Como proteger suas informações em 5 passos

Uma organização funcional inevitavelmente produz uma grande quantidade de informações sensíveis. Aprenda em cinco passos como manter suas informações seguras em uma era de negócios virtuais. 
A tecnologia que as empresas usam para suportar seus processos, rodar seus sistemas e integrar seus colaboradores, é a mesma que gera informações valiosas para si e que pode despertar interesse em pessoas alheias. 
Essas informações, nas mãos certas, ajudam a impulsionar a corporação rumo a um futuro promissor, tornando-a mais competitiva, eficiente, gerando melhores soluções para o mercado. Como a TI deve ser fundamental nesse processo, é assunto de outro post
Por outro lado, essas mesmas informações podem cair em mãos erradas e proteger-las é um grande desafio. De um lado, há hackers profissionais e métodos muito engenhosos de ataques que visam desde a obtenção de dados valiosos até tirar serviços dor ar. Ninguém está realmente a salvo de ataques virtuais a menos que viva completamente desplugado da grande rede (isso inclui desabilitar todas as conexões de dados do smartphone como wifi, 4G e bluetooth). 
Há ainda mais um desafio para as empresas, em maior ou menor intensidade, que são as regulações. Empresas ligadas a atividades financeiras ou que pertencem a grandes conglomerados internacionais, por exemplo, são mais reguladas e precisam implementar uma governança mais forte que a maioria das demais empresas
Dito isso, vamos aos passos que devem ser seguidos a fim de obter um nível minimamente adequado de segurança das informações da sua empresa. 

1. Conheça e siga as leis e regulações às quais a empresa deve estar submetida. 

Há uma série de leis que podem impactar um negócio, a depender do ramo de atividade. Leis do direito do consumidor, LGPD (Lei Geral de Proteção de Dados) e regulações diversas como Lei Sabanes-Oxley, podem impactar diretamente no ciclo de vida da informação dentro de uma organização. Nesse caso, você precisa saber quais delas se aplicam. Cada uma lei, norma ou regulação, traz consigo um conjunto de medidas que devem ser adotadas para que a empresa esteja em conformidade. Isso por si ja é a base que deve ser utilizada para a implementação da política de segurança.

2. Adote uma boa metodologia de mercado

Você pode tentar descobrir sozinho o que precisa ser feito. Mas entenda que é uma abordagem, por si só, insegura. A maneira mais adequada é buscar uma certificação em segurança reconhecida internacionalmente. Há pelo menos três bons motivos para seguir esse caminho. 

  1. Você tira proveito de uma metodologia desenvolvida por especialistas, amplamente testada e frequentemente atualizada. 
  2. Você conta com um “selo” (certificação) que atesta, para todos os fins, que a empresa está em conformidade com as melhores práticas de segurança da informação. 
  3. Uma vez obtida a certificação, a organização já está em conformidade com a maioria das regulações existentes.

Vou citar aqui algumas das principais certificações de segurança que você pode adotar na sua organização:

Essas são algumas das mais importantes e adotadas. Com uma linha de busca no Google você pode encontrar diversas outras. 

3. Seja transparente e assertivo

Todos na empresa devem entender as regras. Devem saber o que é armazenado, coletado, auditado e apagado. Assim, há maior possibilidade de engajamento da equipe às normas da organização.

4. Na dúvida, opte pelo que gere menor risco

Sempre pode existir dúvidas na implementação das políticas de segurança. Muitas vezes pode não haver uma definição clara de “até onde vai” uma determinada ação. Quando isso ocorrer, use o bom senso visando sempre o que traz menor risco. Se você tem dúvidas sobre quais dados coletar do colaborador, colete apenas o que julga realmente relevante. Se tem dúvidas sobre uma política de backup, imagine o pior cenário (uma pane no datacenter que faz com que você perca seu armazenamento principal) onde você precisa recuperar seus sistemas. Quais são os dados necessários para isso? Tenha cópia deles. Lembre que a Lei de Murphy trabalha incessantemente contra nós. 

5. Limite os acessos

Não exponha seus dados desnecessariamente, nunca. Desde o compartilhamento dos arquivos em rede ao acessos dos sistemas da empresa, cada usuário deve ser nomeado de forma única e deve ter acesso estritamente ao que lhe é necessário para desempenhar sua função corretamente. Se um usuário da área de RH não precisa ter acesso aos sistemas ou arquivos do departamento financeiro, é um risco desnecessário expor esses dados a ele. Outro exemplo bastante simples é o acesso à internet. Ela é a principal fonte de informação, assim como a principal porta de acesso a todo tipo de praga digital e ataques cibernéticos. Portanto aplique o máximo de restrições que puder, sem no entanto prejudicar a produtividade do time. 

Segurança é um Diferencial Competitivo

Clientes não vêem com bons olhos empresas que se mostram incapazes de manter dados de seus clientes seguros. Estudos mostram que praticamente metade dos clientes deixam de fazer negócios com empresas que sofrem incidentes que resultam em vazamento de dados. Do ponto de vista de gestão interna, uma crise causada por um incidente de segurança pode causar um grande dano de imagem e financeiro para o negócio. Multas regulatórias e processos movidos por colaboradores e clientes podem custar caro, afetar a imagem, causar a perda de uma fatia do mercado ou até mesmo causar a morte de uma organização. O custo da adoção de uma boa governança se mostra muito atrativo frente ao risco iminente da sua não adoção. Melhor prevenir ou remediar? Apenas uma pergunta retórica. 

Fontes
(Artigo Original) http://tiny.cc/k6vwdz
(LGPD) http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
(Gartner) http://tiny.cc/i5vwdz
(SOX Wikipedia) https://pt.wikipedia.org/wiki/Lei_Sarbanes-Oxley
(Proof) https://www.proof.com.br/blog/certificacoes-seguranca-da-informacao/
(Lei de Murphy Wikipedia) https://pt.wikipedia.org/wiki/Lei_de_Murphy

Edmar Sampaio
Compartilhe: