Medidas de Segurança da Informação

Fala rapa, beleza?


Sem dúvida nenhuma o assunto segurança da informação está em alta no momento. Com a entrada das normas LGPD e alguns incidentes de segurança em empresas de grande porte (como o caso da Renner), as empresas então cada vez mais valorizando a segurança de suas informações.

Quando o assunto é segurança da informação, muitos interligam a responsabilidade do assunto ao TI, mas você sabia que a Segurança da informação abrange muito mais que do que o setor do TI em uma organização? Nesse post irei explicar para vocês um pouco sobre as medidas utilizadas para tratamento dos riscos de Segurança.

Tipo de Medidas de Segurança

As medidas de segurança são dívidas em 3 categorias, são elas: Controles físicos, Controles técnicos e Controles organizacionais. Todas elas tem o mesmo objetivo que é tornar a informação o mais segura o possível, garantindo a confidencialidade, integridade e disponibilidade da informação. Mas antes de explicar sobre cada uma, gostaria de explicar sobre os tipos de medidas. As medidas de segurança podem ser classificadas como:

  • Medidas Detectivas – São medidas utilizadas para detectar algum risco. Nesse tipo de medida, o risco é identificado porém não é tratado. Um bom exemplo é uma câmera de segurança, caso uma pessoa transite em um ambiente não autorizado, a câmera irá capturar a imagem da pessoa, porém não terá nenhum recurso para impedi-la.
  • Medidas Preventivas – São medidas utilizadas para prevenir algum de risco. Nesse tipo de medida o risco é identificado e tratado. Suponhamos que uma atualização de segurança para o seu sistema operacional que corrija algum tipo de vulnerabilidade esteja disponivel. Você atualizar seu sistema, antes que a vulnerabilidade se torne um incidente, é uma ação preventiva.
  • Medidas de Dissuasão – São medidas utilizadas para desencorajar uma ameaça a cometer uma ação maliciosa.

  • Medidas Corretivas – Medidas utilizadas para corrigir um risco após um incidente. Por exemplo restaurar um backup de rede após um ataque de um ransomware.

Bem, agora vamos aos detalhes de cada categoria de medida…

Controles Físicos de Segurança

Os controles físicos de segurança são utilizados para proteger fisicamente as áreas que contenham informações.  Abaixo vou usar apenas alguns exemplos, mas eles abrangem todo tipo de segurança física.

  • Controles de entradas físicas – São controles implementados para assegurar que somente pessoas autorizadas tenham acesso ao ambiente. Como por exemplo: Catracas, portas, fechaduras, leitor de biometria.
  • Proteção contra Ameaças de Meio Ambiente – Proteções físicas instaladas contra incêndios, enchentes, terremotos, etc. Por exemplo: Extintores, Para-Raios, etc.
  • Proteção de Perímetro – São proteções instaladas/construidas para aumentar a proteção físicas nos perímetros. Muros, paredes, portões, guardas.

Controles Técnicos de Segurança

Os controles técnicos de segurança são utilizados para proteger as informações em seu formato eletrônico. Esse tipo de controle na maioria das vezes, está sobre responsabilidade da equipe de TI. Veja abaixo alguns exemplos.

  • Firewall – Um dispositivo de segurança que monitora o tráfego de entrada e saída da rede. O Firewall determina quem pode entrar e quem pode sair da rede, de acordo com um conjunto de regras.
  • VPN –  A VPN é uma das formas mais segurar para se fazer um acesso remoto a sua rede interna.
  • Backup – É uma cópia de segurança dos seus dados  de um dispositivo de armazenamento.
  • Criptografia –  A criptografia é uma forma de cifrar uma informação de forma que ela se torne ilegível para pessoas não autorizadas.

Controles Organizacionais de Segurança

Os controles organizacionais são medidas administrativas de segurança. As medidas administrativas são os primeiros passos que uma organização deve dar para implementar um ambiente seguro. Abaixo alguns exemplos.

  • Políticas de Segurança da Informação – O PSI é uma das medidas mais importantes de segurança da informação. Ela é um documento formal da direção da organização, que define o papel da Segurança da Informação dentro da organização.
  • Conscientização e Capacitação – Conscientizar e capacitar os colaboradores da organização sobre as consequência de alguma ação. Treinar o colaborador para que ele seja capaz lidar com os riscos e ameaças.
  • Controle de acesso lógico – Montar um planejamento que segmente os acessos as informações, garantindo que os usuários acessem apenas o que lhe é autorizado.

Conclusão

A segurança da informação vai muito além dos controles técnicos, ou da área de TI. Todos os métodos devem estar bem definidos e alinhados para que o ambiente se torne o mais seguro o possível. De nada irá adiantar o TI implantar um firewall bem configurado se os funcionários não seguirem as Politicas de segurança definidas pela direção da organização, ou então, que esse firewall esteja sem restrições físicas para que uma pessoa má intencionada chegue até ele.

Sobre Vitor Prado 11 Artigos
Das periferias de Diadema para o mundo. Maloqueiro nato que encontrou na evolução um dos sentidos da vida.

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*