Blog

Inserido em: 15/02/2020

Segurança e a Falsa sensação de Segurança

Falsa sensação de Segurança

Um dos maiores desafios das organizações nos dias de hoje é manter a segurança de suas informações! Mas o maior inimigo das empresas, não são os “hackers”, “crackers”, ou mesmo a concorrência! o pior inimigo das organizações, são elas mesmas.

Com o número de incidentes de segurança aumentando a cada dia, a preocupação das empresas com a proteção de seus dados e informações também teve um crescimento exponencial nos últimos anos.

Mas como podemos afirmar que o pior inimigo da segurança das empresas são elas mesmas?  – Quando falamos em Segurança da Informação, devemos primeiramente entender o que ela é e o que ela abrange.

A Segurança da Informação é composta de processos, procedimentos e controles para mitigar riscos voltados aos dados e informações que possam impactar negativamente em seu negócio; para isso, a Segurança da Informação abrange no mínimo:

  • Segurança Física do Ambiente.
  • Segurança Organizacional.
  • Segurança Administrativa.
  • Segurança Jurídica.
  • Segurança em Recursos Humanos.
  • Segurança em Tecnologia da Informação.
  • Contrainteligência

Partindo do conceito que a segurança da Informação é muito mais do que apenas a Segurança em Tecnologia, entendemos agora que a falsa sensação de Segurança, é o fator que impede que as empresas tenham uma segurança efetiva.

 

Lei Geral de Proteção de Dados Pessois – LGPD

 

Com o advento da nova lei geral de proteção de dados, a qual está em sua Vacatio legis e terá sua efetividade em Agosto/2020,  a Segurança voltou ao centro das discussões nas empresas.

Abrangendo empresas de todos os portes e setores e com multas de 2% sobre o faturamento do ano anterior da empresa (Por infração – com limite de até 50 milhões em multas), a LGPD trouxe em voga a importância da Segurança da Informação, além demonstrar que os cuidados com os dados, vão muito além da tecnologia, como podemos perceber abaixo:

Art. 1º “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais..”.

Art. 46. “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais”.

 

Ti vs Segurança da Informação 

 

Quando falamos em falsa sensação de Segurança, o quesito TI vs SI é a questão principal a ser abordada.

Confundindo por muitas organizações, TI (Tecnologia da Informação) e SI (Segurança da Informação), são duas áreas totalmente distintas, sendo que ambas se complementam, assim como a Segurança da Informação e Recursos Humanos, Jurídico, Segurança Física, etc. A Segurança da Informação complementa todas estas áreas, ao ponto de ser praticamente inviável sua efetividade, dentro de organizações que não possuam estes setores, inclusive o setor de TI.

A área da Segurança da Informação ligada a tecnologia, é denominada Cyber Segurança, a qual tem como objetivo:

  • Atuar na gestão de Risco de Tecnologia da Informação.
  • Apontar as fragilidades em sistemas, aplicações ou mesmo em procedimentos adotados pela TI.
  • Apoiar o time de TI, apontando as melhores contra medidas e controles para mitigar os riscos para a organização.

Como visto, a área de Cyber Segurança atua juntamente com o setor de TI das organizações, para que cada um, com suas respectivas funções, habilidades e expertises, possam  auxiliar a empresa a desenvolver sua maturidade em Segurança.

 

A Segurança vs Imagem da Organização

 

O foco da Segurança vai muito além da proteção à perda de dados, vazamentos ou perdas financeiras, a Segurança tem como objetivo a proteção da imagem da empresa perante o mercado; vamos para um breve exemplo:

Um dos objetivos da Cyber Segurança, é buscar falhas e brechas em sistemas, aplicações ou serviços, que possam ser utilizadas por pessoas mal intencionadas para fins de fraudes, roubo, ou outros impactos negativos a organização, através de soluções como Análise de Vulnerabilidade, Pentest ou Gestão de Risco. Normalmente o foco das empresas era se utilizar destas soluções para promover a segurança de serviços críticos ao negócio, ex: Banco de Dados, Sistemas, Aplicações, etc. hoje, estas mesmas empresas, entenderam que a imagem da empresa também está associada aos pontos críticos do negócio, ou seja, um simples site institucional, mesmo sem possuir dados sensíveis ou sigilosos, caso seja invadido por exemplo, pode levar sim a um impacto negativo ao negócio, já que os clientes/usuários não distinguem um simples site institucional do local aonde está armazenado seus dados pessoais e/ou sensíveis por exemplo.

Imagine agora este cenário dentro da nova Lei Geral de Proteção de dados por exemplo, aonde o titular dos dados (Pessoa física), pode pedir a exclusão imediata de seus dados e informações armazenados e/ou tratados pela empresa. Com certeza a empresa sofrerá um grande impacto não só a sua imagem, mas provavelmente, financeiro.

 

Mas somente a Cyber segurança já é o suficiente?

 

A resposta para esta pergunta, é muito simples: Não! Este também é um ponto aonde as empresas acabam entrando em uma falsa sensação de Segurança. As informações das organizações podem ser armazenadas e/ou tratadas em ambientes aonde a Cyber Segurança não alcança, segue alguns exemplos de incidentes:

  • Incêndio em ambientes críticos da empresa.
  • Roubo de servidores.
  • Vazamento de informações, através da comunicação verbal.
  • Espionagem comercial.

Todos estes exemplos, são de incidentes não cobertos pela Cyber Segurança, mas que são de responsabilidade da Segurança da Informação.

A área de Segurança da Informação, deve ser um setor independente dos demais (Inclusive da TI), com uma visão crítica sobre o negócio. Por este motivo a maioria das organizações contratam empresas especializadas para suprir esta necessidade.

Pensando nisto, a L4S Segurança da Informação atende todas as áreas da Segurança da Informação, incluindo: Segurança em Recursos Humanos, Segurança Jurídica, Segurança Cibernética, Contrainteligência, Segurança física, entre outras áreas pertinentes a segurança da Informação. Atuamos em conjunto com todos os setores da empresa, afim mante-la em compliance com leis e normas que se fizerem necessárias, auxiliando assim, na gestão de riscos e no alcance dos objetivos do seu negócio.

 

 

 

Autor: Marcos Oliveira.

 

 

 

 

 

 

 

Voltar

Compartilhe no WhatsApp
Desenvolvido por Across | Política de Privacidade