Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE ESTACIO DE SÁ SEGURANÇA DA INFORMAÇÃO LINDEMBERG REGO DO NASCIMENTO A SEGURANÇA DA INFORMAÇÃO E A SUA IMPORTÂNCIA NO AMBIENTE EMPRESARIAL FORTALEZA 2019 LINDEMBERG REGO DO NASCIMENTO A SEGURANÇA DA INFORMAÇÃO E A SUA IMPORTÂNCIA NO AMBIENTE EMPRESARIAL Trabalho de Conclusão de Curso apresen- tado ao curso de Segurança da Informação da Universidade Estácio de Sá - Unidade Fortaleza, para obtenção do grau de Espe- cialista. Orientadora: MARIA CECILIA TRANNIN FORTALEZA 2019 Dedicatória. . . A minha mãe, por ter a força e fé para criar todos seus filhos e mostrar que exemplos de vida é mais valioso que qualquer teoria. A minha amada esposa, que apesar de tantas provações que estamos passando, me incentivou e apoiou nesse momento importante na minha carreira profissional. AGRADECIMENTOS Meus sinceros agradecimentos vão para: Meu amigo e colega de trabalho Júnior, por encorajar-me nos momentos dificeis; A Minha esposa por ter a paciência e sensatez nos momentos de aflição; A minha família por me dá calma nos dias cansativos; Aos colegas de trabalho e gestora, mesmo sem saber me mostrou tranquilidade nas ocasiões dificeis; Aos professores da Estácio, por ter empenho e disciplina para passar todo o conteudo; Aos meus animais de estimação Tom e Téo (gatinhos), por ter dado carinho e fofura nos momentos de stress. Minha orientadora que se empenhou e esclareceu minhas dúvidas. Os problemas sempre estarão presentes em nossas vidas, não podemos desanimar quando eles acontecem, o importante é não perder a paciência e seguir confiando em Deus. “Em tudo somos oprimidos, mas não sucumbi- mos. Vivemos em completa penúria, mas não desesperamos. Somos perseguidos, mas não ficamos desamparados. Somos abatidos, mas não somos destruídos.” II Coríntios 4, 8-9. RESUMO Na era do conhecimento e tantas transformações, a informação pode ser consi- derada a base de sustentação em uma empresa. As pessoas são o grande elo entre a capitação de dados e a informação, tornando as decisões inteligentes e estratégicas nos negócios da empresa. Sendo uma peça fundamental a informação pode alavancar ou derrubar uma organização, dependendo de como ela é utilizada. A Informação trata-se do bem econômico mais valorizado atualmente, pois, é expansiva, isso quer dizer que, quanto mais você a utiliza, mais ela cresce. Para manter toda essa valorização em mãos certas e protegida, precisa de investimento que muitos gestores não querem pagar, eis ai o grande perigo de se manter algo tão valioso armazenado e manipulado de qualquer maneira. Com o crescimento da tecnologia, ficou exponencial a geração de dados em informações, entretanto, o investimento em equipamento, serviços e pessoal qualifi- cado ficou mais significativo. É aí, que muitas empresas sem o devido conhecimento, tentam sobreviver em seus negócios. Com o mínimo de investimento em tecnologia e em segurança, muitos gestores não dão a importância ao tema, pois, a cultura e o achismo, ainda prevalece em muitos estabelecimentos. O pouco caso de ameaças e acontecimentos ocorridos dentro da empresa, mostra a segurança da informação deixada de lado, pelo simples motivo e achismo. Que, isso não acontecerá conosco. O risco da perda e roubo de dados de uma determinada empresa está direta- mente ligada a sua estrutura de proteção e cuidados com toda a cadeia de informação passada por ela. Diante da importância da utilização dessas informações, esse trabalho tem como objetivo de enfatizar A Importância da Segurança da Informação no Ambiente Empresarial. LISTA DE ILUSTRAÇÕES Figura 1 – Pilares da Segurança da Informação . . . . . . . . . . . . . . . . . . 11 LISTA DE ABREVIATURAS E SIGLAS ABNT Associação Brasileira de Normas Técnicas BI Componente de software que visa gerar dados estáticos e de tendências visando à tomada de decisões de negócio CIO Chief Information Officer Cloud Conceito de computação em nuvem refere-se à utilização da memória e da capacidade de armazenamento e cálculo de computadores e servidores Hospedados em Datacenter e interligados por meio da Internet, seguindo o princípio da computação em grade. Firewall Equipamento ou software responsável em filtrar, regrar e limitar o acesso, entrante e sainte, de dados de uma rede de computador interna e uma rede externa, com o proposito de segurança. Hardware Ativos de rede, partes física computadores e equipamentos IDC International Data Corporation é fornecedora de inteligência de mercado, serviços de consultoria e eventos para os mercados de tecnologia da infor- mação, telecomunicações e tecnologia de consumo S.I Segurança da Informação URL Uniform Resource Locator SUMÁRIO 1 INTRODUÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2 SEGURANÇA DA INFORMAÇÃO . . . . . . . . . . . . . . . . . . . . 10 2.1 PILARES DA SEGURANÇA DA INFORMAÇÃO . . . . . . . . . . . 10 2.1.1 Confidencialidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.1.2 Integridade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.1.3 Disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.1.4 Autenticidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.1.5 Não Repúdio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.2 GERENCIAMENTO DA SEGURANÇA DA INFORMAÇÃO . . . . . . 13 2.3 A INFORMAÇÃO E SUA IMPORTÂNCIA . . . . . . . . . . . . . . . . 14 2.4 AÇÕES PARA UMA BOA SEGURANÇA DA INFORMAÇÃO . . . . 14 2.4.1 Acompanhar tendências e evoluções da área. . . . . . . . . . . . . . 15 2.4.2 Manter softwares e drives atualizados. . . . . . . . . . . . . . . . . . 15 2.4.3 Estabelecer controles de acesso para os colaboradores. . . . . . . . 16 2.4.4 Estabelecer bloqueios de sistemas de saída. . . . . . . . . . . . . . . 16 2.4.5 Criar políticas de segurança na empresa. . . . . . . . . . . . . . . . . 16 2.4.6 Alinhar os processos às políticas de segurança. . . . . . . . . . . . . 17 2.4.7 Treine os colaboradores para medidas de segurança. . . . . . . . . . 17 2.4.8 Tenha ferramentas de monitoramento. . . . . . . . . . . . . . . . . . 18 2.4.9 Utilize a criptografia de dados. . . . . . . . . . . . . . . . . . . . . . . 18 2.4.10 Conte com ajuda de empresas especializadas em segurança da infor- mação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 2.4.11 Crie planos de contingência. . . . . . . . . . . . . . . . . . . . . . . . 19 2.4.12 Invista em backups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3 PROBLEMATIZAÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . 20 4 JUSTIFICATIVA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 5 METODOLOGIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 6 CONCLUSÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 7 REFERÊNCIAS BIBLIOGRÁFICAS . . . . . . . . . . . . . . . . . . 24 9 1 INTRODUÇÃO A Segurança da Informação está cada vez mais entrando em evidências, pois, ataques cibernéticos crescem a cada dia. Hoje milhares de organizações sofrem danos parciais ou até mesmo irreparáveis, por conta de vulnerabilidades e ameças de pessoas internas e externas da empresa. Ataques e invasões convertidos em prejuízos gigantescos, alertam CIOs de todo mundo. Alguns incidentes de segurança ocorridos nos últimos anos, como Target e Sony, demonstram como as organizações ainda estão muito vulneráveis a vazamentos de dados que ganham proporções catastróficas. O uso crescente da tecnologia em nuvem e o aumento na sofisticação das ameaças virtuais tornam o cenário da segurança da informação ainda mais complexo. Para pequenos negócios, a falta de pessoal adequadamente treinado torna a questão da insegurança ainda maior. A falta de investimento e a não priorização da segurança tornam as empresas alvos ainda mais frágeis. Organizações desprezam Implantação de Sistema de Segu- rança da Informação no seu ambiente. Gestores de tecnologia precisam reconhecer que métodos tradicionaisde se lidar com brechas de segurança não são efetivos para responder ataques massivos. Todo e qualquer meio empresarial está sob ataque todos os dias. Para minimizar ameaças e vulnerabilidades algumas empresas adotam ferra- mentas e equipamentos de Firewall para manter seu ambiente seguros, mas, será que somente esses recursos bastam para a segurança da informação? A pesquisa consiste em ressaltar a importância das organizações reconhecerem a Segurança da Informação no seu negócio e o impacto que a perda ou violação de dados pode acarretar dentro da empresa. 10 2 SEGURANÇA DA INFORMAÇÃO A segurança da informação está diretamente relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São propriedades básicas da segurança da informação: • confidencialidade • integridade • disponibilidade • Autenticidade • Não Repúdio A Segurança de dados e a Segurança da Informação são medidas essenci- ais para qualquer organização. Contudo, é necessário o envolvimento de todos os gestores e colaboradores, pois, a implantação só tem peso caso tenha apoio de toda diretoria da empresa. Todo gestor tem que compreender exatamente o que a Segurança da informação engloba e, porque ela é tão importante. Eis a questão: toda organização lida diariamente com informações confidenciais. Normalmente, esses dados são funda- mentas e vitais para o bom funcionamento dos processos internos e externos. Essas informações transitam por toda a empresa e precisam ser manuseadas com cuidado. 2.1 PILARES DA SEGURANÇA DA INFORMAÇÃO As principais etapas da segurança requer um importante patamar, em relação às prioridades de proteção. Todos os dados gerados e disponibilizados podem so- frer adulteração. Veremos os principais pilares da Segurança da Informação, segundo os padrões internacionais (ISO/IEC 17799:2005) são os seguintes:: Capítulo 2. SEGURANÇA DA INFORMAÇÃO 11 Figura 1 – Pilares da Segurança da Informação Fonte: Pagina da Andressa Campos, 2016 - Disponível em https://i1.wp.com/andressacamposblog.com/ wp-content/uploads/2016/10/5_pilares-300x245.png?resize=475%2C386 2.1.1 Confidencialidade A confidencialidade é a restrição de acesso à informação a um usuário ou grupo, de- finido por uma pessoa autorizada. Incluindo medidas de privacidade e proteção. Acesso à informação é concedido com base na necessidade. Por exemplo, para um colaborador da área contabilidade visualizar os relatórios de atividades com o cliente. Protege as informações para que não caiam em mãos erradas. Garantir, por exemplo, que documentos confidenciais não sejam mantidos sobre a mesa enquanto não estão presentes (política de mesa limpa). Gerenciar acesso lógico da infraestrutura de rede, para garantir que somente pessoas autorizadas tenham permissões aos processos, sistemas, bases de dados e Capítulo 2. SEGURANÇA DA INFORMAÇÃO 12 programas. 2.1.2 Integridade A comunicação de uma empresa é sempre interna e externa, isso é, toda a informação trafegada ou impressa é exclusividade. Essas informações precisam es- tar íntegras para as pessoas que acessam. Os processos para manter essa integridade entre emissor e receptor. Pois informação sem integridade demanda auditoria, corre- ção e retrabalho, portanto, causa desperdício de energia, que se traduz em dinheiro e confiança. Gerenciar acesso lógico da infraestrutura de rede, para garantir que somente pessoas autorizadas tenham permissões aos processos, sistemas, bases de dados e programas. Com o volume crescente de mensagens e dados que trafegam atualmente nas em- presas, a integridade da informação é indispensável. Sem a integridade da informação fica inviável, isto é, mais custo para a mesma receita e em consequência, menor margem de lucro. No limite, pode prejudicar todo o fluxo financeiro e confiabilidade das organizações. 2.1.3 Disponibilidade Garante que as informações estejam disponíveis sempre que necessário, com in- tegridade e confiabilidade. Com ligação direta a empresa, a disponibilidade é um dos pilares mais importan- tes a se garantir, pois, seu funcionamento é imprescindível para o bom funcionamento. Estamos falando de todas as informações que são geradas pelos seus colaboradores. Quando a informação não está disponível, os processos que dela dependem simplesmente ficam paralisados. Caso haja indisponibilidade de um conjunto grande ou especificamente crítico de informações, a empresa pode parar e entrar em estado de lucro cessante, quando não de prejuízo. 2.1.4 Autenticidade No Sistema de informação, é a certeza que você é quem diz ser. Um dos meios de comprovar isso por exemplo: a biometria, que confere suas digitais no banco de Capítulo 2. SEGURANÇA DA INFORMAÇÃO 13 dados pré cadastrado. Autenticidade é quando um usuário vai manipular algum dado e ocorre um registro naquela ação, tendo como comprovar quem fez essas alterações. É importante que o profissional de S.I. mantenha sempre em enfase a importância da segurança dos dados corporativos entre todos os usuários. Há diversas formas de manter a proteção da informação e não apenas criando mecanismos que realizam esse trabalho, mas desenvolver projetos que envolvam os usuários para conscientizá-los. 2.1.5 Não Repúdio Está relacionado a garantia de que o autor de determinada ação não possa negar a ação realizada. A segurança da informação deve ter medidas que garanta e identifique quem realizou determinada ação. 2.2 GERENCIAMENTO DA SEGURANÇA DA INFORMAÇÃO Ter um bom gerenciamento de Segurança da informação é necessário os prin- cípios das camadas, pois, elas garantem que os dados sejam salvos com o máximo de segurança. São elas: Física: Ambiente em que o hardware (computadores, servidores, meios de comunicação) está fisicamente instalado. É importante uma estrutura que ofereça proteção contra ameaças de diversas naturezas, como incêndios, desabamentos, alagamentos ou qualquer desastre que afete o espaço. Além disso, deve-se considerar a proteção do local contra usuários não autorizados. Lógica: Constituída pelo uso de software. Responsáveis por todo o funciona- mento do hardware, pelas interações dos dados da organização e pela criptografia das senhas e mensagens. Desse modo, se você mantiver os sistemas sempre atualizados e fazer backups periódicos, é possível conservar sua empresa segura e livre de ataques cibernéticos e erros intencionais. Humana: Está relacionada aos colaboradores, principalmente aos responsáveis pela área de TI. Sendo a camada mais difícil e complexa de se trabalhar, pois, está muito ligada à forma como os funcionários lidam com os incidentes de segurança. É necessário treinamento dentre os membros instruindo possíveis ataques e abordagem de pessoas não autorizadas a informação da empresa. Capítulo 2. SEGURANÇA DA INFORMAÇÃO 14 2.3 A INFORMAÇÃO E SUA IMPORTÂNCIA Administrar qualquer organização requer muito conhecimento e informação, onde precisam de tratamento adequado para sua finalidade e uso. Está ciente que o sucesso da empresa dependerá exclusivamente das pessoas que lhe compõe, com a qualidade da informação que é gerada por ela. A Tecnologia da Informação tem que está alinhamento com os negócios propostos pela empresa, pois, é ela que sustentará toda a tecnologia sobre qualquer dado. A Informação nunca se tornou tão importante atualmente com o avanço da tec- nologia, dados facilmente se tornam informações úteis e valiosas. No meio empresarial a informação é o maior negócio de qualquer empresa. A informação tornou-se tão importante que Drucker (1993 a,b) defende o primado da informação como a base e a razão para um novo tipo de gestão, em que a curto prazo se perspectiva a troca do binômio capital/trabalho pelo binômio informação/conhecimento como factores determinantes no sucesso empresarial. Caminha-se para a sociedade do saber onde o valor da informa- ção tende a suplantar a importância do capital. A informação e o conhecimento são a chave da produtividade e da competitividade. (BRAGA,2000) A informação assume atualmente uma importância crescente, sendo um diferen- cial de sucesso, pois, o inúmero de acontecimentos externos, enfatizam as empresas a confrontar novas situações. É preciso saber obter a informação como ferramenta estratégica de competiti- vidade. Precisamos saber onde encontrar a informação, transforma-la e conhece-la. Estar sempre atento ao que acontece fora e dentro das organizações. Conhecer ao máximo a empresa onde atuamos é uma forma de nos destacarmos dos demais. Podemos também dizer que Informação é um processo que visa o conheci- mento, ou, mais simplesmente, Informação é tudo o que reduz a incerteza. . . Um instrumento de compreensão do mundo e da acção sobre ele (ZORRINHO, 1995, p. 15) 2.4 AÇÕES PARA UMA BOA SEGURANÇA DA INFORMAÇÃO Dez prioridades de segurança da informação, segundo o Gartner 1 1 Gartner é uma empresa de consultoria fundada em 1979 por Gideon Gartner. A Gartner desenvolve tecnologias relacionadas a introspecção necessária para seus clientes tomarem suas decisões todos os dias. Capítulo 2. SEGURANÇA DA INFORMAÇÃO 15 “As equipes devem se adaptar aos requisitos de negócios digitais emergentes e, ao mesmo tempo, estarem preparadas para lidar com um ambiente cada vez mais hostil”, observa Neil MacDonald, vice-presidente do Gartner. Segundo ele, os profissionais de segurança precisam aprender a trabalhar com tendências tecnológicas. Definir, alcançar e manter programas eficazes de proteção que ofereçam de forma simultânea com oportunidades de negócios digitais com a gestão de riscos. Para melhor implementar as práticas de segurança da informação — é neces- sário assegurar que não há brechas. Para isso, é preciso que sejam aplicadas as melhores ações nessa área. 2.4.1 Acompanhar tendências e evoluções da área. Uma realidade da área de tecnologia é: as tendências e evoluções são muito rápidas dentro deste setor. Soluções novas são criadas todos os dias pelas maiores empresas especia- lizadas da área, o que já torna necessário que os responsáveis da área de TI se mantenham atentos. Exigir cuidados maiores neste aspecto. Isto porque os cibercriminosos também criam e investem em novos mecanismos de ação todos os dias. Estar atento às inovações que são lançadas. Assim, caso apareça alguma novidade, você poderá implementar medidas de contenção. 2.4.2 Manter softwares e drives atualizados. Um dos principais meios de acesso dos hackers aos sistemas é por meio de falhas encontradas em softwares, sistemas operacionais e drives. Por isso as empresas fornecedoras estão sempre lançando novas atualizações, corrigindo as falhas que permitem esse tipo de ação e tornando os sistemas mais seguros. Porém, não adianta este trabalho se os gestores de TI não atualizarem os sistemas regularmente. Desta forma, as brechas permanecem e os cibercriminosos continuam tendo seus mecanismos de ação facilitados. Capítulo 2. SEGURANÇA DA INFORMAÇÃO 16 2.4.3 Estabelecer controles de acesso para os colaboradores. Uma forma comum de facilitar os problemas de segurança da informação é por meio de ações inadequadas dos usuários. Este tipo de falha humana é corriqueiro nas empresas. E pode ser dificultado por meio do controle de acesso para os colaboradores. Quanto menos pessoas têm acessos aos dados, menores são os riscos de erros deste tipo. Além disso, diminuais-se as hipóteses de vazamento de informações confidenciais ou estratégicas. Documente todos seu parque e suas políticas. 2.4.4 Estabelecer bloqueios de sistemas de saída. Da mesma forma, é imprescindível investir em bloqueio de sistemas de saída, evitando que informações sejam vazadas sem o conhecimento dos funcionários de TI. Por exemplo, invista em bloqueios de aplicativos e sites que facilitem o recolhi- mento de arquivos e envio para fora da rede da empresa. Se há sistemas internos de e-mail, pode-se bloquear o uso de e-mails pessoais dentro do ambiente empresarial, bem como sites de redes sociais e aplicativos de conversação. 2.4.5 Criar políticas de segurança na empresa. Todos os colaboradores fazem parte do processo de segurança da informação. Afinal, em alguma medida eles interferem no acesso às informações, seja por meio da criação de documentos, acesso à dados, facilitando a entrada de ‘malwares’ com usos inadequados, etc. Por isso é fundamental estabelecer normas de conduta e políticas de segu- rança que devem ser seguidos por todos. Esse tipo de documentação permite normati- zar as regras utilizadas na empresa. Com isso, torna-se possível diminuir as facilidades que permitem a ação de cibercriminosos ou falhas que comprometam os arquivos. Capítulo 2. SEGURANÇA DA INFORMAÇÃO 17 2.4.6 Alinhar os processos às políticas de segurança. Após a criação das políticas de segurança, é necessário alinhar os processos da empresa ao que foi normatizado e documentado anteriormente. Algumas alterações podem ser sutis, enquanto outras podem exigir uma rees- truturação de toda a empresa, tornando-se necessário realizar um planejamento prévio de implementação. Por exemplo, caso opte-se por alterar o sistema operacional, é necessária uma mudança em todas as máquinas instaladas no ambiente empresarial. Demanda-se tempo e preparação. O mesmo ocorre com possíveis mudanças nas formas de hierarquia de arquivos, realização de backups recorrentes, entre outros. Assim, deve ser estabelecida, junto aos diretores das outras áreas, a necessi- dade de adequação dos processos, de forma a colocar em prática o que foi documen- tado anteriormente. Caso contrário, as falhas anteriores permanecerão e poderão causar problemas que deverão ser resolvidos posteriormente. 2.4.7 Treine os colaboradores para medidas de segurança. Algumas questões elaboradas nas políticas de segurança podem não ser tão claras para os colaboradores, principalmente por envolverem questões específicas da área de tecnologia. Para evitar confusões, dúvidas e ações errôneas, é imprescindível realizar treinamento com todos os envolvidos, de modo a normatizar as condutas de todos, bem como ensinar medidas básicas de segurança. É por meio do treinamento, por exemplo, que pode ser explicado para todos as razões pelas quais as redes sociais são bloqueadas no ambiente empresarial. Isso auxilia para que não busquem outros métodos de acesso que podem também comprometer a segurança das informações. O treinamento também auxilia na uniformização de procedimentos em caso de problemas. Capítulo 2. SEGURANÇA DA INFORMAÇÃO 18 2.4.8 Tenha ferramentas de monitoramento. É imprescindível utilizar ferramentas de monitoramento de atividades no coti- diano da área de TI. Para que a segurança seja eficaz, é preciso saber o que está acontecendo em toda a rede. Qualquer tipo de conduta errada, vulnerabilidade, mudança nos padrões de acesso deve ser percebida imediatamente, de forma a ser contida e evitar um ataque digital gerado por hackers. 2.4.9 Utilize a criptografia de dados. A criptografia é uma importante aliada para a segurança da informação. Ela impede, por exemplo, que os arquivos sejam acessados caso sejam interceptados no meio do processo, só tendo as chaves de acesso, as pessoas que possuem a chave privada. Este tipo de ferramenta pode e deve ser utilizado no envio de informações estratégicas e confidenciais, evitando que hackers possam interceptar os dados e ter acesso ao que foi encaminhado. 2.4.10 Conte com ajuda de empresas especializadas em segurança da informação. As empresas especializadas na área de segurança da informação podem ser estratégicas e essenciais para garantir a privacidade e integridade dos dados da sua corporação. Elas estão sempre atentos para as novidades, trazendo e desenvolvendo so- luções importantes e inteligentes que ajudarão a potencializar os mecanismos de proteção. Por exemplo, pode-se contar com essas empresas para o armazenamento de backups na nuvem de forma segura. Capítulo 2. SEGURANÇA DA INFORMAÇÃO 19 Assim, garante-se uma maior proteção para os dados e permitindo que sua equipe direcioneos esforços para outras questões da área de TI. 2.4.11 Crie planos de contingência. Não basta apenas pensar em medidas preventivas. Como falamos ao longo deste artigo, os cibercriminosos são engenhosos e criam constantemente novas formas de atuação para conseguirem seus objetivos. Muitas vezes eles surpreendem os especialistas em segurança da informação, de forma que, até descobrir formas de reverter a situação, pode-se ter prejuízos inestimáveis. Além disso, os problemas não se limitam apenas aos casos de ataques feitos por hackers: desastres tecnológicos, falhas humanas, entre outros, são recorrentes. É preciso saber como agir nessas situações. Assim, é necessário estipular ações padronizadas, já que a mitigação dos danos pode ser realizada por qualquer um dos membros responsáveis pela área de segurança da informação. As ações podem variar de profissional para profissional, o que pode causar problemas posteriores. Portanto, é fundamental criar parâmetros de padronização. Por isso, é importante ter um plano detalhado para eventuais situações, de forma que todos operem da mesma forma e evitem falhas de comunicação e procedimentos errados. 2.4.12 Invista em backups. Se tudo der errado e, assim, os dados encontrados em discos rígidos e servido- res forem perdidos, é essencial ter uma espécie de “plano B” para não inviabilizar as funções cotidianas. O backup é a melhor opção nesses casos, provendo uma recuperação de dados eficiente, seja por meio de um servidor externo, um HD externo ou na nuvem. O essencial é não abrir mão dessa ferramenta. Nem perca seu tempo se você não tiver um executivo o apoiando. A maioria dos planos não consegue se materializar devido à falta de suporte execu- tivo. McCARTHY, N. K, 2014. 20 3 PROBLEMATIZAÇÃO Esse trabalho veio mostrar a grande importância da Implantação de um Sis- tema de Segurança da Informação dentro das organizações. Segundo informações do DFNDR LAB, laboratório especializado em cibersegurança da PSafe, foram detecta- dos 120,7 milhões de ataques cibernéticos no primeiro semestre de 2018. Este número representa um crescimento de 95,9%., o número de ataques cibernéticos no Brasil quase que dobrou em 2018. Levantamentos realizados pelo IDC a pedido da Fortnet, os ataques de larga escala continuam se proliferando no país, razão pela qual as empresas estão expan- dindo seu alcance na cibersegurança para conter tanto a frequência quanto a natureza variável das ameaças. A cada dia é imprescindível mais investimento na área de T.I., principalmente na Segurança da Informação. Sem o devido olhar prioritário, muitas empresas estão dei- xando de lado a segurança dos seus dados e informações. O crescimento exponencial e o alcance da informação deixa as organizações expostas a qualquer momento a ameças e ataques. O estudo indica que as empresas no Brasil estão investindo especificamente nas áreas de anti-malware e servidores de segurança para pontos terminais, bem como em áreas relacionadas à segurança móvel e ao firewall. A evolução do ransomware, que produz ataques mais complexos e sofisticados, está resultando em um aumento significativo entre 10% e 12%, em média, nos orçamentos dedicados à segurança cibernética. As empresas estão dando a devida importância o que diz respeito a Segurança da Informação nos seus negócios? 21 4 JUSTIFICATIVA A maneira como as empresas encaram o tema Segurança da Informação vem preocupando bastante os profissionais que atuam na área, pois, eles sabem a im- portância de uma boa implantação da Segurança dentro do ambiente organizacional. Estamos vivenciando hoje a era da informação, a ‘internet’ das coisas, onde tudo pode se conectar com tudo, sendo o motivo principal a geração da informação. A importância desse estudo é salientar que a Segurança da Informação tem como objetivo de prevenir, resguardar os problemas comuns e complexos referente as ameças e vulnerabilidades. Sabemos que o risco é constante em qualquer ambiente que se utilize da tecnologia. Por outros motivos a falta de informação e crendice que nada irá acontecer, as empresas deixam de seguir orientações importantes sobre a segurança dos seus dados e ativos. Por outro lado, existem organizações que investem para manter seu negócio seguro, mas não tem uma continuidade, tornando politicas e ferramentas obsoletas. 22 5 METODOLOGIA Foi utilizado uma metodologia do projeto, caracterizada como um estudo descri- tivo analítico desenvolvido através de pesquisa: • Bibliográfica; • Documental, através de pesquisas em literaturas técnicas complementadas por dados e documentos eletrônicos obtidos com pesquisa na Internet. 23 6 CONCLUSÃO O primeiro passo a ser observado é que não existe risco zero. O que existem são vários níveis de segurança e cada nível tem que estar de acordo com a informação que se quer proteger e o negócio da empresa. Um alto nível de segurança pode gerar a perda da velocidade em função da burocratização de processos, insatisfação de clientes, fornecedores e até mesmo desinteresse dos investidores. A maior dificuldade das grandes organizações é assegurar que todos os seus funcionários conheçam e sigam corretamente as normas e políticas de segurança, compreendendo a sua importância. Não se mensurar algo que não é medido ou gerenciável. Ter conhecimento sobre os meios de tecnologia é essencial para uma boa gestão com seus funcionários. Pensar que está tudo bem e tranquilo é uma das grandes falhas de empresas que buscam proteger seus dados. A continuidade de serviço que engloba a Segurança da Informação está sempre se atualizando, deixar algo inerte é permitir vulnerabilidades e brechas para possíveis ataques. É essencial que se mapeie os ativos da empresa para que possa mitigar seus da- nos e valores. Priorizar as informações que possam sofrer danos é garantir e minimizar seus impactos negativos nos negócios da empresa. 24 7 REFERÊNCIAS BIBLIOGRÁFICAS • McCARTHY, N. K., Resposta aIncidentes de Segurança em Computadores: Plano para Proteção de Informação em Risco, 2014 • TAMASSIA, R; Michael T. GOODRICH, Introdução a Segurança de Computado- res, 2013 • BRAGA, Ascenção. A Gestão da Informação. Millenium. N.º 19, junho de 2000 • ZORRINHO, C. Gestão da Informação. Condição para Vencer. Lisboa: Iap- mei:1995. • SÊMOLA, M. Gestão da Segurança da Informação, Uma Visão Executiva. 7 ed. Rio de Janeiro: Elsevier, 2003 • FERREIRA, F. N. F.; ARAÚJO, M. T. Política da Segurança da Informação: Guia Prático para Elaboração e Implementação. 1. ed. Rio de Janeiro: Ciência Moderna, 2006. • HE:Blog: A importância da tecnologia para o dia a dia da gestão empresarial. Dis- ponível em: <https://helabs.com/blog/a-importancia-da-tecnologia-para-o-dia-a- dia-da-gestao-empresarial/> Acesso em: 10 abril. 2019. Capítulo 7. REFERÊNCIAS BIBLIOGRÁFICAS 25 • N1IT:.O que é e qual a importância da segurança da informação?. Disponível em: <http://www.n1it.com.br/o-que-e-e-qual-importancia-da-seguranca-da-info rmacao/> Acesso em: 13 abril. 2019. • TecHoje: A importância e a implementação da segurança da informação no âmbito das atividades de negócios. Disponível em: <http://www.techoje.com.br/ site/techoje/categoria/detalhe_artigo/221/> Acesso em: 14 abril. 2019. • Administradores.com: A importância da Tecnologia no crescimento empresarial.. Disponível em: <https://administradores.com.br/artigos/a-importancia-da-tecnol ogia-no-crescimento-empresarial> Acesso em: 17 abril. 2019. Folha de rosto Dedicatória Agradecimentos Epígrafe Resumo Lista de ilustrações Lista de abreviaturas e siglas Sumário INTRODUÇÃO SEGURANÇA DA INFORMAÇÃO PILARES DA SEGURANÇA DA INFORMAÇÃO Confidencialidade Integridade Disponibilidade Autenticidade Não Repúdio GERENCIAMENTO DA SEGURANÇA DA INFORMAÇÃO A INFORMAÇÃO E SUA IMPORTÂNCIA AÇÕES PARA UMA BOA SEGURANÇA DA INFORMAÇÃO Acompanhar tendências e evoluções da área. Manter softwares e drives atualizados. Estabelecer controles de acesso para os colaboradores. Estabelecer bloqueios de sistemas desaída. Criar políticas de segurança na empresa. Alinhar os processos às políticas de segurança. Treine os colaboradores para medidas de segurança. Tenha ferramentas de monitoramento. Utilize a criptografia de dados. Conte com ajuda de empresas especializadas em segurança da informação. Crie planos de contingência. Invista em backups. PROBLEMATIZAÇÃO JUSTIFICATIVA METODOLOGIA CONCLUSÃO REFERÊNCIAS BIBLIOGRÁFICAS
Compartilhar