Segurança da Informação: Guia Completo

Pergunte a gestores de grandes empresas qual a sua maior preocupação no momento e é

muito provável que a segurança da informação apareça entre elas.

Não é para menos, afinal, há dados relacionados ao negócio cujo valor é tão alto que fica
difícil mensurar.

São questões relacionadas ao modelo de atuação ou à sua operação que, se expostas, podem
provocar prejuízos gigantescos, talvez até inviabilizando a sua continuidade.

Some a isso informações financeiras, como dados de contas bancárias, seus e dos clientes
que atende, para ter uma real noção do perigo com o qual convive no dia a dia.

O quão terrível seria ter dados sequestrados, indevidamente acessados por cibercriminosos
e bloqueados para o seu próprio manuseio?

Vale destacar que esse é apenas um dos tipos de golpes que se multiplicam no ambiente
virtual.

Minimizar o risco é, portanto, uma questão de primeira ordem, que vai muito além da
instalação de um potente sistema antivírus na rede interna de computadores.

Quando se fala em segurança da informação, os esforços devem ser da organização como

um todo.

Como uma nova cultura a ser implementada, todos precisam participar, seja a qual escalão
pertencerem na empresa.

Neste artigo, vamos aprofundar o estudo sobre o conceito, falar da sua importância, da
atuação de profissionais especializados em segurança da informação e apresentar fatos que
reforçam a urgência do tema.

Você também vai conferir os 5 pilares da segurança da informação e conhecer ações

práticas para levar à ordem do dia no negócio.

Estamos falando de um conhecimento fundamental para a qualificação do gestor e

administrador.

Então, não deixe de seguir a leitura para acompanhar os seguintes tópicos:

O que é segurança da informação?

|1
 Segurança da Informação: Guia Completo

O que faz um profissional de segurança da informação?

Qual a importância da segurança da informação?
5 pilares da segurança da informação
O que é não repúdio em segurança da informação?
O que é confidencialidade, integridade e disponibilidade?
O que é um mecanismo de segurança?
As diferenças entre segurança de TI e segurança da informação
Invasões na internet com exemplos.

Pensar na segurança da informação de sua empresa precisa ser prioridade máxima

O que é segurança da informação? (conceitos)

Segurança da informação é a proteção de dados de propriedade das organizações contra
ameaças diversas. Trata-se de um esforço pautado por ações que objetivam mitigar riscos e

|2
 Segurança da Informação: Guia Completo

garantir a continuidade das operações.

De fato, é um conceito bastante abrangente, mas que podemos entender de forma mais
clara ao dividi-lo em duas partes:

Informação: conteúdo de valor para uma empresa ou profissional

Segurança: a percepção de proteção contra perigos, ameaças e incertezas.

O objetivo da segurança da informação, portanto, é garantir ao proprietário desse conteúdo

a sensação de que nada de ruim irá acontecer com ele.

Para tanto, se ampara em cinco pilares (sobre os quais vamos falar mais à frente), sendo
suas ações capazes de ampliar a proteção ao conteúdo, mas sem garantir a segurança
absoluta.

Isso significa dizer que, mesmo se a informação estiver armazenada para uso restrito,
sempre haverá um risco.

Cabe aos profissionais da área, então, trabalhar para que ele seja o menor possível,
empregando técnicas, táticas e ferramentas constantemente atualizadas – o que funciona
como uma resposta proporcional aos avanços existentes também nas ações promovidas
pelos cibercriminosos.

Vale esclarecer ainda que o conceito de informação é tão amplo quanto possível, já que pode
compreender dados financeiros, bancários, relacionados a um projeto, serviço ou
propriedade intelectual, entre outros, pertencentes à empresa ou de posse dela.

Um bom exemplo é o de escritórios de contabilidade.

Nesse tipo de empresa, além das suas informações, há todo o tipo de conteúdo dos clientes,
como dados do seu faturamento, incluindo receitas e despesas, também fiscais e tributários,
como notas, recibos e declarações à Receita Federal, assim como bancários, especialmente
se o escritório faz a sua gestão financeira e de contas a pagar e a receber.

Perceba nesse exemplo a enorme quantidade de informações que precisam ser mantidas
longe de mãos erradas.

|3
 Segurança da Informação: Guia Completo

O que faz um profissional de segurança da informação?

Como vimos, é diária a exposição de conteúdo de valor aos riscos, especialmente virtuais.

Em resposta, o que as organizações fazem é criar soluções e contratar profissionais para

minimizar ameaças.

É exatamente o que fazem aqueles que optam por essa carreira.

Como xerifes da era digital, eles monitoram riscos e projetam respostas a eles, no intuito
de evitar a apropriação criminosa de dados sigilosos para uso em fraudes e golpes diversos.

São prevencionistas quando suas soluções se mostram eficazes para resguardar a

integridade dos dados.

Ao mesmo tempo, agem como “bombeiros” em situações de emergência, buscando reduzir

os prejuízos e estancar a exposição indevida do conteúdo com a maior brevidade possível.

Veja algumas das atribuições do profissional de segurança da informação

Garantir que os recursos estejam disponíveis por meio de mecanismos seguros

Definir políticas de acesso ao conteúdo protegido
Estabelecer processos para proteger a integridade dos dados armazenados
Assegurar a confidencialidade do conteúdo
Evitar o roubo de informações sigilosas ou o seu vazamento
Realizar a implementação e a manutenção de sistemas
Selecionar e instalar produtos e equipamentos voltado à proteção de informações
sigilosas.

Um fato interessante é que, segundo pesquisa da plataforma de marketing digital SEMRush,

a profissão de segurança da informação é a terceira com o maior número de buscas
pelos brasileiros no Google.

Em termos de interesse dos usuários, então, ela só fica atrás do coach e do professor online,
respectivamente primeiro e segundo colocados em volume de pesquisas na ferramenta.

|4
 Segurança da Informação: Guia Completo

É fácil mensurar a importância da segurança da informação: sem ela, o negócio está em

risco

Qual a importância da segurança da informação?

Ao conhecer o conceito de segurança da informação, você toma conhecimento de quão
importante é a atuação do profissional responsável por essa área.

Dados daquilo que a empresa compra e vende, dos seus funcionários, dos impostos que paga
e muito mais estão expostos diariamente a riscos diversos.

Não que no passado a ameaça não existisse, mas é inegável que hoje ela é maior.

O mesmo avanço da tecnologia que agrega a vantagem de acessar todo o tipo de

informação de qualquer lugar, a qualquer momento, por dispositivos diversos, implica na
maior exposição dos dados.

|5
 Segurança da Informação: Guia Completo

E se eles são sigilosos, o futuro da empresa pode estar em jogo.

A expressão “ataque cibernético” aparece cada vez mais no noticiário.

Segundo a quarta edição do Relatório de Segurança Digital no Brasil, no primeiro semestre

de 2018, o número de ocorrências do tipo foi quase o dobro do registrado no mesmo período
do ano passado.

Mais precisamente, estamos falando de um avanço de 95,9%.

Particularmente nas empresas, uma ameaça que preocupa bastante é a do ransomware, ou

vírus de resgate.

O que esse tipo de ataque faz é sequestrar as informações, bloquear o seu acesso pelo
proprietário e cobrar um alto valor para liberá-las.

Somente nos primeiros meses deste ano, foram mais de 200 milhões de casos, informou
relatório de ameaças cibernéticas da SonicWall.

Na América Latina, de acordo com Kaspersky Lab, o Brasil é líder entre as ocorrências
de ransomware, respondendo por 55% dos ataques em toda a região.

A grosso modo, significa que, se uma empresa instalada no Brasil, seja qual for o seu porte,
não realizar esforços de segurança da informação, é bastante grande a chance de ela ser a
próxima vítima.

Aqui, vale aquela velha máxima; melhor prevenir do que remediar. Concorda?

|6
 Segurança da Informação: Guia Completo

Dá para organizar a segurança da informação em alguns pilares

5 pilares da segurança da informação

Conforme os procedimentos em segurança da informação são aperfeiçoados, novos
princípios são adicionados ao conceito.

Originalmente, contudo, eram cinco os pilares que regiam as ações de proteção aos dados
nas empresas.

São eles:

Confidencialidade: o conteúdo protegido deve estar disponível somente a pessoas

autorizadas
Disponibilidade: é preciso garantir que os dados estejam acessíveis para uso por tais
pessoas quando for necessário, ou seja, de modo permanente a elas
Integridade: a informação protegida deve ser íntegra, ou seja, sem sofrer qualquer

|7
 Segurança da Informação: Guia Completo

alteração indevida, não importa por quem e nem em qual etapa, se no processamento
ou no envio
Autenticidade: a ideia aqui é assegurar que a origem e autoria do conteúdo seja
mesmo a anunciada
Irretratabilidade: também chamada de não repúdio, impõe ao responsável por
assinar a transmissão das informações assumir o ato.

Em linhas gerais, portanto, são esses os pilares para a implantação em uma empresa de um
sistema de gestão de segurança da informação (SGSI).

Mas há outros termos importantes com os quais um profissional da área trabalha no dia a
dia.

Podemos citar a legalidade, que diz respeito à adequação do conteúdo protegido à

legislação vigente.

Também a privacidade, que se refere ao controle sobre quem acessa as informações.

E tem ainda a auditoria, que permite examinar o histórico de um evento de segurança da

informação, rastreando as suas etapas e os responsáveis por cada uma delas.

Vale citar também conceitos relacionados à aplicação dos pilares, os quais veremos a seguir.

Conceitos relacionados à aplicação dos pilares

Vulnerabilidade: pontos fracos existentes no conteúdo protegido, com potencial de

prejudicar alguns dos pilares de segurança da informação, ainda que sem intenção
Ameaça: elemento externo que pode se aproveitar da vulnerabilidade existente para
atacar a informação sensível ao negócio
Probabilidade: se refere à chance de uma vulnerabilidade ser explorada por uma
ameaça
Impacto: diz respeito às consequências esperadas caso o conteúdo protegido seja
exposto de forma não autorizada
Risco: estabelece a relação entre probabilidade e impacto, ajudando a determinar
onde concentrar investimentos em segurança da informação.

|8
 Segurança da Informação: Guia Completo

A palavra autenticação tem grande peso na era digital. Há uma razão para isso

O que é não repúdio em segurança da informação?

Agora que os principais conceitos e pilares de segurança da informação estão claros, vamos
avançar no entendimento sobre cada um deles, a começar pelo não repúdio.

Afinal, o que isso significa?

O nome não ajuda muito, assim como o seu sinônimo: irretratabilidade.

Mas vamos explicar de modo mais prático, trazendo o conceito à realidade atual.

Hoje, como sabemos, a maioria das informações tem origem e movimentação eletrônica. É
no meio digital que elas são criadas e manipuladas, inclusive com grande facilidade.

|9
 Segurança da Informação: Guia Completo

É justamente essa característica que impõe um controle mais rígido sobre todo o tipo de
movimento realizado sobre o conteúdo protegido.

Se a informação foi alterada, por exemplo, é preciso garantir que o autor da modificação
não negue que o tenha feito.

Nada mais é, portanto, do que uma ação pensada para garantir a confiança do processo,
permitindo provar quem fez o quê, quando e onde.

É como uma autenticação, em geral utilizando métodos de criptografia.

Quer um exemplo?

Uma nota fiscal eletrônica deve ser validada pela autoridade tributária estadual, que então
emite uma autorização de uso. Só que o processo depende de uma autenticação que, nesse
caso, é garantida por um certificado digital.

O seu uso, então, funciona como um não repúdio, uma prova, inviabilizando uma possível
tentativa de negar a autoria ou mesmo a realização da ação.

| 10
 Segurança da Informação: Guia Completo

Toda a questão da segurança da informação cria a necessidade de uma educação específica

para estabelecer boas práticas

O que é confidencialidade, integridade e

disponibilidade?
De todos os pilares de segurança da informação, confidencialidade, integridade e
disponibilidade são os de entendimento mais fácil.

Resumindo bastante, podemos dizer que eles objetivam que os dados sigilosos estejam
inalterados e sempre prontos para acesso por pessoas autorizadas, mas só por elas.

Desse modo, o profissional responsável pela segurança da informação tem alguns desafios.

O primeiro deles se refere à tomada de ações que afastem o conteúdo confidencial de

roubo, sequestro ou apropriação indevida, seja por meio de ataques virtuais ou
espionagem industrial, por exemplo.

| 11
 Segurança da Informação: Guia Completo

Alcançar a confidencialidade exige criar regras de acesso. Basicamente, estabelecer quem

pode acessar o quê e como.

Obviamente, isso muda de empresa para empresa e também conforme a informação crítica.

Mas é importante que os departamentos diretamente relacionados a esse conteúdo o

tenham disponível de maneira ininterrupta e no seu formato integral, sem cortes ou
alterações.

Aí entram os outros dois pilares em destaque: a disponibilidade e a integridade.

Na prática, o que a organização vai fazer é estabelecer um conjunto de regras que,

juntas, vão contribuir para que esses três princípios sejam alcançados.

Como exemplo, podemos citar:

Promover o controle de acessos por colaboradores, supervisores, gerentes e diretores

Criar programas de treinamento para ampliar a noção sobre os riscos, minimizar
falhas e otimizar os processos
Definir permissões para visualizar ou modificar arquivos
Permitir que informações alteradas equivocadamente sejam restauradas às suas
versões anteriores
Possuir cópias de segurança para evitar a perda de dados importantes
Dotar a empresa de infraestrutura tecnológica compatível com a exigência de
manutenção e preservação das informações.

Essas e outras ações fazem parte de mecanismos de segurança da informação, sobre os

quais vamos trazer mais detalhes no próximo tópico.

| 12
 Segurança da Informação: Guia Completo

Há diversos mecanismos de segurança criados para garantir maior proteção a dados

O que é um mecanismo de segurança?

Um mecanismo de segurança da informação é uma ação, técnica, método ou ferramenta
estabelecida com o objetivo de preservar o conteúdo sigiloso e crítico para uma empresa.

Ele pode ser aplicado de duas formas:

Controle físico: é a tradicional fechadura, tranca, porta e qualquer outro meio que
impeça o contato ou acesso direto à informação ou infraestrutura que dá suporte a ela
Controle lógico: nesse caso, estamos falando de barreiras eletrônicas, nos mais
variados formatos existentes.

Sobre o controle lógico, cabe lembrar que há diferentes maneiras de proteger e preservar
uma informação digital.

| 13
 Segurança da Informação: Guia Completo

Vai desde um antivírus, firewall ou filtro antispam, o que é de grande valia para evitar
infecções por e-mail ou ao navegar na internet.

Passa por métodos de encriptação, que transformam as informações em códigos que

terceiros sem autorização não conseguem decifrar.

Há ainda a certificação e assinatura digital, sobre as quais falamos rapidamente no

exemplo antes apresentado da emissão da nota fiscal eletrônica.

Todos são tipos de mecanismos de segurança, escolhidos por profissional habilitado

conforme o plano de segurança da informação da empresa e de acordo com a natureza do
conteúdo sigiloso.

| 14
 Segurança da Informação: Guia Completo

Segurança de TI e segurança da informação não são a mesma coisa, mas se complementam

As diferenças entre segurança de TI e segurança da

informação
Muitas vezes tratados como sinônimos, os processos de segurança da informação e de
segurança em TI (tecnologia da informação) têm diferenças pontuais.

Agora, você já conhece o primeiro conceito. Mas e quanto à TI?

Podemos resumir da seguinte forma: esforços de segurança de TI se destinam a proteger a

estrutura que suporta as informações da empresa.

Assim, seu objetivo é garantir a proteção de computadores, servidores e data centers, entre
outros.

Enquanto a segurança de TI cuida das máquinas e do seu hardware, a segurança da

informação foca no software e no conteúdo armazenado ou acessado por essas máquinas.

Portanto, estamos falando de dois processos de imensa valia para qualquer empresa.

Até porque, como veremos a seguir, não faltam exemplos de episódios em que
vulnerabilidades foram exploradas e se tornaram incidentes, causando prejuízos gigantes às
organizações.

| 15
 Segurança da Informação: Guia Completo

Infelizmente não faltam exemplos de ataques virtuais que causaram grandes prejuízos

Invasões na internet com exemplos

Não faltam exemplos terríveis para o mundo corporativo na história dos ataques
cibernéticos.

Neste tópico, vamos relembrar alguns deles.

WannaCry

Em 12 de maio de 2017, o vírus WannaCry provocou aquele que ficou conhecido como o
maior ataque de ransomware da história.

Em apenas um dia, foram mais de 230 mil infecções em 156 países diferentes.

| 16
 Segurança da Informação: Guia Completo

E foi só o início, já que, ainda em 2018, empresas seguem sendo vítimas do poderoso vírus
de resgate.

Equifax

Dados pessoais de pelo menos 147 milhões de americanos, canadenses e britânicos foram
roubados da empresa de crédito Equifax, também em 2017.

Segundo projeções divulgadas no início deste ano, os custos relacionados à invasão devem
superar os 400 milhões de dólares – a violação de dados mais cara da história corporativa.

Uber

O conhecido aplicativo de transporte também foi uma vítima recente: em 2016, nomes, e-
mails e contatos telefônicos de 57 milhões de usuários acabaram sequestrados.

Para recuperar as informações, a Uber teria pago 100 mil dólares aos cibercriminosos.

O caso só veio à tona cerca de um ano depois.

Facebook

Outro caso rumoroso envolveu a maior rede social do mundo, o Facebook.

Neste ano, 120 milhões de perfis acabaram expostos a partir de um aplicativo chamado
NameTests, que funcionava vinculado às contas.

Cosmos Bank

Em um dos casos mais recentes, registrado em agosto de 2018, o banco indiano Cosmos
Bank perdeu quase 14 milhões de dólares depois de cibercriminosos invadirem o seu
sistema.

Conclusão
Muita gente olha para as altas cifras dos ataques cibernéticos e, equivocadamente,
relaciona a necessidade de segurança da informação a grandes empresas.

É verdade que elas são muito visadas pelo valor em jogo, mas os cibercriminosos se

| 17
 Segurança da Informação: Guia Completo

mostram bastante “democráticos”.

Inclusive, 65% dos ciberataques atingem pequenos negócios.

Não dá para negar a realidade e conviver com vulnerabilidades, concorda?

É por isso que as empresas precisam elevar a proteção de dados sigilosos e, para tanto,
contam cada vez mais com profissionais especializados nisso.

Quem deseja seguir uma carreira nessa área, então, tem pela frente um mercado promissor
– mas não sem investir no seu aperfeiçoamento.

A Fundação Instituto de Administração (FIA) conta com uma série de cursos voltados
ao tema, incluindo a pós-graduação e o MBA em Gestão de Riscos de Fraudes e Compliance.

São duas excelentes alternativas para você se preparar para as ameaças que rondam o
mundo corporativo.

Saiba mais no site e, se desejar, faça contato conosco.

| 18