A importância da política de segurança da informação para sua empresa

Frequentemente nos encontramos sob pressão para que aumentemos a segurança de nossa infraestrutura computacional.

Mas o que é aumentar a segurança? Afinal, estamos inseguros? Sentimento ou realidade?
Devido ao desconhecimento técnico, a grande maioria das pessoas desenvolve uma falsa sensação de segurança se apoiando exclusivamente em produtos como a única linha de defesa. Parafraseando Bruce Schneier, considerado o guru da segurança da informação pela The Economist, “Segurança é um processo, não um produto”.

Então, quais são as boas práticas?
A solução está em desenvolver e implementar uma política de segurança da informação, o que pressupõe um gerenciamento dos riscos.

Os riscos de cada organização, bem como o tipo de infraestrutura ou o tipo de informação são diferentes de empresa para empresa. A política de segurança contém um pacote de providências computacionais e humanas, montadas levando-se em consideração as características do negócio, diretrizes estratégicas da organização, metas e cultura corporativa. Todo colaborador e usuário dessa infraestrutura deve conhecer esse conjunto de normas e procedimentos para desempenhar bem suas atividades, minimizando a exposição dos ativos da empresa à riscos desnecessários. 

A aplicação de uma política de segurança, nos remete a uma troca. Seja por dinheiro, conveniência, liberdade ou outra coisa. Tudo isso passa pelos riscos que queremos mitigar, e pela agilidade que queremos manter em áreas estratégicas de nosso negócio.

Isso não é suficiente. Precisamos também pôr tudo isso a prova. É a hora de verificar se nosso gerenciamento de riscos leva em conta a realidade, e não somente nosso sentimento. Para isso, são necessários testes frequentes, seja de situações do comportamento humano ou de vulnerabilidade de nosso ambiente. As ameaças podem se tornar realidade através de falhas de segurança ou vulnerabilidades, que na medida do possível precisam ser identificadas e corrigidas.

Exatamente por esse motivo, é importante realizar testes de invasão frequentes. Um teste de invasão deve ser realizado por hackers éticos, e simula ataques externos e/ou internos à infraestrutura, com o objetivo de explorar quaisquer vulnerabilidades que possam comprometer a disponibilidade, confidencialidade ou integridade de computadores, serviços e/ou informações.

O CIO consciente, se preocupa com tudo isso. Estamos vivendo um momento que aliado a negligência e fraudes conhecidas estão agregadas situações como ameaças políticas e terrorismo, que potencializam os riscos citados. Nunca houve tantas ferramentas nas mãos de pessoas que podem ter as mais variadas motivações para comprometer a segurança da sua organização
 
Você está preparado?

*Este artigo foi publicado na Agência O Globo, Mundo do Marketing, Comunique-se, e Segs.