Por que devo implementar a segurança da
informação no meu negócio?

Escrito por Lucas Paz

Engenheiro da computação e consultor em segurança da informação

 

Introdução

 

A segurança da informação é atualmente uma área de extrema importância para a tomada de decisões estratégicas no mundo corporativo. Aliado ao avanço tecnológico, que faz com que muitas empresas dependam cada vez mais da tecnologia da informação para o fornecimento dos serviços e apoio à atividade de comércio e indústria, outros fatores como a globalização e em especial um cenário de pandemia, fazem da segurança da informação um grande aliado na proteção dos ativos organizacionais.

Proteger ativos intangíveis através da segurança da informação maximizam a entrega das empresas, seja através da garantia de qualidade sobre os sistemas utilizados, seja na relação com todas as partes interessadas, na proteção das informações coletadas e armazenadas, dentre outros de maneira que toda a operação e as atividades de apoio possam estar seguras e não comprometam o negócio.

Atualmente, a maioria das empresas está cada vez mais dependente do uso da tecnologia da informação para o fornecimento dos serviços, em razão da facilidade de praticamente poder conectar quase tudo a internet (IoT – Internet of Things- Internet das Coisas) para executar algum tipo de tarefa remota na organização e o envio de informações para as diversas partes do mundo pelos vários meios disponíveis. No entanto, grande parte das empresas acha que só por utilizarem softwares de antivírus e firewall estão totalmente protegidas contra as ameaças externas e internas que possam afetar os sistemas utilizados pela organização e esquecem de implementar várias outras medidas que podem prevenir ou até evitar um possível ataque, invasão, indisponibilidade do serviço e vazamento dos dados.

Uma colaboração global de boas práticas de gestão organizacional permitiu que uma família de normas de segurança da informação voltada para um Sistema de Gestão de Segurança da Informação (SGSI) nas organizações pudesse ser aplicada em empesas de diferentes estruturas e executa de acordo com os requisitos do negócio e a segurança da informação exigidos pelo mercado e pela própria empresa, trazendo consigo vários benefícios.

Atualmente, alguns países do mundo já possuem leis de segurança e privacidade que abordam questões relacionadas à proteção de dados e informações que as organizações possam coletar e armazenar, assim como controles de acesso e consentimento sobre a forma de utilização dentre outros detalhes aos quais as organizações devem se atentar ao implementar medidas de segurança em busca de compliance legal e sofram punições administrativas. Porém a maioria das empresas deixa para implementar tais medidas de convergência legal na última hora ou, o que talvez seja ainda mais preocupante, implementam somente exigências voltadas para uma interpretação simplória do texto legal julgando ser o suficiente para manter a privacidade, esquecendo-se de aplicar a segurança da informação como medidas gerenciais com o intuito de assegurarem um controle capaz de prevenir e evitar possíveis ataques que, por vezes, pode levar a empresa à falência.

 

O que é a família ISO 27000?

 

A família da norma ISO 27000 trata sobre o SGSI (Sistema de Gestão da Segurança da Informação) que poderá ser implementado em qualquer tipo de organização, independente do seu tipo, tamanho e natureza. A família é composta por várias normas que complementam todo o processo do ciclo de vida do desenvolvimento do SGSI na empresa. As normas mais conhecidas são: 27001, 27002, 27003, 27005, 27007 e 27701.

A ISO/IEC 27001 tem como principal função estruturar um modelo para a implementação do SGSI na organização com o objetivo de estabelecer, implementar, monitorar, revisar, manter e melhorar o sistema aplicado de acordo com os requisitos legais, do negócio e a própria segurança da informação exigida pela empresa. Ela poderá ser executada de acordo com um escopo escolhido pela alta direção ou sobre toda a organização. Essa norma trabalha em conjunto com outras normas da família ISO 27000, as quais ajudam a complementar todo o processo de implantação do SGSI como a ISO 27002, mostrando quais são as diretrizes e princípios que deverão ser aplicados e servindo como um guia de boas práticas para a gestão da segurança da informação. Ela serve como referência na seleção dos controles que são implementados através do anexo A da norma ISO 27001.

A ISO 27003, que é um guia para a implementação ou criação de um SGSI, mostra todo o processo de aprovação e execução do SGSI na organização, indo desde a escolha do escopo até a etapa de aprovação pela alta direção e partes interessadas e possui um modelo de estrutura das políticas que serão desenvolvidas no processo de implantação.

A gestão de riscos de segurança da informação é tratada na norma ISO 27005, que tem ligação direta com a norma ISO 31000, abordando a gestão de riscos sobre os serviços fornecidos pela organização, contudo a 27005 aborda a gestão de riscos, como já citado, especificamente sob um viés diretamente relacionado à riscos que possam impactar os processos e atividades que utilizam a segurança da informação. A norma ISO 27007, que refere sobre diretrizes para a auditoria de um SGSI e a ISO 27701, que é uma norma publicada recentemente, tem como função de fornecer um modelo de implementação de um sistema de gestão de privacidade dos dados (SGPD) em conformidade com as leis nacionais e internacionais de privacidade e, caso a organização possua um SGSI já implementado, o caminho para o compliance legal torna-se mais fácil, pois à partir da implementação dos requisitos da ISO 27701, aplicará controles adicionais de segurança sobre a privacidade dos dados de acordo com o sistema de segurança da informação já implantado. Para que uma organização possa implementar um SGSI são utilizadas as normas 27001 e 27002. A ISO 27701 faz uma referência as cláusulas e controles das duas normas acrescentando apenas a privacidade dos dados, ou seja, a ISO 27701 é um complemento.

Existem mais outras normas que compõe a família da ISO 27000 como a 27004 (Guia de métricas para facilitar a gestão do SGSI), 27006 (Guia para organizações de auditoria e cerificação de SGSI), 27008 (Diretrizes para auditores sobre controles de segurança), 27011 (Diretrizes para o uso da 27002 na indústria de telecomunicações), dentre outras normas.

 

Quais os benefícios que a implementação da norma ISO 27001 trará para a minha empresa?

 

A ISO/IEC 27001 é uma norma que é reconhecida internacionalmente e além dos benefícios de ampliar a segurança da informação pela implementação do SGSI (Sistema de Gestão da Segurança da Informação) na organização, ela também vai aumentar a confiança e a segurança sobre os serviços prestados, assim como a expansão do mercado, podendo trazer clientes de outras partes do mundo.

A norma vai garantir uma melhor governança sobre a segurança da informação que é utilizada na organização, capacitando as partes envolvidas sobre as boas práticas de segurança da informação que deverão ser utilizadas, identificação dos prováveis riscos que possam afetar o SGSI implementado, ações rápidas para uma melhor tomada de decisão e o aumento da responsabilidade de gestão de topo para a segurança da informação.

Outra vantagem que essa norma fornece é a prevenção contra possíveis novas ameaças que possam surgir com o avanço da tecnologia por meio do mapeamento dos ativos, a gestão de riscos, gestão da continuidade, dentre outros controles que são aplicados pelo SGSI, evitando com que possam prejudicar o negócio.

Com a implantação do SGSI, a organização estará em conformidade com normas e leis que exigem a implementação da segurança da informação e a privacidade de dados na empresa, evitando possíveis advertências, multas e até punições administrativas.

Redução dos custos por meio da implementação da segurança da informação, na organização, através do retorno sobre o investimento (ROI – Return Of Investiments), analisando o total de custos e benefícios que a organização teve, durante um determinado período após a implantação do SGSI, verificando se o retorno foi positivo ou não. Com a entrada em vigor de leis de privacidade e o crescimento de invasões, ataques e vazamentos por cibercriminosos, a aplicação da norma ISO 27001 trará resultados positivos.

Por fim, a implementação da norma ISO 27001, na organização, aumentará o marketing e trará vantagens comerciais garantindo uma maior confiança sobre as partes interessadas (clientes, fornecedores, funcionários e parceiros) no serviço que é fornecido.

 

Quais outras normas posso estar implementando conjuntamente com a ISO 27001?

 

Como visto, a norma ISO 27001 possui outras normas que a complementam, durante a implementação do SGSI (Sistema de Gestão da Segurança da Informação) na organização, mas para que essa seja aplicada corretamente e siga de acordo com os requisitos do negócio e da segurança da informação que se deseja alcançar, é recomendado utilizar também a norma de gestão de qualidade, ISO 9001, e de gestão de riscos, ISO 31000, juntamente para que tenha uma melhor organização, gestão de qualidade e gestão de riscos sobre os serviços fornecidos. Também poderão ser incluídas mais outras normas junto com a 27001, mas isso vai depender da área em que o negócio da empresa atua.

A ISO 9001 permitirá com que seja elaborado um mapeamento geral dos ativos, processos e atividades da organização e seja implementado um sistema de gestão de qualidade (SGQ) sobre o desenvolvimento do serviço realizando o controle sobre todo o seu ciclo de vida. Essa norma ajudará na aplicação da ISO 27001, por realizar o mapeamento dos ativos, atividades e processos, agilizará mais ainda na implementação do SGSI focando apenas na segurança da informação.

A ISO 27005 possui ligação com a ISO 31000, mas é recomendado implementar a ISO 31000 na organização, pois essa vai abordar todos os serviços que são fornecidos pela empresa gerando diretrizes para gerenciar qualquer tipo de riscos que são enfrentados por ela, não sendo específico como é referenciado na ISO 27005. A implementação da gestão de risco vai facilitar com que possíveis ameaças e vulnerabilidades ao implementar o SGSI sejam encontradas e a organização já terá um plano de ação e aceitação de riscos desenvolvido.

 

Por que devo implementar a segurança da informação no meu negócio?

 

Existem vários pontos que necessitam ser identificados e analisados para que sejam verificados o porquê a organização deva implementar a segurança da informação. Isso dependerá do tamanho da empresa, a área em que atua, quantidade de informações que são processadas, trafegadas, coletadas e armazenadas, assim como a classificação delas e a sua relevância para a organização, quantidade de sistemas computacionais que possui e a importância no fornecimento dos serviços, número de funcionários e a sua função, dentre outros pontos. Para uma melhor análise e avaliação sobre a segurança da informação a ser implementada ou não, recomenda-se que seja feito um mapeamento dos prováveis riscos internos e externos sobre a segurança da informação que possam afetar o negócio da organização.

A dependência da organização com a tecnologia da informação (TI) é um dos principais pontos em que precisa ser levado em consideração a implementação da segurança da informação no negócio. Por exemplo, 60% a 80% do lucro de uma organização vem das vendas de produtos e serviços realizados no site principal da empresa e essa não implementa nenhum tipo de medida de segurança que possa prevenir ou evitar possíveis ameaças, riscos e vulnerabilidades que possam comprometer o site. Caso aconteça algum tipo de ataque ou invasão que deixe indisponível o sítio eletrônico, as informações armazenadas sobre clientes, fornecedores e funcionários sejam vazadas e a organização não tenha nenhum tipo de tomada de ação para manter a continuidade sobre as vendas dos produtos e serviços. A empresa sofrerá uma grande perda financeira a depender do tempo em que o site ficará fora do ar e as punições administrativas que serão aplicadas por essa não estar em conformidade com a lei, devido ao vazamento das informações armazenadas e não possuir um plano de ação.

Se essa organização implementasse a segurança da informação, poderia ter evitado e prevenido a indisponibilidade do site, o acesso não autorizado e o vazamento das informações armazenadas. Mesmo assim, o uso da segurança da informação não vai assegurar completamente a segurança sobre os sistemas utilizados, mas garantirá medidas e meios de gerar a disponibilidade dos serviços e a dificuldade do acesso não autorizado as informações armazenadas, mesmo que aconteça algum tipo de ataque ou invasão.

Outros exemplos que deverão ser analisados são: o uso do home office e o acesso remoto na empresa verificando as medidas de segurança da informação que possam assegurar o serviço e não comprometer o negócio; a utilização do serviço e-commerce na maioria das organizações e como manter a disponibilidade, integridade e confidencialidade, assim como os termos e condições para que se tenha a privacidade das informações coletadas e armazenadas, prevenindo e evitando contra possíveis prejuízos financeiros que possam acontecer; conscientização das partes interessadas sobre as boas práticas do uso da segurança da informação na sua função dentro da organização com o objetivo de prevenir e evitar a quantidade de ataques e invasões que utilizam a engenharia social; seguir de acordo com as leis de privacidade que estão entrando em vigor em alguns países, implementando a segurança da informação e a privacidade sobre a coleta e o armazenamento dos dados; o uso da internet das coisas (IoT – Internet Of Things) também está sendo muito utilizado pelas empresas e por ser uma área ainda nova no mundo da TI tem sido bastante explorada principalmente com relação a falhas de versão de firmware que muitos não atualizam, quantidade de portas de serviços de protocolos abertas e mais outras vulnerabilidades que podem ser exploradas; uma parte das organizações ainda utilizam softwares não originais ou crackeados, durante o fornecimento dos serviços, e isso é um risco muito grave a depender do negócio e os tipos de informações que essa possui, dentre outras situações que podem ser observadas na organização para implementar a segurança da informação.

 

Quais são os riscos que tenho se não implementar a segurança da informação na minha organização?

A perda financeira será um dos principais riscos que podem aparecer, caso a organização não implemente corretamente a segurança da informação no seu negócio. Com a entrada em vigor de leis de privacidade e a possibilidade de ataques, invasões e vazamentos de informações armazenadas nos sistemas que utiliza, aumentam as chances que essa possa sofrer com sanções administrativas, processos, perda na venda dos serviços fornecidos e até a falência.

A perda de confiança sobre o fornecimento dos serviços para os clientes e parceiros também é outro risco que pode aparecer por não estar implementando a segurança da informação no negócio, diminuindo a quantidade de clientes e parceiros na organização.
A empresa terá uma maior desvantagem comercial em cima das suas concorrentes por não estar implementando a segurança da informação e não estar utilizando-a na tomada de decisões do negócio impedindo essa de ter uma boa gestão e governança.

 

 

Por que devo implementar a segurança da informação conjuntamente com a lei de privacidade de dados?

 

Com a entrada em vigor de leis de privacidade que regulam sobre os dados que são coletados e armazenados pelas organizações sobre as partes que as compõe, a maioria das empresas está deixando para implementar em um momento em que a lei já entrou em vigor e estão esquecendo de aplicar conjuntamente a segurança da informação no seu negócio tomando advertências, punições administrativas ou até ataques e invasões por cibercriminosos. Recomenda-se que a implementação da segurança da informação seja realizada primeiro na organização para que possam ser avaliadas e executadas ações de mitigação e prevenção sobre os riscos que possíveis ameaças e vulnerabilidades possam apresentar e, caso ocorram na organização, a continuidade dos seus serviços. A segurança da informação trabalhará conjuntamente com a privacidade dos dados fornecendo relatórios e mapeamento sobre os possíveis riscos encontrados e se esses não afetarão a privacidade dos dados coletados e armazenados e de que forma pode dificultar o acesso a eles, mesmo quando acontecer algum tipo de acesso não autorizado ao local em que se encontra, e o treinamento de boas práticas de segurança sobre as partes que são responsáveis por trabalhar com essas informações coletadas garantindo uma maior segurança durante todo o processo de manipulação delas.

Essa não implementação da segurança da informação corretamente com as leis de privacidade pode trazer sérios prejuízos para o negócio levando a organização até a falência. Também é recomendado que toda a etapa de implementação da segurança da informação seja aplicada a norma ISO 27001 na empresa desenvolvendo um SGSI (Sistema de Gestão da Segurança da Informação) e aumentando ainda mais a confiança sobre o fornecimento do serviço e a prevenção sobre os possíveis riscos que poderão aparecer.

 

Conclusão

 

Com o avanço tecnológico e a criação de leis de privacidade no mundo todo, a segurança da informação está se tornando uma área que será necessária na tomada de decisões estratégicas dentro do negócio. No futuro do mundo corporativo, essa ainda será uma área obrigatória utilizada por todas as empresas evitando e prevenindo contra possíveis riscos e ameaças que possam prejudicar o seu negócio.

 

×
Entre em contato conosco!