O tema segurança da informação, especialmente eletrônica, tem saído de uma discussão técnica, de grandes empresas e governos, e passando a ser tratado por médias, pequenas empresas e a sociedade de um modo geral.

Os incidentes de segurança, especialmente aqueles realizados através da internet, têm deixado cada vez mais consequências reais.

No passado a motivação para muito dos ataques era o desafio, hoje, os ataques são fortemente motivados para visar lucro, obter informações sigilosas, indisponibilizar serviços e empresas, entre outros. Mesmo assim, isso não tem sido suficiente para mobilizar muitas empresas.

52% of organizations that suffered successful cyber attacks in 2016 aren’t making any changes to their security in 2017
– Barkly, 2016

De acordo o CCIPS (Computer Crime and Intellectual Property Section), vinculado ao departamento de justiça americano, mais de 4 mil ataques com ransomware ocorreram todos os dias desde 2016.

O número de phishing com e-mails contendo algum tipo de ransomware cresceu 97.25% no terceiro trimestre de 2016, segundo pesquisa da PhishMe. Neste mesmo trimestre, mais de 18 milhões de amostras de malware foram capturadas.

Os números da Segurança da Informação em 2017
Fonte: Barkly, 2016

A transformação digital conduz o ecossistema para o próximo nível, isso é indiscutível, mas há muito o que ser feito em termos de segurança para proteger processos, pessoas, tecnologia e valor. O primeiro passo essencial é entender o que é segurança da informação e quais os pilares de sustentação.

A partir desse momento, o mercado precisa ser educado. Os incidentes de segurança transbordam empresas ou governos, eles afetam o dia a dia das pessoas, e quanto mais conhecerem sobre o tema, menor serão as chances de incidência e amplitude.

Essa movimentação é muito importante para os avanços para o digital.

O que é?

A informação pode ser caracterizada por qualquer dado ou conteúdo que tem valor para uma pessoa ou organização, podendo ser armazenada ou transferida, de forma tradicional, ou digital. A segurança visa proteger esses conteúdos sobre três aspectos principais: confidencialidade, integridade e disponibilidade.

Segurança da informação
Fonte: OSTEC (interno)

Para uma gestão adequada de segurança da informação, por outro lado, é essencial que três outros aspectos sejam levados em consideração: pessoas, processos e tecnologia.

Pessoas precisam ser treinadas e serem competentes para tratar com informações. Processos tratam de gerenciamento de ambientes, frameworks, boas práticas e auditoria. Dessa maneira a tecnologia passa a ser, efetivamente, um facilitador.

Confidencialidade

Confidencialidade trata da incapacidade de acesso ao conteúdo por pessoas ou dispositivos não autorizados. Muitas literaturas tratam a confidencialidade também por privacidade.

Quanto maior o volume de informações sendo armazenadas ou em trânsito através da internet, maior o risco de, se não for bem protegida, pessoas tenham o acesso não autorizado. É importante ressaltar que com o digital, há muitas informações em trânsito, se não houver o devido cuidado, pode haver captura durante a transferência.

Por conta disso, preocupar-se somente com o armazenamento seguro, seja com uso de criptografia ou colocando dispositivos de segurança anteriores ao que se quer proteger, é uma falsa sensação de segurança.

O trânsito da informação, da origem até seu destino, precisa estar o máximo protegido, garantindo assim a confidencialidade de ponta a ponta.

Integridade

Integridade possui a responsabilidade de garantir que a informação, dado ou conteúdo não possa ser alterado sem a devida autorização, e caso seja, que possa ser identificado.

Da mesma maneira que a confidencialidade, esse tema não deve ser tratado somente sob a perspectiva de armazenamento, mas também no trânsito da informação, do contrário o conteúdo pode ser manipulado de forma transparente, antes de ser armazenado.

Da mesma maneira que a confidencialidade, focar não somente na segurança do armazenamento e gerenciamento da informação, mas também no trânsito, é fundamental para ter informações íntegras no ambiente.

Disponibilidade

Disponibilidade permite que as informações possam ser acessadas por pessoas, dispositivos ou entidades autorizadas, no momento que desejarem, ou se a política assim permitir.

Este pilar é um grande desafio, pois geralmente envolve estruturas de alta disponibilidade, que por sua vez podem representar custos adicionais para a operação das empresas. É um aspecto negligenciado por muitos negócios e o impacto é devastador.

Para a transformação digital, as empresas precisam estudar muito estratégias de alta disponibilidade e custos para viabilizar uma excelente experiência para usuários e clientes, do contrário, todo um ecossistema pode ser colocado em risco.

Dependendo da criticidade e volume do ambiente oferecido, deve-se levar em consideração a resiliência da infraestrutura à ataques de negação de serviço, que sempre será um grande vilão para negócios conectados.

Juntando as peças

Segurança da informação não é um tema simples de ser implantado e gerenciado, mas é fundamental para a transformação digital. Segurança não deve ser tratada como uma responsabilidade do setor de tecnologia da informação, isso deve permear a organização e estar inserido de forma horizontal, em todos os processos.

Pensar na experiência do usuário, na agilidade e eficiência de um processo, na desconstrução de um modelo de negócio, e esquecer de segurança é um risco altíssimo que pode colocar em cheque a reputação das empresas.

Segurança da informação não é para grandes empresas, mas para empresas que pensam grande. Há muito que pode ser realizado sem grandes investimentos, apenas incorporando segurança para o mind set das pessoas.

Quer entender melhor todas as mudanças que o digital trouxe? Então entenda melhor o que é Transformação Digital.

Cassio Brodbeck

CEO na OSTEC É fundador e CEO da OSTEC, empresa catarinense com grande representação no mercado nacional de segurança da informação. Graduado em Sistemas de Informação (UNISUL) e MBA Internacional em Gerenciamento de Projetos (FGV). Foi professor convidado durante cinco anos das cadeiras de segurança da informação, tópicos avançados em redes de computadores e sistemas distribuídos na UNISUL.

transformacao-digitalTransformação Digital
Transformação Digital Os resultados da Transformação Digital até aqui
Transformação Digital e a Justiça