• Uilson Souza - MBA | ISFS - PDPF

Ataques cibernéticos – saiba como evitá-los, esteja preparado.


Mesmo com diversas ferramentas e frameworks de mercado para a implementação de um programa consistente de gestão em segurança da informação, muitas empresas minimizam a relevância do tema, e as consequências disto se manifestam nos inúmeros casos de vazamento de dados ou invasões cibernéticas, amplamente veiculadas pela mídia.


O ponto não é a qualidade dos profissionais da área de segurança, nem tampouco os processos estabelecidos, pois a maioria dos casos ocorridos no último ano atingiram grandes corporações, geralmente multinacionais, que, obviamente, possuem processos bem definidos, quadro técnico especializado e um arsenal tecnológico robusto.

Os pilares processos, tecnologias e pessoas nunca foram tão necessários, inclusive quanto à forma igualitária de valorização que merecem ter num processo de gestão em segurança, pois se um deles for mais ou menos considerado em relação aos demais, sempre haverá uma brecha para hackers, pessoas mal-intencionadas ou até mesmo para erros operacionais que colocam a organização em risco.


Segurança da informação e Tecnologia da Informação devem ser considerados departamentos distintos. Segurança fará parte da estratégia de negócio da organização e deverá começar com o apoio irrestrito do alto escalão da empresa. Existe um equívoco muito grande em muitas organizações que colocam Segurança da Informação sob a responsabilidade da área de TI. Isso é sinônimo de problemas e a causa da existência de certas brechas de segurança, que podem vir a ser exploradas.


Para implementação do sistema de gestão de segurança da informação, faz-se necessário entender bem o negócio principal e todos os processos envolvidos. O que a companhia faz, porque faz e de que modo faz.


É indispensável aproximar a área de Segurança da Informação ou da TI (quando a primeira ainda não tiver sido formada), com as áreas de negócios da empresa, para melhor compreensão dos riscos associados aos processos, considerando a confidencialidade, integridade e disponibilidade.


Faz-se necessária a avaliação dos impactos decorrentes dos riscos mapeados, e o impacto financeiro que representaria um evento danoso à organização, além de outros desdobramentos de natureza jurídica e acima de tudo, o prejuízo à imagem da organização, que influenciará diretamente na credibilidade de seus leads e clientes.


Tendo em mãos os riscos e os tipos de impacto, deve-se avaliar através de uma análise de impacto de negócios, os quantitativos e qualitativos, verificando também em quanto tempo um incidente de segurança pode começar a representar prejuízo financeiro, e à imagem da empresa, além de definir qual o tempo mínimo para restauração dos processos, após solucionado o problema.


Quando forem plenamente conhecidos os maiores riscos do negócio, será hora de determinar as medidas a serem tomadas para mitigação, aceitação ou transferência do risco e assim estabelecer procedimentos e políticas que devem guiar os envolvidos na aplicação das melhores práticas.


As medidas de mitigação de risco devem ser aplicadas a partir de processos definidos em uma ou mais políticas, envolvendo pessoas e tecnologias.


Além de políticas e procedimentos bem definidos é importante que a área de Segurança da Informação esteja envolvida com o departamento de RH para elaboração de uma política de sanções administrativas disciplinares aplicáveis em caso de não cumprimento das políticas de segurança estabelecidas.


O pilar destacado “Pessoas” entra a seguir, como sendo base para que tudo o que foi planejado possa ser implementado de forma completa e eficaz.


É preciso que os processos sejam transmitidos eficazmente a todos os funcionários, garantindo a coleta de suas assinaturas de forma física ou digital em controles de presença, em que se comprometam expressamente a aplicar o que aprenderam, pois estarão plenamente aptos a exercerem suas tarefas, de acordo com as regras e orientações corporativas.


A importância dos treinamentos de conscientização se justifica a partir de dados que mostram o risco de brechas causadas pelos próprios usuários, com ou sem intenção.


É muito importante aplicar treinamento de conscientização em fases distintas:

  • O treinamento inicial de conscientização – aplicável a todos os funcionários, no momento de seu ingresso no quadro funcional. Caso algum funcionário não tenha passado por este processo, deverá ser treinado imediatamente para que, além do teste final de fixação, possa assinar o termo de ciência dos processos e normas.

  • O treinamento técnico – muitas brechas de segurança podem ocorrer em áreas de Tecnologia da Informação por ser um departamento onde seus componentes, por possuírem acessos privilegiados em sistemas, salas específicas e infraestruturas críticas, podem por descuido, ou até mesmo má intenção, colocar todo o negócio em risco.

  • Treinamentos específicos – aqueles que irão cobrir normas vigentes e as melhores práticas para setores específicos da corporação, como por exemplo uma área de “call center”, onde são tratados dados pessoais, dados sensíveis e processos que envolvam pagamentos com cartão de crédito.

Eis os treinamentos considerados importantes para sua organização em matéria de Segurança da Informação:

  • Conscientização em Segurança da Informação – é o que cobre todos os pontos abordados neste artigo e deverá ser aplicado tanto para organização em geral, como também de forma específica aos departamentos que possuam acessos privilegiados, como por exemplo, a área de tecnologia da Informação.

  • Engenharia social para times de tecnologia da informação – garante que a área de tecnologia da informação esteja preparada para entender, evitar e mitigar todo tipo de ataque relativo à engenharia social, bem como orientar os demais usuários a este respeito.

  • Time de resposta a incidentes de segurança – orienta a equipe em como proceder no caso de um incidente de segurança em todas as suas fases, além de garantir que eventos desta natureza serão corretamente e imediatamente reportados, escalados e tratados.

  • Gestão de privacidade de dados pessoais – prepara toda organização para trabalhar com a gestão de dados pessoais que são processados internamente, considerando as leis vigentes, tais como a LGPD (Lei Geral de Proteção de Dados) no Brasil e a GDPR (General Data Protection Regulation) da União Européia.

A Tothbe, através de seus parceiros da Smart Security Solution, que são especialistas no tema de Segurança da Informação, oferece o que há de melhor em treinamentos voltados às necessidades do programa de gestão em segurança e privacidade de dados, em formato lúdico, eficaz e intuitivo, garantindo o aprendizado através exemplos práticos do cotidiano das empresas, de gamificação e de testes de fixação.


Fale com a TothBe e mantenha sua empresa mais segura em relação aos dados que administra.


59 visualizações

Assine nossa

newsletter!

Que saber mais sobre nossos serviços ?
Entre em contato.

Contato

Av. Paulista 807

São Paulo, SP - 01311-000

​Tel: (11) 99999-6681

Email: ​contato@tothbe.com.br

Social

  • Grey Instagram Ícone
  • Grey Facebook Ícone
  • Ícone cinza LinkedIn
  • Cinza ícone do YouTube
  • WhatsApp

© 2020 TothBe. Design by Raissa Liebmann.