Como prover segurança digital no Brasil? O assunto tem sido pauta em reuniões de profissionais de TI e SI, mas também de líderes de negócio. A preocupação se deve ao fato de dados como os mapeados pela Kaspersky e divulgados pelo Canaltech dando conta de que somos o segundo país mais atacado pelo grupo de ransomware BlackCat. Informações como essa são um evidente reforço de que tão importante quanto ter as melhores tecnologia é ter uma gestão da segurança da informação adequada. E é sobre isso que vamos falar neste post.
O que é gestão da segurança da informação
Trata-se da ação da área de segurança da informação focada em identificar, corrigir e mitigar ataques, ameaças e vulnerabilidades. Esse trabalho pode ser feito pela equipe interna ou com o apoio de um parceiro externo especializado. É um monitoramento essencial em qualquer momento da jornada de uma empresa, mas, principalmente, nessa Era que vivemos, com internet das coisas, equipes trabalhando de maneira distribuída, aumento das ameaças, profissionalização dos atacantes, aceleração da transformação digital e regras rígidas da Lei Geral de Proteção de Dados.
Três boas práticas de segurança da informação
Esse capítulo é bastante amplo e vivo. Isso quer dizer que as ações devem ser constantemente revisadas, atualizadas e, sem dúvidas, adaptadas às necessidades, aos riscos e aos objetivos do negócio. Porém, de maneira geral, três boas práticas de segurança da informação devem estar no radar da organização:
1.Conheça o nível de maturidade segurança digital da organização
Essa fase consiste em mapear de que forma, hoje, a organização está preparada para reagir a um incidente cibernético. É um levantamento de métodos, processos e tecnologias que estão à disposição e qual é o status de atualização desses recursos. Nesse mapeamento vale, ainda, mapear o histórico de ataques com suas respectivas consequências.
2. Defina o objetivo de segurança da organização
Aqui a missão é entender de que forma a segurança da informação pode beneficiar ou otimizar as ações do seu negócio. Para isso é fundamental ter conhecimento sobre quais são os ataques externos que mais ameaçam a organização em questão, bem como o apetite de risco da companhia. Aproveite para fazer também o mapeamento dos riscos internos, que podem ser espiões infiltrados ou colaboradores mal-intencionados ou mal-treinados. Esse levantamento tende a munir a área de gestão da segurança da informação com dados mais reais para a construção de um círculo virtuoso customizado nas aplicações, na infraestrutura e na segurança da nuvem.
3. Elaborar um plano de ação
Agora que você já mapeou ativos e ameaças com uma visão 360 graus, é hora de definir o plano de Gestão da Segurança da Informação em si. Comece definindo o que fazer para proteger o seu ambiente da maneira mais adequada, com métodos, processos e tecnologias. Na sequência, defina as responsabilidades pelas ações. Será necessário, por exemplo, o apoio de uma consultoria especializada, a contratação de Serviços Gerenciados? O Centro de Operações de Segurança (SOC) será próprio ou terceirizado? A lista de reflexão é grande e deve nortear as ações, com metas e prazos.
Nessa eterna dinâmica de gato e rato, entre cibercriminosos e profissionais de SI, é sempre um desafio entender como prover segurança digital no Brasil. Mas a missão fica mais possível quando a organização assume as boas práticas de segurança da informação como parte das estratégias do negócio, inclusive com o cuidado de convidar os líderes para conversas sobre transformação digital e conscientizar profissionais de todos os níveis hierárquicos para que, de alguma forma, todos se tornem embaixadores da privacidade e proteção de dados dentro e fora do perímetro da companhia,
Nós sabemos como auxiliar o seu negócio nesse e em outros desafios. Vamos conversar mais sobre isso?