ciente da importância do trabalho de planejamento de segurança da informação e da forte sinergia com as suas práticas, a Citrine Consulting estabeleceu alianças com profissionais experientes e especializados em Segurança da Informação que integram a sua equipe e agregam valor às iniciativas estratégicas conduzidas junto aos seus Clientes. Acreditamos que é justamente encarando os desafios de negócio em todas as suas dimensões, ou seja, processos de negócio, tecnologia da informação e pessoas (workforce performance), em um esforço coordenado, que podemos contribuir de forma diferenciada para os nossos Clientes maximizarem os seus resultados.
