Segurança da Informação:

Do risco à oportunidade
 Introdução...................................................................................03
Por que a cibersegurança é um assunto tão importante?.......04
Como implantar uma cibersegurança efetiva?.........................06
Por que pensar agora em segurança da informação?...............08
SUMÁR IO
10 passos para a Cibersegurança..............................................09
1. Gerenciamento de risco............................................................10
2. Engajamento e treinamento...................................................10
3. Gerenciamento de ativos..........................................................11
4. Arquitetura e configuração......................................................11
5.Gerenciamento vulnerabilidade.............................................12
6. Gerenciamento de acesso e identidade...............................12
7. Segurança de dados...................................................................13
8. Logging e monitoramento.......................................................13
9. Gerenciamento de incidente...................................................14
10. Segurança da cadeia de abastecimento...........................14
Um bom uso para você e sua empresa.......................................15
 Segurança da Informação:
Do risco à oportunidade.
Olá! Seja bem-vindo(a) a um material que nós, da Wiser Tecnologia,
preparamos com muito carinho, especialmente para você!

Se atualizar para acompanhar as necessidades da criação de um

ambiente de segurança da informação é um grande desafio. Pensando
nisso, decidimos oferecer a você um conteúdo esclarecedor,
orientado a partir de uma pesquisa importante do nosso setor e
amparada por uma grande instituição do mundo da
cibersegurança.

Os especialistas da Wiser Tecnologia traduziram o

material e elaboraram comentários com o objetivo de tornar
mais simples a sua compreensão (sempre muito técnica) e
para apresentar orientações objetivas sobre como implantar
tudo na sua empressa.

Desejamos a todos uma excelente leitura.

03
 Segurança da Informação: Do risco à oportunidade.

Por que a cibersegurança é um assunto tão importante?

A tecnologia e a segurança da informação estão

cada vez mais inseridas no dia a dia das empresas de
todos os portes e segmentos de mercado. Negócios
que precisam estar minimamente conectados depen-
dem de recursos tecnológicos integrados (TIC) para
realizar as suas atividades simples até suas opera-
ções mais complexas.

Outra questão importante é que a legislação que

envolve a privacidade de dados, como a Lei Geral de
Proteção de Dados (LGPD) ou outras normas regu-
latórias nacionais e internacionais, fazem com que
a implantação de ações de segurança da informa-
ção sejam cada vez mais urgentes, não só pelo
atendimento dessas leis e normas, mas também
pela manutenção da reputação das empresas.

04
 Segurança da Informação: Do risco à oportunidade.

Por que a cibersegurança é um assunto tão importante?

Tão importante quanto essas questões, outras também estão ligadas diretamente a operação
das empresas e às formas necessárias de se lembrar dos riscos de ataques que:

• Deixam os serviços da empresa indisponíveis para uso, seja pelos clientes

quanto pelos colaboradores internos;
• Impedem a operação da empresa e seu faturamento, causando prejuízos financeiros
diretos em sua operação;
• Instalam ransomwares que causam sequestro de dados da empresa, resultando em
prejuízos financeiros, bem como na perda de confiança dos clientes;
• Instalam malwares que reduzem a performance de máquinas e a produtividade de
colaboradores;
• Fragilizam o negócio fazendo com que a perda de clientes e de faturamento, cause
também a redução de postos de trabalho;
• Causam o vazamento de informações de clientes, que ao serem informados do inci-
dente, encerram contratos e movem processos.

Esses não são todos, mas alguns dos motivos porque empresas
pequenas, médias ou grandes precisam atuar de forma assertiva
na cibersegurança. Casos de ataques sofridos por empresas
são amplamente divulgados pela imprensa e avaliados por
especialistas da área.

05
 Segurança da Informação: Do risco à oportunidade.

Como implantar uma cibersegurança efetiva?

Pessoas:
As pessoas envolvidas em todas as iniciativas de cibersegurança são pontos fundamentais para um
desenvolvimento, implantação e operação bem sucedida. Prestadores de serviços precisam entregar aos
clientes soluções acessíveis e que atendam suas necessidades dentro de um nível satisfatório. O desgaste
da relação entre empresas e seus clientes parte de uma não consideração dessas premissas. Os profissio-
nais de TI envolvidos na concepção e entrega dos serviços precisam ser capazes de realizar suas atividades
e ter à sua disposição, os recursos necessários para isso;

Produtos:
Os produtos ou soluções estão relacionados à tecnologia em-
pregada. Devem sempre oferecer um equilíbrio entre funcionalidade,
desempenho e custo, pois a tecnologia certa não pode ser exagerada.
Embora o principal motivador seja atender as demandas apre-
sentadas pelos clientes, a solução deve ser sustentada pelo
ambiente, infraestrutura, aplicativos, interfaces e fontes de
dados apropriados para que possam funcionar de forma as-
sertiva. E a forma como eles são montados dependerá da
escolha da arquitetura que conduzirá as atividades de
design de tecnologia;

06
Segurança da Informação: Do risco à oportunidade.

Como implantar uma cibersegurança efetiva?

Processos:
Os processos tem o objetivo de disciplinar entradas e saídas de dados. Eles incluem todas as funções,
responsabilidades, ferramentas e controles de gerenciamento necessários para entregar os resultados de
maneira confiável. Um processo maduro é aquele em que controles e acionadores foram fornecidos para
permitir que as atividades do processo sejam executadas de maneira eficaz e eficiente. Sendo automatiza-
do ou manual, é vital que os processos apropriados sejam desenvolvidos para apoiar os novos ser-
viços durante o design para garantir que, uma vez que os serviços entrem em operação, as ati-
vidades e funções corretas do processo sejam colocadas em prática - seja acessar
ou solicitar realização, mudança ou implantação, estoque e faturamento;

Parceiros:
Os parceiros se tornam cada vez mais essenciais para a entrega de
serviços de TI, especialmente nesta era de terceirização, serviços geren-
ciados e computação em nuvem. Qualquer prestador de serviço geral-
mente utilizará em suas soluções produtos e tecnologias homologadas,
e o contrato de prestação de serviços apresentará os termos, condi-
ções e metas que darão suporte aos níveis de serviço acorda-
dos com o cliente. Seja um fornecedor estratégico, tático,
operacional ou de commodities, é essencial que uma boa
relação de trabalho seja estabelecida, pois o profissional
de TI nunca atenderá as necessidades do negócio sem a
ajuda de um parceiro que esteja em sintonia com as ne-
cessidades da organização.
07
 Segurança da Informação: Do risco à oportunidade.

Por que pensar agora em segurança da informação?

Prevenir é mais barato que remediar.

Infelizmente, a remediação de riscos é uma questão que nós, brasileiros, ainda es-
tamos aprendendo a fazer. Quando apresentamos a importância da implantação de um
arcabouço de segurança da informação para proporcionar a mitigação de riscos empresa-
riais, visualizamos que muitas empresas têm dificuldade em justificar os investimentos para
isso. Não somente pelas possíveis multas a serem aplicadas aos negócios no momento de va-
zamento, que são um grande risco para empresas de todos os portes, mas também pelos
prejuízos operacionais e prejuízos à marca em caso de invasão. As multas que estão en-
volvidas nos riscos são muito mais caras do que as ações de prevenção.

Riscos e planejamento são contra intuitivos para o brasileiro, mas

precisamos atuar.
Muitos acreditam que em um mundo imprevisível como o que vivemos hoje, o
planejamento deixou de ser algo importante. Isso é um grande erro, pois justamente
pela imprevisibilidade do nosso mundo é que o planejamento se tornou algo ainda
mais estratégico e importante. Estratégico porque, principalmente no ambiente de
segurança da informação, é necessário mitigar riscos conhecidos e estar preparado para
respostas a riscos imprevisíveis. Portanto, planejar não é traçar planos
infalíveis e imutáveis, mas estar preparado para atuar em
um mundo de constantes mudanças.

08
Segurança da Informação: Do risco à oportunidade. Fonte: National Cyber
Security Centre

10 passos para a Cibersegurança.

Gerenciamento de Acesso e Identidade

Gerenciamento de Risco Controle o que pode ser acessado
Adote uma abordagem baseada em dentro de sistemas e dados e quem
riscos para proteger os dados e o sistema pode acessá-los.
da empresa com mais assertividade.

Segurança de Dados
Pro
. dIm Proteja seus dados de vulnerabilidades
Engajamento e Treinamento
ção uc
pel s
iza
e ataques cibernéticos,
Crie uma segurança colaborativa que e
funcione para as pessoas de sua

umpe
ga
organização e atenda as necessidades.

pnot
or

ratir
ua

nm
es

g ritiig
Registros e Monitoramento
nda os riscos d

skam
Gerenciamento de Ativos Projete seu sistema para ser capaz

çõaensaagperm
Saiba quais os dados e sistemas de detectar ameaças e investigar
existentes e quais as incidentes que possam ocorre.
necessidades de negócio.

op
en
ritap
Ente

Gerenciamento de Incidente

doa
Prepare sua resposta a incidentes

l
s
Arquitetura e Configuração

ic. ie
Projete, construa, mantenha cibernéticos com antecedência e

s
e gerencie os sistemas com inteligência.
segurança.
Pr
ep
are .
-se nt es Segurança da Cadeia de Abastecimento
Gerenciamento Vulnerabilidade
para ciberi n cid e Colabore com seus fornecedores e
Mantenha seus sistemas protegidos parceiros para analisar o cenário de
ao longo do ciclo de vida deles. ameaças e auxiliar gerenciamento de
riscos.

09
 Segurança da Informação: Do risco à oportunidade.

10 passos para a Cibersegurança.

1. GERENCIAMENTO DE RISCO
Adote uma abordagem baseada em riscos para proteger os dados e o sistema.
Muito importante identificar quais as reais vulnerabilidades pelas quais o negócio passa. Por conta da dinâmi-
ca de cada empresa, os pontos sensíveis de risco são diferentes, então, não existe ‘receita de bolo’. Essa análi-
se passa pela identificação dos ativos de TIC críticos que precisam ser protegidos, pois sabendo que o investi-
mento em segurança da informação não é infinito, priorizar os ativos mais importantes permitirá uma boa
organização. Além dos riscos sobre softwares e hardwares, é importante, também, identifi-
car os riscos causados pelo uso humano de todos esses recursos, ou mesmo do am-
biente como desastres naturais.

2. ENGAJAMENTO E TREINAMENTO
Crie uma segurança colaborativa que funcione para as pessoas de sua
organização.
Mais profundamente, um inventário completo de tudo o que é utilizado em TIC da
empresa precisa ser feito, bem como os dados trafegados neles. O mapea-
mento desses ativos, tanto de hardware como de software, pode ser feito
utilizando tecnologias disponíveis no mercado facilitando todo o processo.
Importante que todos os ativos da organização estejam nesse inventário,
pois, não somente os dispositivos oficiais da empresa precisam ser mape-
ados, mas também dispositivos pessoais que são usados dentro do am-
biente de segurança devem estar dentro do mapeamento. Assim, a
gestão ativos, licenciamentos e atualizações é oficializada.

10
Segurança da Informação: Do risco à oportunidade.

10 passos para a Cibersegurança.

3. GERENCIAMENTO DE ATIVOS
Saiba quais dados e sistemas você possui e quais necessidades de negócios eles suportam.
Mais profundamente, um inventário completo de tudo o que é utilizado em TIC da empresa precisa ser feito,
bem como os dados trafegados neles. O mapeamento desses ativos, tanto de hardware como de software,
pode ser feito utilizando tecnologias disponíveis no mercado facilitando todo o processo. Importante
que todos os ativos da organização estejam nesse inventário, pois, não somente os disposi-
tivos oficiais da empresa precisam ser mapeados, mas também dispositivos pessoais
que são usados dentro do ambiente de segurança devem estar dentro do mapeamen-
to. Assim, a gestão ativos, licenciamentos e atualizações é oficializada.

4. ARQUITETURA E CONFIGURAÇÃO
Projetar, construir, manter e gerenciar sistemas com segurança.
A arquitetura das soluções que são utilizadas em um ambiente de TIC mudou consideravel-
mente nos últimos anos. Além das estruturas internas, cloud computing, ambientes híbridos,
tecnologias em transformação, necessidades de recursos crescentes, entre outros, exigem
uma arquitetura alinhada. Além dessas questões, a privacidade de dados se tornou as-
sunto de primeira ordem, seja por exigências de LGPD, GDPR* ou outras leis, mas
também pela transformação do relacionamento digital entre empresa e seus clientes.
Definir e construir uma arquitetura de TIC que ampare todas as demandas dessas fren-
tes deve ser uma ocupação do ponto de vista da cibersegurança.

11
 Segurança da Informação: Do risco à oportunidade.

10 passos para a Cibersegurança.

5. GERENCIAMENTO VULNERABILIDADE
Mantenha seus sistemas protegidos ao longo de seu ciclo de vida.
Uma vez declaradas, as vulnerabilidades em todos os ativos da empresa, bem como todas as variáveis envol-
vidas, necessitam da criação de um plano para a manutenção de todos os itens ao longo do seu uso na organi-
zação. O correto funcionamento e disponibilidade de todos os recursos para a
empresa está ligado diretamente à sua produtividade e sucesso. O monitora-
mento constante de todos os ativos deve permitir, não somente a confirmação
do seu correto funcionamento, mas também a eliminação e correção de falhas,
e construção de táticas de defesa para proteção de ataques;

6. GERENCIAMENTO DE ACESSO E IDENTIDADE

Controlar quem e o que pode acessar seus sistemas e dados.
É permitido a cada usuário, dentro das suas funções, poder acessar e
operar sistemas e dados. A correta identificação de cada usuário e a
permissão de acesso concedido a ele é o fator fundamental para a
construção de um ambiente de segurança da informação. A conces-
são desses acessos e a garantia de segurança no momento em
que eles acontecem também são fatores de atenção. Se de
um lado a permissão e rápido acesso é questão de produti-
vidade para o trabalho de cada usuário, do outro lado a sua
realização dentro de processos de segurança é uma ques-
tão de integridade de sistemas e dados para toda a
organização.

12
Segurança da Informação: Do risco à oportunidade.

10 passos para a Cibersegurança.

7. SEGURANÇA DE DADOS
Proteja seus dados onde ele é vulnerável.
O risco da invasão ou da perda de dados acontece onde eles estão, seja internamente na em-
presa, em serviços em nuvem ou mesmo em pendrives e HDs externos, por exemplo. Assim, a partir
de todo o levantamento e planos anteriormente descritos, é necessário que a proteção dos dados
aconteça efetivamente onde eles estão. A classificação de todos os dados, suas permissões de acesso,
permissões de realização de cópias etc., precisam ser devidamente realizadas e monitoradas. Com
base em políticas de acesso é necessário restringir o uso dos dados em todos os locais,
mesmo em mídias móveis como exemplificado anteriormente;

8. LOGGING E MONITORAMENTO
Projete seu sistema para ser capaz de detectar e investigar
incidentes.
Existem dois momentos muito importantes no processo de mitigação
de riscos em segurança da informação: a detecção do incidente prestes a
acontecer e o registro do que aconteceu durante esse evento. Desta forma,
ser capaz de detectar invasões antes que elas aconteçam e investigar
incidentes depois do ocorrido, fazem parte das ações de segurança da
informação. Muitas vezes, somente o monitoramento de comportamento
do usuário de recursos de TI é suficiente para dar feedback sobre suas
atividades, proporcionar aumento de produtividade e aumentar a
segurança. Uma vez acontecido o ataque, seja ele com sucesso ou não,
reunir informações sobre o ocorrido é fundamental para diagnosticar a
falha e corrigir a vulnerabilidade.
13
 Segurança da Informação: Do risco à oportunidade.

10 passos para a Cibersegurança.

9. GERENCIAMENTO DE INCIDENTE
Planeje sua resposta a incidentes cibernéticos com antecedência.
Mesmo quando uma empresa atua de forma efetiva mitigando riscos, ainda existe a possibilidade de inva-
sões e perda de dados acontecerem. Assim, é necessário ser elaborado pela empresa um plano de atuação técni-
co para que a correção do erro e contorno do problema seja realiza-
do. Mas, não somente questões técnicas precisam ser contempladas
nesse plano, já que questões legais são envolvidas nesse processo
como também a necessidade de posicionamento formal da empresa
frente aos seus clientes e comunidade:

10. SEGURANÇA DA CADEIA DE ABASTECIMENTO

Colabore com seus fornecedores e parceiros.
Ninguém faz nada sozinho, certo? Então, construir uma sinergia
entre a empresa e seus fornecedores é fundamental para que um
ambiente de segurança da informação seja implementado com
sucesso. A integração entre a empresa e as pessoas desses negócios
exige um novo nível de colaboração, pois processos e dados
sensíveis são trocados entre eles. Feedback a fornecedores é
fundamental para que juntos alcancem o nível de excelência em
segurança da informação, bem como para ajudar que fornecedores
estejam em um bom nível de compliance para que eles não sejam
o próprio risco.
14
Segurança da Informação: Do risco à oportunidade.

Um bom uso para você e sua empresa.

Como afirmamos no começo deste eBook, preparamos essas informações com muito carinho para que
você e sua empresa possam iniciar uma conversa interna sobre a segurança da informação e cibersegurança. Por
que somente iniciar? Porque esse é um debate que nunca se encerra, por conta da constante evolução do am-
biente no qual vivemos.

Esperamos que além desse debate, possam implantar de forma consistente as ações para a criação de
um ambiente de segurança da informação.

Claro que nosso time de especialistas estará a sua disposição para auxiliar nesse
processo, para isso, clique no botão abaixo e venha falar conosco. Será um prazer atender
você e a sua empresa.

*LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil, enquanto GDPR (General Data Protection Regula-
tion) é a lei Europeia que inspirou e fundamentou a lei brasileira. O principal objetivo da LGPD é dar às pessoas
maior controle sobre suas próprias informações. A lei estabelece regras para empresas e organizações sobre
coleta, uso, armazenamento e compartilhamento de dados pessoais, impondo multas e san-
ções no caso de descumprimento.

Clique aqui para falar

com um consultor

15
www.wisertecnologia.com.br