Segurança da informação


A informação, ativo valorizado no mundo moderno, é importante para a operação e a inteligência dos negócios da empresa, e principalmente para a sua credibilidade diante de Clientes e parceiros comerciais.

A proteção de dados da empresa é uma prática mandatória, não negociável. Por esta razão, as empresas modernas buscam estabelecer uma estrutura de segurança da informação baseada em políticas, soluções de segurança e aderência aos padrões e melhores práticas de mercado, objetivando proporcionar um nível adequado de segurança para o negócio.

A estrutura de segurança da Informação abrange as políticas de segurança, processos e mecanismos de gestão, controle e monitoramento contínuo da integridade das informações, prevenção de ataques internos e externos, furto de dados, acesso seguro às informações da empresa e a continuidade das funções de negócio em caso de incidentes ou desastres naturais.

O bom funcionamento desta estrutura depende fortemente do planejamento, manutenção e constante evolução da prevenção contra a dinâmica de ataques constantes e cada vez mais sofisticados. O sucesso da empresa depende da implementação de uma estratégia robusta que permita a captura, acesso, armazenamento, processamento e monitoramento dos dados de forma segura.

O planejamento da segurança da informação


O planejamento da Segurança da Informação é um processo que deve ser conduzido periodicamente e pode ter abrangências diferentes. O trabalho de planejamento pode incluir: a avaliação dos riscos (novas ameaças e convencionais), a aderência às políticas; a eficácia dos processos estabelecidos; os serviços e soluções tecnológicas utilizados; mecanismos de recuperação e restabelecimento das funções de negócio, e o trabalho de conscientização de colaboradores.

Os principais elementos que constituem este trabalho:

Necessitam ser analisados, pois devem direcionar todas as iniciativas que estabelecem os novos mecanismos e atualizam a estrutura existente de segurança da informação da empresa (Ex.: terceirização de funções, mobilidade, expansão dos negócios nos meios digitais, internacionalização, integração com parceiros comerciais através da troca de arquivos e transações).

Mitiga o risco da aplicação de penalidades por parte de órgãos reguladores, devido à não conformidades, caso de alguns setores do mercado. Auxiliam ainda, no estabelecimento de políticas, governança, controles e processos para a estrutura de segurança da informação da empresa.

Permite avaliar as funções, papéis e responsabilidades, capacitação, comunicação e níveis de serviços (internos e desempenhado por terceiros).

Permite avaliar a diversidade de plataformas tecnológicas (hardware, software, aplicações) e os mecanismos existentes para o controle e monitoramento destes ambientes.

Permite avaliar os dados, incluindo: privilégios de acesso, política de retenção, local de armazenagem, e determinar as medidas necessárias para o controle e proteção.

Permite avaliar a efetividade das diferentes camadas de segurança da informação, incluindo: programas antivírus, patching, e-mail, filtros, firewalls, monitoramento, MDM1 segmentação de ambientes lógicos e físicos.

Permite analisar os controles estabelecidos, riscos (aceitáveis ou não), ações de mitigação e planos de contingencia.

Políticas e procedimentos específicos para o acesso de terceiros à rede, informações, espaços, sistemas de informação da empresa.

Determina as responsabilidades e as ações a serem executadas no caso de incidentes de forma a garantir a continuidade das funções de negócio

Promove o entendimento de políticas e procedimentos, responsabilidades, e no estabelecimento de uma cultura de prevenção de incidentes

Benefícios

  • Promove o alinhamento das iniciativas de segurança da informação com os objetivos estratégicos de negócio
  • Permite avaliar riscos e vulnerabilidades e definir estratégias e ações de mitigação
  • Identifica os gaps existentes e oportunidades de melhorias
  • Define e prioriza as iniciativas de curto, médio e longo prazo
  • Prevenção de perdas financeiras decorrentes de incidentes ou penalidades devido à não conformidade (exigências regulatórias)
  • Prevenção do risco de imagem e reputação
  • Postura proativa (ao invés da postura de bombeiro “fire fighters”)
  • Proporciona maior transparência, maior facilidade na comunicação com executivos da organização, agilizando a aprovação das iniciativas necessárias para a boa gestão da segurança da informação na empresa

Os ataques cibernéticos


Relacionamos o resultado de pesquisas realizadas recentemente em relação aos riscos de ataques cibernéticos que confirmam a importância do planejamento da segurança da informação:

  • Em 2017, o Brasil passou a ser o segundo país com maior número de casos de crimes cibernéticos no mundo, afetando cerca de 62 milhões de pessoas e causando um prejuízo de US$ 22 bilhões. No ano anterior, o Brasil era o quarto colocado, mas agora fica apenas atrás da China. (Norton Cyber Security)
  • 68% dos líderes das empresas acreditam que o volume de ataques cibernéticos está crescendo. (Accenture)
  • Hackers atacam em média 2.244 vezes por dia ou uma vez a cada 39 segundos. (Universidade de Maryland, EUA)
  • A média para identificar uma violação em 2019 era de 206 dias. (IBM)
  • Um total de 4 bilhões de dólares foi o custo do incidente de violação de dados na Equifax, empresa de avaliação de risco de crédito. (Time Magazine)
  • Em 2018, foram realizados 10.573 bloqueios por dia em aplicações suspeitas em smartphones. (Symantec)

Como podemos ajudar a sua empresa?


As iniciativas de revisão da estrutura existente e planejamento de segurança da informação podem assumir diferentes objetivos e escopo variado, dependendo da necessidade da empresa. Incluímos abaixo um exemplo que pode ser aplicado à sua empresa:

Revisão da estrutura existente e planejamento

Oferece aos líderes de negócio e TI uma avaliação dos riscos ante as ameaças de ataques cibernéticos e identifica as vulnerabilidades da estrutura existente, e apresenta um plano de melhorias, levando-se em consideração as exigências regulatórias, as melhores práticas do mercado e o alinhamento com os objetivos estratégicos do negócio.

Porque a Citrine Consulting?


Ciente da importância do trabalho de planejamento de segurança da informação e da forte sinergia com as suas práticas, a Citrine Consulting estabeleceu alianças com profissionais experientes e especializados em Segurança da Informação que integram a sua equipe e agregam valor às iniciativas estratégicas conduzidas junto aos seus Clientes. Acreditamos que é justamente encarando os desafios de negócio em todas as suas dimensões, ou seja, processos de negócio, tecnologia da informação e pessoas (workforce performance), em um esforço coordenado, que podemos contribuir de forma diferenciada para os nossos Clientes maximizarem os seus resultados.

Entre em contato conosco


Conheça as soluções que a Citrine Consulting pode oferecer para a sua empresa