Publicações

Segurança da Informação, um risco igual para todas as empresas

por Daniel Gobbi Costa em 09/11/2016

As pessoas são chave para o funcionamento dos sistemas estabelecidos pelas empresas, onde a segurança da informação não é uma exceção. Neste cenário os riscos são gerados por ações ou omissões e um acompanhamento através de indicadores básicos poderá servir para que as empresas determinem uma política interna de segurança, garantindo maior conformidade aos processos.

 

Um recente estudo realizado pela empresa CISCO no ano de 2015, com aproximadamente 12.048 pessoas de diversos setores da economia, demonstrou o comportamento dos usuários frente à segurança da informação, tanto dentro quanto fora das empresas, enfocando-se especialmente no “nível de aderência às políticas de segurança corporativa e no conhecimento ou desconhecimento das principais ameaças”.

Dentro do estudo acima apresentado e nas principais conclusões apontadas, como ameaças internas para as empresas, foram citados primeiramente o relacionamento entre as pessoas como sendo um elo fraco dentro da cadeia de segurança da informação, convertendo-se em um risco cada dia mais crescente, ainda mais quando existe a falta de consciência ou desconhecimento das ameaças, seguido sem segundo lugar pelas tentativas de acessos de terceiros (hackers).

Ainda no resultado apresentado por este estudo, foi percebido que as pessoas (usuários) esperam que os mecanismos implementados pela empresa se ocupem de garantir plenamente a segurança no processo. Neste cenário foi verificado que muitas empresas não possuíam políticas de segurança com o rigor necessário, e assim como consequência, algumas pessoas decidem, pela falta de controle, por não cumprir com tais políticas, e utilizam de forma frequente as redes corporativas para a realização de transações pessoais, como gestão de contas bancárias, compras on-line, reservas de viagens ou ainda pelo uso de redes sociais, facilitando desta maneira o acesso às diversas portas de entradas e corrompendo em muitos casos os dados corporativos confidenciais.

Bem, independentemente de serem internas ou externas, todas as ameaças causam riscos para as empresas e estas podem ser apresentadas de várias formas, desde um compartilhamento de senha, da espionagem, do uso da tecnologia para obtenção de informação confidencial que resulta em furto de informação ou ainda em processos não intencionais como um simples erro no uso de um aplicativo ou ferramenta até uma maior ruptura na estrutura de segurança da informação, como a má configuração dos servidores ou falta de programas de segurança dos dados. O necessário é que as empresas efetuem um rigoroso controle dos recursos, como de forma está definido pelo Sistema de Gestão de Segurança ABNT NBR ISO/IEC 27001:2013, que deveria de ser utilizado como diretriz para todas as empresas (das pequenas às grandes) e ainda com a realização frequentes auditorias internas/externas nas estruturas e sistemas de informação.

Salientamos ainda que a segurança da informação não deve ser considerada como uma perturbação ou ser demasiadamente onerosa para a empresa, pois existem casos em que os custos se tornam maiores que as ameaças. Uma decisão deve ser tomada e fundamentada mediante analises qualitativas de riscos. Somente então a funcionalidade e a eficácia das medidas preventivas e corretivas poderão ser avaliadas para a redução, transferência, aceitação ou eliminação dos riscos no processo.

O custo para manutenção do processo de segurança da informação é efetivamente alto, porém o não investimento poderá acarretar um custo ainda maior, com a ruptura do processo onde resulte na perda de negócios e reputação. Assim a prudência diz para as empresas investirem em segurança.

Por fim, como as pessoas são também um dos maiores riscos para o processo, recomendamos o treinamento e a conscientização das pessoas, o que poderá resultar no melhor investimento para a empresa – porém cabe registrar que este deverá ocorrer desde a formação básica os usuários até a qualificação do pessoal de informática em tecnologias preventivas.

Voltar