The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

As lições aprendidas com WikiLeaks: o que é, exatamente, segurança da informação?

O WikiLeaks, hoje, é uma história muito popular por um bom motivo: não é muito comum que os documentos confidenciais do governo mais poderoso do mundo sejam publicados na Internet. E alguns desses documentos são, no mínimo, constrangedores.

Não vou escrever sobre a legalidade, ou ilegalidade, da publicação dessas informações pelo WikiLeaks, se essas informações deveriam ter se tornado públicas devido ao interesse do público ou não, ou sobre o que vai acontecer com o fundador do site (no momento em que escrevo este artigo Julian Assange está sob custódia) etc.

A questão é: se o WikiLeaks for encerrado, um novo WikiLeaks surgirá. Em outras palavras, a ameaça de vazamento de informações para o público é cada vez maior. (A propósito, antes de ser preso, Julian Assange tinha anunciado que iria publicar informações importantes sobre um banco dos EUA e suas principais negligências.)

Quero falar aqui sobre o ponto de vista corporativo: e se nós fôssemos o próximo alvo do WikiLeaks ou de seu clone? Como garantir a segurança de nossas informações e prevenir os danos de um incidente tão grande?

Exemplo simples

blogpost-banner-bia-pt

Mas como funciona a segurança da informação na prática? Vamos tomar um exemplo simples: você, muitas vezes, deixa seu laptop em seu carro, no banco de trás. Existem grandes possibilidades de que, mais cedo ou mais tarde, ele seja roubado.

O que você pode fazer para diminuir esse risco? Primeiro de tudo, você pode criar uma regra (escrevendo um procedimento ou uma política) que estabeleça que laptops não podem ser deixados em um carro sozinho, ou que os carros devem ser estacionados onde exista algum tipo de proteção física. Segundo, você pode proteger suas informações criando uma senha forte e criptografando seus dados. Além disso, você pode exigir que seus funcionários assinem uma declaração dizendo que eles são legalmente responsáveis pelos danos que possam ocorrer. Mas todas essas medidas poderão permanecer ineficazes se você não explicar as regras para seus funcionários através de um breve treinamento.

Então, o que você pode concluir a partir desse exemplo? A segurança da informação nunca é uma medida única de segurança, é sempre um conjunto de medidas. E as medidas não estão apenas relacionadas à TI, mas envolvem também questões organizacionais, gestão de recursos humanos, segurança física e proteção jurídica.

O problema é que esse foi um exemplo de um único laptop, sem nenhuma ameaça interna. Agora considere o quão complexo é proteger as informações de sua empresa, onde as informações não são arquivadas apenas nos seus PCs, mas também em vários servidores; não só nas gavetas de sua mesa, mas também em todos os seus telefones celulares; não somente em pen drives, mas também nas cabeças de todos os funcionários. E você pode ter um funcionário muito insatisfeito.

Parece uma tarefa impossível? Difícil, sim, mas não impossível.

Como abordar o problema

O que você precisa para resolver esse complexo problema é uma estrutura. A boa notícia é que essas estruturas já existem na forma de normas. A mais conhecida é a ISO 27001, a principal norma internacional sobre gestão da segurança da informação, mas existem outras: COBIT, NIST SP série 800, PCI DSS etc.

Neste post, meu foco será a ISO 27001, pois acho que ela fornece um boa base para a construção do sistema de segurança da informação, pois oferece um catálogo com 133 controles de segurança, além da flexibilidade de aplicar apenas os controles que são realmente necessários para seus riscos. Mas sua melhor característica é que define uma estrutura de gestão para controlar e direcionar as questões de segurança, fazendo com que a gestão da segurança se torne parte da gestão global da organização.

Em resumo, essa norma permite considerar todas as informações de diversas formas e todos os riscos, além de fornecer um caminho para solucionar cuidadosamente cada possível problema e manter suas informações seguras.

Consequências para os negócios

As empresas devem ter medo de que suas informações vazem para o público? Se estão fazendo algo ilegal ou antiético, certamente deveriam.

No entanto, para as empresas que operam legalmente, se desejam proteger seus negócios, elas não podem pensar apenas em termos de retorno sobre investimento, participação no mercado, competência específica e visão de longo prazo. Sua estratégia também deve levar em conta as questões de segurança, pois ter informações desprotegidas pode custar-lhes muito mais do que, por exemplo, um lançamento fracassado de um novo produto. Por segurança, me refiro não só à segurança física, porque isso simplesmente não é mais suficiente – a tecnologia possibilita o vazamento de informações através de vários meios.

O que é necessário é uma abordagem abrangente da segurança da informação. Não importa se você usa a ISO 27001, o COBIT ou alguma outra estrutura, o importante é fazer isso de forma sistemática. E isso não é um esforço isolado, é uma operação contínua. E, sim, isso não é algo que sua equipe de TI pode fazer sozinha; toda a empresa tem de participar, começando pela diretoria executiva.

Para saber mais sobre segurança da informação, confira este treinamento on-line gratuito ISO 27001 Foundations Course.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.