Dando continuidade à nossa coluna sobre as medidas necessárias para a regular e correta adequação e conformidade à Lei Geral de Proteção de Dados, hoje falaremos um pouco mais sobre a gestão de risco e inserção de controles de segurança da informação nas empresas, independente do respectivo porte.
Antes mesmo de entrarmos nas questões mais técnicas voltadas à segurança da informação, se faz necessário responder, ainda que brevemente, insistentes perguntas que ainda são feitas por diversos players de mercado: Quais os ativos que uma empresa deve proteger? Quais as vulnerabilidades e riscos que existem e podem impactar no funcionamento de determinada empresa? Como descobri-los?
Para que estas questões sejam minimamente respondidas é primordial que haja a definição de ativos, riscos e vulnerabilidades.
Primeiramente, observa-se que o conceito de ativos empresariais de relevância pode variar, de acordo com o perfil das pessoas que os mapeiam e classificam. Como isso? Se um profissional da área de Tecnologia da Informação listar os principais ativos da empresa, certamente fará começando pelos computadores utilizados pelos trabalhadores, eventuais programas neles contidos e assim por diante.
Já se essa análise de ativos for realizada por um profissional do departamento de recursos humanos, certamente serão identificados como ativos os dados relativos aos empregados e demais prestadores de serviços da empresa.
Assim, dentro da segurança da informação, ativo é todo equipamento, aparelho, sistema, programa, dados pessoais, informações diversas, dentre outros que possuam valor para determinada organização.
E a vulnerabilidade, o que é? Ela pode ser considerada como uma fraqueza identificada na estrutura de determinada empresa, por exemplo, que acaba por permitir a invasão indevida de terceiros, podendocolocar em risco toda a integridade do ativo atacado.
Já o risco pode ser definido como a possibilidade de uma ameaça explorar uma fraqueza (vulnerabilidade) existente e causar efetivos danos ou prejuízos para o ativo da empresa.
Podemos dividir os riscos como os de origem interna, isto é, aqueles que a empresa possui meios de mapear a respectiva existência e, assim, gerenciá-los, inclusive, preventivamente e os de origem externa, os quais a empresa não possui conhecimento prévio e, portanto, nenhum controle sobre sua ocorrência.
Para uma melhor compreensão, ressaltam-se os exemplos abaixo:
Riscos de origem interna: Erros praticados por empregados. Esse tipo de erro é muito comum de ocorrer, independentemente do tamanho da empresa, já que trabalhadores mal treinados ou até mal intencionados podem acessar dados e informações de outros setores não relacionados ao escopo laboral e, de alguma forma, contribuir para o respectivo vazamento.
Riscos de origem externa: Ocorrência de temporal, com fortes ventos e chuva, na cidade onde está seu estabelecimento comercial, o que provoca inundação de espaços da empresa, inclusive a sala onde ficavam os servidores com toda a base de dados empresarial.
Agora que já temos uma compreensão melhor de todos esses conceitos iniciais e como eles fazem parte do nosso dia a dia, lançamos aqui um questionamento reflexivo.
Sua empresa possui um plano alternativo para a continuidade de negócio caso um desastre ocorra?
Citamos como exemplo o seguinte episódio: sua colheitadeira utiliza um tipo específico de combustível e por uma falha no software do computador (devido à falta de manutenção preventiva), os indicadores estavam marcando uma quantidade totalmente discrepante de litros de combustível, fazendo com que não seja suficiente para terminar a colheita. Os caminhões precisam transportar a carga dentro de 2 horas até o porto da sua cidade. Qual ação você deveria ter tomado desde o início?
A análise e gerenciamento de riscos existem e devem ser aplicados em todos os setores de uma empresa para que um problema igual ao citado acima seja gerenciado e evitado. Um gerenciamento de riscos de negócios e de tecnologia eficaz serve para:
- Analisar, classificar e tratar os riscos de acordo com a sua criticidade.
- Aplicar corretamente dos controles de segurança da informação.
- Criar um plano de continuidade de negócios – significa entender o negócio, planejar, identificar e antecipar situações de crise ou desastres que podem afetar o negócio, portanto, é mais efetiva e minimiza ainda mais impactos.
- Criar um plano de recuperação de desastres – A recuperação de desastres é o método utilizado por uma organização para recuperar o acesso e a funcionalidade da infraestrutura de TI após um desastre natural ou humano, como falha de equipamentos ou ataques cibernéticos.
- Criar um plano de resiliência (ou contingência) – significa achar uma saída alternativa, muitas vezes “em cima da hora”, sem planejamento e durante o gerenciamento de crises, para minimizar impactos, mas sem planejar ou antecipar, torna-se uma “roleta russa” e os estragos podem ser ainda maiores.
- Informar quais ações devem ser tomadas para mitigação dos riscos.
Portanto, verifica-se que a análise e gerenciamento de riscos é de suma importância para as empresas, especialmente quanto àadequação à Lei Geral de Proteção de Dados – LGPD.
Essa consultoria deve ser feita por um profissional experiente para que todos os cenários possam ser avaliados e analisados. Somente após será possível aplicar os controles de segurança da informação de maneira correta.
Texto de coautoria de Jorge Luiz Muniz, sócio fundador da Web Security Consultoria e Serviços de Segurança da Informação e Juliana Neves Crisostomo, especialista em privacidade e proteção de dados do Arone Coutinho Advocacia.
No nosso próximo encontro, falaremos sobre a importância do mapeamento de dados na adequação a LGPD e um pouco mais sobre segurança da informação e gestão de riscos de TI. Convidamos a acompanharem mensalmente a nossa coluna de segurança da informação criada especialmente para você do agronegócio, com dicas e informações importantíssimas e de grande relevância para o seu negócio. Até breve.
Texto em coautoria com Juliana Neves Crisostomo.
