Skip to content

A importância de estar atento à Segurança da Informação na era da Transformação Digital

Uma pesquisa chamada Cost of Data Breach Study 2016, realizada pela IBM e o Instituto Ponemon, mostrou que o Brasil é líder na vulnerabilidade de dados entre 12 países que participaram do estudo. Isso nos mostra que ainda há a necessidade das empresas brasileiras colocarem a Segurança da Informação como prioridade nos seus processos, garantindo integridade, confiabilidade e a disponibilidade dos dados de forma robusta e segura.

Apesar de o tema ser técnico, é preciso que todos os colaboradores estejam atentos às políticas de segurança, uma vez que o crescimento disruptivo da tecnologia traz como consequência, de forma indireta, possíveis ataques cibernéticos que se tornam cada vez mais inteligentes com o passar do tempo.

Nesse contexto, como as organizações devem instruir seus colaboradores? E como adaptar-se à LGPD em conjunto com as constantes inovações que vivenciamos atualmente? Para sanar todas as suas dúvidas, conversamos com Thauan Santos, Cyber Security Consultant na PRIDE Security e Thiago Rolemberg, professor da Live U. Confira e proteja seus dados com excelência!

1 - Toda organização, independente do porte, precisa destinar uma verba para a proteção dos dados? Caso contrário, a partir de qual momento é necessário estar atento à Segurança da Informação?

Thauan: Sim e não! Porque muitas empresas, principalmente as menores, não têm verbas que possam ser destinadas à Segurança de Dados, algo que eventualmente pode deixar tonar o modelo de negócios da empresa inviável. Entretanto, isso pode ser contornado com uma maior atenção a Segurança da Informação de uma forma geral e abrangente. Em outras palavras, digo que a segurança deve ser pensada desde o começo, similar a quando você abre um negócio físico, na compra de alarmes, câmeras de monitoramento, sistema de controle de incêndios, etc. A Segurança da Informação deve seguir essa mesma abordagem. Do momento em que as informações são coletadas, onde e como são armazenadas, quem e quando podem acessá-las devem ser previamente avaliados, levando-se em conta o valor que as informações representam para a empresa (tanto num sentido de Lucro, quanto num sentido de Custo, caso elas sejam vazadas e a organização venha a ser multada por isso.)

Thiago: Vivemos em um mundo cada vez mais tecnológico. Se pensarmos em empresas digitais, mesmo a que tem um faturamento baixo, pode ter um numero grande de clientes. Logo na minha visão não importa o tamanho da empresa, todas precisam designar uma verba para proteção dos mesmos. Os dados de uma empresa são extremamente valiosos, pode ajudar a empresa a direcionar sua estratégia a qualquer momento, logo como não proteger seu bem mais precioso?

2 - Apesar do crescimento disruptivo da tecnologia, ainda é comum ouvirmos sobre ataques cibernéticos de larga escala, que podem comprometer informações de milhares de usuários. Por que as organizações ainda estão tão suscetíveis a ataques? E qual o cenário para os próximos anos?

Thauan: Devido à falta de legislações e regras para o controle e proteção de dados, as organizações brasileiras sempre viram a segurança como um “custo” e nunca como um investimento, uma vez que sempre que as informações são comprometidas, as empresas eventualmente têm algum impacto na imagem, mas que logo todos esquecem e a vida segue, então, a mentalidade era de que se as informações fossem vazadas, as empresas não seriam punidas ou não sofreriam grandes perdas, levando a segurança da informação para um patamar de “investimento opcional”.

Agora com as leis de proteção de dados (GDPR, LGPD, etc.) as empresas passam a ter uma série de obrigações legais e multas relativamente altas. Essa obrigação tende a forçar as empresas a se preocuparem e priorizarem cada vez mais a Segurança da Informação. Então o cenário para os próximos anos é que as empresas passem a ver segurança como um investimento, e com isso aumentem o nível geral de segurança que vemos hoje, o que poderá potencialmente reduzir os ataques em larga escala que presenciamos diariamente.

Thiago: Acredito muito que o ponto não é dizer crescimento disjuntivo da tecnologia, mas sim o mundo cada vez mais conectado não importando em qual tecnologia, smartphones, airphones, wearables e etc. Outro ponto importante, do mesmo jeito que as empresas passam a usar a tecnologia para aumento de negócio, você vêtambém aumento de vulnerabilidades e com isso o aumento de ataques. Sobre o futuro cada vez mais o que se vê em profissionais do futuro, é o de profissionais ligados a cybersegurança. Eu acredito muito que os ataques vão aumentar ao mesmo tempo em que as empresas serão mais digitais e com isso esse profissional será mais requisitado do que nunca.

3 - Além dos softwares e hardwares específicos para a preservação dos dados, qual o papel dos colaboradores nesse processo? Quem é responsável pela disseminação das boas práticas e qual a periodicidade disso dentro da organização?

Thauan: Um lema que nós temos na área de Segurança da Informação, é que o atacante irá sempre procurar o elo mais fraco, e o elo mais fraco é sempre o ser humano. Muitas empresas, no mundo inteiro, investem quantias esmagadoras de dinheiro em tecnologias e soluções de segurança, mas algumas delas acabam esquecendo-se de investir em capital humano, treinamento, capacitação e conscientização dos colaboradores. Isso cria um cenário no qual um agente malicioso consegue comprometer toda a organização explorando uma falha humana, como por exemplo, um e-mail com anexo malicioso (phishing) acompanhado de uma mensagem que supostamente vem de alguém com cargo mais alto na hierarquia da empresa, fazendo com que o colaborador se preocupe com “manter seu emprego, atendendo ao suposto pedido do superior” ao invés de se preocupar com a procedência da mensagem.

Muitas falhas de segurança acontecem por causa de uma cultura ultrapassada, mas que ainda está presente no mercado corporativo, que é dar mais importância para títulos e cargos, do que para o que realmente importa, como a eficiência, resultados e claro, a segurança, que deve vir sempre em primeiro lugar.

Thiago: Ao meu ver todos os colaboradores da empresa são responsáveis pelos dados, logo a empresa precisa cada vez mais reforçar a importância e o cuidado que cada profissional tem que ter, ter comunicados claros, mostrar a importância dos contratos de compliance serão cada vez mais importantes. A lei de proteção Europeia -General Data Protection Regulation (GDPR) - criou o papel do DPO (Data Protection Officer), em que esse personagem será responsável por todos os dados além de disseminar a cultura da proteção e a utilização desses dados.

4 - A LGDP, que entrará em vigor a partir de agosto desse ano, demandará a análise e revisão dos processos de Segurança da Informação nas empresas e agentes de tratamento. Na prática, quais serão as adaptações exigidas ao profissional de TI? Quais serão as principais mudanças?

Thauan: As principais adaptações aos profissionais de TI serão em relação ao comportamento e abordagem que deverão tomar em relação à segurança das informações que trabalham diariamente. Muitos profissionais não têm uma visão mínima de segurança, tudo que é feito na área de TI adota uma abordagem “otimista”, na qual você sempre espera que as coisas funcionem do jeito que você pensou.

Isso deverá mudar para uma abordagem de desconfiança, na qual os processos serão pensados de uma forma em que o usuário é sempre malicioso e que as informações vindas de ambientes externos são sempre inválidas ou que não devem ser confiadas.

Com isso, as empresas passarão a tratar melhor os dados que processam e armazenam e os profissionais de TI que estão diretamente ligados a essas informações passarão a ter uma abordagem de maior responsabilidade com os processos e informações que trabalham no dia a dia.

Thiago: Não acredito na adaptação somente ao profissional de TI, mas em toda a empresa para todos os funcionários. Como comentei em outra resposta, a utilização dos dados é de responsabilidade de todos. Lógico que alguns profissionais de TI sofrerão mais, porque hoje muitos usam os dados de produção para trabalharem e passarão a usar esses dados mais criptografados. Eu acredito que essa será uma das grandes mudanças.

5 - A Transformação Digital é um processo de mudança que, de forma inevitável, exige atenção dos gestores de segurança. Nesse contexto, como esses profissionais devem se preparar para inovações constantes e ainda proteger de forma mais segura possível o alto volume de dados?

Thauan: O principal ponto chave nesta situação é a perspectiva que este profissional tem sobre a área que está gerenciando. A tendência é que esses profissionais exerçam ainda mais responsabilidades sobre as áreas que comandam, a ideia é que com maior responsabilidade nas costas, as pessoas passem a planejar mais e reagir menos. Não há uma formula mágica para se adaptar às mudanças constantes neste setor, mas a solução para não ficar para trás é o planejamento.

Planejar, implementar, coletar feedbacks dos resultados e planejar novamente, num sentido de integração e melhoramento contínuo de processos e tecnologias. Isso sem dúvidas poderá acabar com a maioria dos problemas de segurança que enfrentamos hoje.

Thiago: Sem dúvidas que a Transformação Digital requer muita atenção de todos os gestores, mas  é importante ressaltar que a Transformação Digital não se trata de uma tecnologia específica, e sim de uma mudança cultural, em que todos passam a fazer parte desse movimento. O gestor de segurança precisa estar envolvido desde o início da transformação e como estamos falando de cultura, a parte de segurança também precisa acompanhar desde o início.

Comments

Fale com a gente no WhatsApp