A cada minuto, são feitas cerca de 5,7 milhões de buscas no Google. Você já parou para imaginar a quantidade de dados movimentados por essas pesquisas? Porque, se por um lado, a Internet facilitou o acesso a uma base enorme de informações, mas, por outro, feriu um tanto a privacidade. Nesse contexto, a segurança da informação (SI) se tornou imperativa.
Prova da importância dos dados no mundo atual é o crescente número de ataques hackers. Por este motivo, vale a pena ficar ligado nas melhores práticas em relação à SI.
O que é segurança da informação?
De maneira bem simples, a segurança da informação pode ser entendida como “esforços gerais para a defesa de dados” — especialmente aqueles sensíveis e confidenciais. Sendo assim, ela envolve todos os processos e métodos que são implementados por uma organização a fim de garantir que só as pessoas certas tenham acesso a determinada data base.
Para isso, são adotadas boas práticas de proteção e análise de dados, que mapeiam o uso, o acesso, a gravação, a modificação e até mesmo a destruição dessas informações. Mas essas ações não são tiradas do nada, nem feitas como “dá na telha”.
A norma ISO 27001 é a que estabelece as diretrizes gerais e princípios básicos para a gestão de informações dentro de uma organização.
Pilares da segurança da informação
São três os princípios básicos da SI: confidencialidade, integridade e acessibilidade — também conhecidos pela sigla CIA. Esses conceitos devem ser norteadores na hora de pensar e implementar uma política de segurança da informação (PSI).
- confidencialidade: diz respeito à privacidade dos dados e, consequentemente, à restrição de acessos aos usuários;
- integridade: se relaciona com a confiabilidade e a veracidade das informações. Deve garantir que os dados não sofreram nenhuma alteração, podendo, portanto, ser utilizados de forma efetiva pela corporação;
- acessibilidade: as informações devem estar disponíveis sempre que possível, respeitando, claro, o privilégio dos acessos concedidos às pessoas certas.
Qualquer esforço ou ação direcionado à proteção de dados, deve levar esses pilares em consideração.
Por que e como desenvolver uma PSI?
Desenvolver uma PSI é uma das diretrizes básicas indicadas pela ISO 27001. Ela pode ser definida como um conjunto de regras que ditam o acesso, o controle e a transmissão dos dados de uma empresa ou dos seus clientes.
Além disso, com a Lei Geral de Proteção de Dados (LGPD) em vigor, ela também se tornou fundamental para evitar problemas com uma eventual auditoria.
Fazer a implementação de uma PSI em uma organização passa por alguns passos básicos:
- fazer um mapeamento geral de ameaças para entender o que precisa ser protegido;
- classificar os tipos de informação segundo o seu grau de confidencialidade;
- definir os níveis de acesso a esses dados, estabelecendo quais usuários terão quais privilégios;
- investir em tecnologias de proteção que automatizem e elevem a segurança.
Se você chegou até aqui e entendeu a importância de adotar práticas e políticas de segurança da informação na sua empresa, provavelmente está pensando em por onde começar. Afinal, é muita coisa para analisar!
O primeiro movimento, contudo, como você viu ali em cima, é entender onde o perigo se encontra. Leia este outro artigo da DPOnet e entenda como fazer uma matriz de riscos para o seu negócio.
