A última Pesquisa Global de Segurança da Informação da PwC (PriceWaterhouseCoopers), divulgada em 2016, trouxe um dado alarmante: o número de incidentes relacionados à segurança da informação entre empresas brasileiras cresceu 274% em 2015, contra uma média mundial de 18%. Na prática, essa disparidade de números deveria servir como sinal de alerta para que as organizações repensassem as políticas e os investimentos relacionados à segurança, se não quiserem correr riscos, que vão desde prejuízos financeiros, problemas de reputação até a paralisação das operações.
O caminho para criar políticas de segurança da informação passa por cinco questões básicas:
Pergunta 1: Os colaboradores têm usado serviços de armazenamento não autorizado?
Muitos colaboradores usam serviços de armazenamento na nuvem para armazenar e compartilhar documentos corporativos, mas nem sempre a equipe de TI tem regras específicas para uso desse tipo de ambiente. Assim, é fundamental a criação de regras e políticas específicas para uso desses serviços, com o intuito de evitar problemas relacionados à segurança da informação.
Pergunta 2: Quais as ameaças internas e como proteger a organização delas?
Uma boa política de segurança passa também pela avaliação a quais informações que estão na rede corporativa os colaboradores – fixos, terceirizados ou temporários – têm acesso. Ou, ainda, quais dispositivos são utilizados para acessar dados corporativos, o que inclui pendrives e notebooks e smartphones pessoais. Para controlar esses acessos, algumas empresas têm adotado a monitorização comportamental, na qual é possível avaliar determinados comportamentos dos usuários, como acesso a arquivos que não têm relação com o trabalho desenvolvido ou, ainda, informações salvas em locais externos, por exemplo.
Pergunta 3: Minha política de BYOD (Bring Your Own Device) é segura?
As políticas de BYOD precisam, necessariamente, contemplar regras, treinamento e capacitação dos funcionários, com o intuito de garantir o comportamento seguro no acesso de dispositivos pessoais à rede corporativa. Se, por um lado, os usuários precisam estar conscientes dos riscos e penalidades ao expor as organizações, da mesma forma, as empresas devem investir na implementação – e atualização constante – das soluções de segurança da informação nos equipamentos pessoais que acessam à rede corporativa, contemplando cuidados específicos como a criptografia e a limpeza remota de arquivos e dados em caso de roubo, furto e extravio.
Pergunta 4: Há um plano de gerenciamento de incidente de segurança?
Ter um plano de resposta em caso de incidentes relacionados à segurança da informação, com procedimentos a serem realizados caso um incidente aconteça, é essencial para evitar grandes perdas e prevenir danos adicionais. Além disso, a política deve contemplar quais pessoas serão envolvidas caso um incidente ocorra, tais como analistas de segurança, diretores, jurídico, comunicação etc.
Pergunta 5: Quais as principais limitações em segurança da informação?
Deve-se avaliar com frequência quais os principais entraves relacionados à segurança da informação, como investimentos limitados que dificultem o atendimento de alguma obrigação ao longo do ano ou ainda uma equipe reduzida que não consiga dar vazão às demandas. As ferramentas de combate a incidentes são as principais aliadas na contenção de riscos, além de ajudarem a melhorar de forma significativa a segurança de arquivos e documentos compartilhados pelos colaboradores com parceiros e prestadores de serviço.
Enfim, essas cinco questões básicas devem servir como ponto de partida para qualquer política de segurança da informação, a qual não só ajuda a prevenir ameaças e riscos como a garantir a saúde dos negócios em longo prazo.