Quando o assunto envolve dados de negócio, qualquer conversa ou projeto precisa, necessariamente, passar pelo crivo da confidencialidade, integridade, disponibilidade e autenticidade, ou seja, todos os princípios básicos da segurança da informação. Isso não apenas por uma questão de regras, normas, multas e legislações, mas pela responsabilidade de garantir que tais dados sejam acessados apenas por pessoas autorizadas.
Dentro de uma organização, profissionais de todos os níveis hierárquicos devem ser treinados e conscientizados para atuarem como guardiões da informação. Mas, claro, não dá para negar que, dentro da estrutura, os grandes responsáveis por esse zelo são os profissionais de TI e SI, que – pelo bem do negócio – devem ser capazes de prontamente responder pelo menos oito perguntas sobre segurança:
1. Qual é o plano de segurança da informação da empresa?
Toda organização precisa ter um plano claro, objetivo e possível de ações que precisa executar em segurança da informação. Assim, fica mais fácil defender o budget do projeto diante do board da companhia. É recomendado que esse plano contemple:
- Métricas universalmente aceitas, como PCI, Bacen 4658 e LGPD, além daquelas que indicam boas práticas, como ISO 27000, NIST e CIS;
- Frameworks dispostos em uma régua de nível de maturidade, já que, juntos, todos são capazes de medir o nível de governabilidade e atuação da empresa em segurança da informação; e
- Apetite de risco da organização, com informações do status atual e potencial.
2. Quais riscos ameaçam a segurança da informação da empresa?
Novos ataques surgem com bastante frequência. Mas, entre eles, você sabe quais oferecem riscos especificamente para o seu negócio? Além das ameaças externas – por meio de hacker ou alguma outra atividade que esteja tentando lucrar com as informações da companhia -, é preciso mapear também os riscos internos, que podem ser espiões infiltrados ou colaboradores mal-intencionados ou mal-treinados. Esses riscos podem ser mitigados com um círculo virtuoso realizado nas aplicações, na infraestrutura e na segurança da nuvem. Ele consiste em:
- Identificação desses riscos,
- Priorização de tratamento das vulnerabilidades,
- Remediação efetiva dos gaps – da análise à reação – e
- Revisão contínua desse processo, que deve ser automatizado e gerenciado de perto.
3. Na estrutura de TI, há zonas de superposição?
Durante a vida da organização, é comum que se adquira diferentes tecnologias de fornecedores e desenvolvedores distintos, para finalidades particulares. Quando essas aquisições não são planejadas e bem gerenciadas, pode acontecer de existir zonas de superposição, ou seja, você adquire duas tecnologias, sendo uma para executar a função A e outra para a B, sem se dar conta de que apenas uma delas daria conta de executar os dois trabalhos. É possível evitar essa situação com duas precauções:
- Fazer uma avaliação do mapa tecnológico de segurança da informação, tanto do ponto de vista de performance quanto sob a ótica orçamentária de custo e benefício; e
- Dar preferência para a negociação com parceiros de tecnologia especializados e consultivos, aqueles que entregam o que sugerem o que o seu negócio precisa e se mantém atualizado sobre as novidades tecnológicas por meio do contato com empresas e vendors, da participação em conferências e atividades educacionais e da constante avaliação de boas práticas do mercado, de produtos e de benchmarks.
4. Na companhia, quem é o responsável pelas ações de cibersegurança?
A cibersegurança é um componente tecnológico, então não é errado que a área seja subordinada a um departamento de infraestrutura de TI ou tecnologia da informação. Porém, considerando o componente risco, é mais estratégico que a área fique sob a responsabilidade do departamento de compliance da empresa, mas desde que haja a cultura do compartilhamento de informações em prol do todo da operação. Três bons motivos justificam essa ação:
- A área de compliance mantém diálogo direto com os líderes de negócio;
- É a garantia de que todo projeto lançado internamente tenha a segurança da informação como pré-requisito, garantindo a proteção e a estabilidade dos ambientes digitais;
- Um projeto acompanhado pela área de cibersegurança desde o início beneficia o negócio com baixos custos diante de possíveis gastos com remediação de problemas.
É importante lembrar que a LGPD determina que exista um encarregado de dados, conhecido como Data Protection Office (DPO), com capacidade de representação e assinatura dentro da empresa. Já as demais normativas de segurança preveem que as companhias tenham um plano de segurança claro, oficial e aprovado pelo conselho de administração ou um grupo competente.
5. É possível otimizar o trabalho da equipe interna de TI?
Em geral, as companhias têm operado com equipes bastante enxutas, em todas as áreas para cumprir a mensagem de ordem: fazer mais com menos. Se esse é o caso do seu negócio, em se tratando de cibersegurança, nossa recomendação é a seguinte:
- Mantenha no time interno as posições estratégicas de cibersegurança, como as gerenciais e de coordenação, com profissionais que tenham visão estratégica das atividades e das funções essenciais de segurança da informação; e
- Considere utilizar um parceiro de serviços gerenciados que possa ajudar a otimizar a estrutura e atuação para que, nessa junção de forças, os gestores tenham mais dados para fazer uma defesa contundente de cibersegurança diante do seu conselho de administração.
6. Todos os colaboradores têm plena consciência dos riscos cibernéticos que correm e como eles podem impactar negativamente nos negócios?
Conscientizar e treinar a equipe interna é um dos principais fatores para garantir a privacidade e proteção de dados. O assunto deve ser tratado internamente, no dia a dia e por treinamentos formais, de forma que seja incorporado ao DNA da companhia. Essas capacitações devem contemplar explicações e debates sobre riscos, ameaças, direitos, deveres, regulamentações vigentes e boas práticas.
Obviamente, aqui, nos referimos a profissionais de todos os níveis hierárquicos, tendo em vista que os dados têm circulado de uma maneira cada vez mais ampla dentro das organizações. Mas, não podemos esquecer também de ter um olhar atento ao maior risco cibernético do seu negócio: o bystander. Trata-se daquele profissional responsável pela tomada de decisão que não se posiciona no momento adequado e de forma eficiente, mesmo após ser informado dos riscos de não decidir ou visualizar alguns indícios de que algo de errado está prestes a acontecer.
7. Entre os profissionais que estão em home office, todos trafegam em uma rede segura e por meio de dispositivos protegidos?
A nuvem é a grande aposta para o trabalho remoto mais eficiente. Mas não é só isso. O trabalho remoto exige alguns cuidados adicionais com relação à cibersegurança. Entre eles, recomendamos que:
- Os funcionários só acessem a rede corporativa por meio de dispositivos homologados pela área de TI da empresa;
- Toda conexão remota seja realizada por uma VPN (Rede Virtual Privada);
- O uso de múltiplos fatores de autenticação seja uma regra;
- Os dados críticos do negócio sejam criptografados;
- Todos os profissionais sejam orientados a evitar deixar as máquinas desbloqueadas ou usar dispositivos de terceiros.
Considerando a LGPD, qual é o estágio de adequação da empresa?
A Lei Geral de Proteção de Dados (LGPD) já está em vigor. O seu negócio, a sua estrutura, os seus processos e a sua equipe estão em perfeito alinhamento com ela? Se não, o que falta e quais são os planos e prazos internos para estar em compliance com a norma? Nessa investigação, não esqueça de contemplar pontos importante, como conversas com a área jurídica, avaliação dos impactos da lei nas áreas de marketing e vendas, entendimento sobre o conceito dados sensíveis e os direitos dos titulares das informações, entre tantos outros pontos.
Tecnologia é o coração de qualquer organização que deseja se manter competitiva, independentemente do porte e do segmento. Mas as ferramentas – mesmo as mais inovadoras – só serão eficientes se o quesito segurança da informação for considerado na esteira das ações. Nós sabemos como auxiliar o seu negócio nessa transformação. Vamos agendar uma conversa?
