Entendendo a Segurança da Informação

Segurança da informação é uma área bastante ampla e tem o fornecimento de proteção de ativos como objetivo. Neste contexto, ativo é todo elemento que possa trazer algum prejuízo para seu dono, responsável, empregador, se porventura, sofrer ou gerar algum tipo de dano. Note que pessoas, hardware ou software podem ser citados como exemplos de ativos aos olhos da segurança, uma vez que todos possuem potencial danoso.

No emprego de proteção, a Segurança da Informação conta com controles tanto físicos quanto lógicos. São exemplos de controles físicos de segurança o uso de blindagens, cofres, paredes dentre outros e para controles lógicos podemos citar o uso de software, políticas e normas.

A Cibersegurança é a parte da Segurança da Informação que fornece elementos digitais de proteção que a informação necessita. Em uma intensidade cada vez maior, empresas, indústrias e governos interconectam sistemas digitais em busca de mais eficiência. Neste cenário, riscos de várias naturezas começam a se elevar.

Proteger informações sempre foi a função básica da Segurança da Informação. Com o advento da Lei Geral de Proteção de Dados – LGPD, esta proteção passa a ser mandatória e a não obediência, juntamente aos vários cuidados que a proteção de informações pessoais, poderá custar caro para as organizações.

 

PROTEGENDO DADOS EM SUA INFRAESTRUTURA LOCAL E NA NUVEM

• Controles de acesso: acesso controlado e exclusivo a quem realmente necessita;
• Ciclo de vida de contas: vincular sistema de cadastro de pessoas na organização com o controlador de domínio;
• Riscos da rede sem fio: deve ser isolada e sem comunicação com serviços e sistemas internos restritos aos colaboradores;
• Backups: apesar de não ser um recurso de prevenção, é fundamental validar a integridade e eficácia dos backups para possibilitar a recuperação das informações;
• Firewall: a rede local precisa estar isolada e com as garantias corretas, preferencialmente com ferramentas de mercado com suporte e garantias;
• Conscientização: promover o tema dentro da organização, conscientizando os usuários sobre o seu papel na segurança;
• Criptografia: assegurar que os dados em nuvem estão todos codificados e que apenas o contratante do serviço tem acesso a chave de decodificação.

Como os projetos de adequação à LGPD podem se beneficiar das ações de Segurança da Informação?

Proteger dados pessoais, que são o foco da LGPD nos dias atuais, exigirá em grande parte controles lógicos fornecidos pela Cibersegurança, que é uma vertente da Segurança da Informação. Por este motivo, pode-se afirmar que, não há possibilidade de garantir adequação à LGPD sem o emprego da Segurança da Informação.

Mas, lembre-se: a LGPD é uma lei e nada é opcional nela. Assim, apenas focar na Segurança da Informação não será suficiente para garantir o cumprimento de todos os requisitos legais.

Que framework posso utilizar?

A ISO/IEC 27001 é uma norma de segurança da informação utilizada por gigantes como Google e Microsoft e reconhecida como um dos principais frameworks para implementação de segurança da informação / cibersegurança.

Ela fornece controles que visam estruturar como a organização se previne, trata e responde questões de segurança.