As lições aprendidas com WikiLeaks: o que é, exatamente, segurança da informação?

O WikiLeaks, hoje, é uma história muito popular por um bom motivo: não é muito comum que os documentos confidenciais do governo mais poderoso do mundo sejam publicados na Internet. E alguns desses documentos são, no mínimo, constrangedores.

Não vou escrever sobre a legalidade, ou ilegalidade, da publicação dessas informações pelo WikiLeaks, se essas informações deveriam ter se tornado públicas devido ao interesse do público ou não, ou sobre o que vai acontecer com o fundador do site (no momento em que escrevo este artigo Julian Assange está sob custódia) etc.

A questão é: se o WikiLeaks for encerrado, um novo WikiLeaks surgirá. Em outras palavras, a ameaça de vazamento de informações para o público é cada vez maior. (A propósito, antes de ser preso, Julian Assange tinha anunciado que iria publicar informações importantes sobre um banco dos EUA e suas principais negligências.)

Quero falar aqui sobre o ponto de vista corporativo: e se nós fôssemos o próximo alvo do WikiLeaks ou de seu clone? Como garantir a segurança de nossas informações e prevenir os danos de um incidente tão grande?

Exemplo simples

Mas como funciona a segurança da informação na prática? Vamos tomar um exemplo simples: você, muitas vezes, deixa seu laptop em seu carro, no banco de trás. Existem grandes possibilidades de que, mais cedo ou mais tarde, ele seja roubado.

O que você pode fazer para diminuir esse risco? Primeiro de tudo, você pode criar uma regra (escrevendo um procedimento ou uma política) que estabeleça que laptops não podem ser deixados em um carro sozinho, ou que os carros devem ser estacionados onde exista algum tipo de proteção física. Segundo, você pode proteger suas informações criando uma senha forte e criptografando seus dados. Além disso, você pode exigir que seus funcionários assinem uma declaração dizendo que eles são legalmente responsáveis pelos danos que possam ocorrer. Mas todas essas medidas poderão permanecer ineficazes se você não explicar as regras para seus funcionários através de um breve treinamento.

Então, o que você pode concluir a partir desse exemplo? A segurança da informação nunca é uma medida única de segurança, é sempre um conjunto de medidas. E as medidas não estão apenas relacionadas à TI, mas envolvem também questões organizacionais, gestão de recursos humanos, segurança física e proteção jurídica.

O problema é que esse foi um exemplo de um único laptop, sem nenhuma ameaça interna. Agora considere o quão complexo é proteger as informações de sua empresa, onde as informações não são arquivadas apenas nos seus PCs, mas também em vários servidores; não só nas gavetas de sua mesa, mas também em todos os seus telefones celulares; não somente em pen drives, mas também nas cabeças de todos os funcionários. E você pode ter um funcionário muito insatisfeito.

Parece uma tarefa impossível? Difícil, sim, mas não impossível.

Como abordar o problema

O que você precisa para resolver esse complexo problema é uma estrutura. A boa notícia é que essas estruturas já existem na forma de normas. A mais conhecida é a ISO 27001, a principal norma internacional sobre gestão da segurança da informação, mas existem outras: COBIT, NIST SP série 800, PCI DSS etc.

Neste post, meu foco será a ISO 27001, pois acho que ela fornece um boa base para a construção do sistema de segurança da informação, pois oferece um catálogo com 133 controles de segurança, além da flexibilidade de aplicar apenas os controles que são realmente necessários para seus riscos. Mas sua melhor característica é que define uma estrutura de gestão para controlar e direcionar as questões de segurança, fazendo com que a gestão da segurança se torne parte da gestão global da organização.

Em resumo, essa norma permite considerar todas as informações de diversas formas e todos os riscos, além de fornecer um caminho para solucionar cuidadosamente cada possível problema e manter suas informações seguras.

Consequências para os negócios

As empresas devem ter medo de que suas informações vazem para o público? Se estão fazendo algo ilegal ou antiético, certamente deveriam.

No entanto, para as empresas que operam legalmente, se desejam proteger seus negócios, elas não podem pensar apenas em termos de retorno sobre investimento, participação no mercado, competência específica e visão de longo prazo. Sua estratégia também deve levar em conta as questões de segurança, pois ter informações desprotegidas pode custar-lhes muito mais do que, por exemplo, um lançamento fracassado de um novo produto. Por segurança, me refiro não só à segurança física, porque isso simplesmente não é mais suficiente – a tecnologia possibilita o vazamento de informações através de vários meios.

O que é necessário é uma abordagem abrangente da segurança da informação. Não importa se você usa a ISO 27001, o COBIT ou alguma outra estrutura, o importante é fazer isso de forma sistemática. E isso não é um esforço isolado, é uma operação contínua. E, sim, isso não é algo que sua equipe de TI pode fazer sozinha; toda a empresa tem de participar, começando pela diretoria executiva.

Para saber mais sobre segurança da informação, confira este treinamento on-line gratuito ISO 27001 Foundations Course.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan:
Tag: #ISO 27001