Sua empresa já tem firewall ? Sem PSI (Política de Segurança da Informação), isso não significa nada.

Imagem

Talvez você nem tenha ficado sabendo, mas desde abril de 2018 ficou mais seguro navegar pelo site ou aplicativo do seu banco. Isso graças a Resolução 4.658 que determina, entre outras coisas, que as instituições financeiras e organizações autorizadas pelo Banco Central tenham um plano de política cibernética, tratamento de incidentes e uma definição de como a instituição deve se comportar diante de eventuais situações assim. As instituições têm até o dia 6 de maio de 2019 para se adequar. A medida adotada pelo Bacen não é exatamente uma novidade. Em todo o mundo, organizações e grupos empresariais investem em Políticas de Segurança da Informação (PSI) para garantir integridade, confidencialidade e disponibilidade da informação. Mesmo assim, os números são alarmantes.

Segundo dados do Ponemon Institute, especialista em pesquisas sobre proteção de dados, apenas 39% dos funcionários afirmam tomar todas as medidas necessárias para proteger informações críticas para o negócio. As falhas na segurança e crimes cibernéticos também foram tema de um estudo realizado pela PwC. Esse tipo de problema causa prejuízo médio de 1 milhão de dólares entre as empresas que faturam entre US$ 100 milhões e US$ 1 bilhão. E no Brasil, que lidera o ranking dos ataques na América Latina, muitos gestores ainda ignoram as ameaças que chegam por meio de dispositivos offline como pendrives, HD externo e até CDs contaminados.

A solução para tudo isso é mais simples do que parece: para 73% dos usuários, as causas da exposição dos dados e falhas na segurança são resultado da falta de informação, procedimentos internos, negligência ou malícia. E é aí que entra em cena a Política de Segurança da Informação, um documento que estabelece instruções para proteger todos os ativos de informação de uma empresa, e que justamente por isso, deve ser praticada por todos na organização. Todos mesmo, inclusive você.

Mas e o firewall, não resolve?

Imagine duas forças atuando para proteger o seu negócio: a segurança de TI e a segurança da informação. A primeira cuida da estrutura que suporta as informações da empresa – servidores, data center, computadores etc. A segunda, monitora os softwares e o conteúdo abrigado e acessado nesses equipamentos. Uma das ferramentas para fazer isso é o firewall, uma solução de segurança que funciona como portas e janelas que trancam o acesso e evitam visitas indesejadas em sua rede.

Sim, o firewall ainda é um elemento central para a segurança da informação e não pode ser dispensado. Mas os conceitos de segurança vão muito além. Acredite, a informação é um dos maiores patrimônios do seu negócio – se não for protegida da forma correta pode afetar o crescimento e os resultados da empresa. E o firewall não faz milagres.

Especialistas da Juniper Networks, profissionais acostumados a oferecer soluções de alto desempenho para rede e cibersegurança, lembram que para que a prevenção funcione e interrompa ameaças de verdade, mesmo o firewall mais moderno só é completo quando integra também uma PSI seguida por colaboradores, diretoria, clientes e fornecedores. Mais que proteção, uma Política de Segurança da Informação bem executada é uma ferramenta importante para fortalecer o negócio. Para desenvolver e implantar a PSI é preciso unir três pilares:

1. Processos

É preciso ter claro os procedimentos e padrões que deverão ser divulgados para o público interno e externo, apresentando os detalhes da PSI. E o mais importante: lembrar que o cenário tecnológico passa por mudanças constantes, por isso, este material deve passar por revisões e atualizações periódicas.

2. Pessoas

As maiores falhas de segurança da informação ainda acontecem por erros honestos (ou não!) das pessoas que atuam na empresa. Tão importante quando a divulgação da PSI é a constante conscientização de todos aqueles que serão responsáveis pelo cumprimento das orientações descritas no documento.

3. Tecnologia

Existe um número sem fim de soluções avançadas para combater as ameaças, assim como existe uma infinidade de perigos novos, todos os dias. Não existe solução definitiva, mas um trabalho em constante evolução para identificar falhas na segurança, vulnerabilidades e ações para eliminá-las. Especialistas sugerem que a Política de Segurança da Informação seja revisada pelo menos duas vezes por ano e atualizada conforme a rede muda ou, no mínimo, trimestralmente.

Por onde começar?

Existem recomendações reconhecidas no mundo todo para gestão da segurança da informação: é a norma ISO/IEC 27001. Ela detalha como colocar em prática um sistema de gestão de segurança da informação avaliado e certificado, que proteja todos os dados de maneira eficiente, reduzindo a probabilidade de serem acessados ilegalmente ou sem permissão. E o mais importante: essa norma atende empresas de todos os tamanhos. Aliás, uma PSI bem estruturada em pequenas e médias empresas garante mais segurança e oportunidades de novos negócios. Empresas de pequeno porte ou com uma área reduzia de TI podem contar ainda com consultorias especializadas em desenvolver e implantar Políticas de Segurança da Informação.

Não existe um modelo ideal – cada empresa deve estudar e desenvolver a sua PSI com cuidado, sem perder de vista que somente com uma boa gestão de segurança será possível crescer e inovar, garantindo que as informações confidenciais do seu negócio permanecerão assim.