A importância da gestão de riscos para a inserção de controles de segurança da informação

Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on facebook
Facebook
Share on twitter
Twitter

Dando continuidade à nossa coluna sobre as medidas necessárias para a regular e correta adequação e conformidade à Lei Geral de Proteção de Dados, hoje falaremos um pouco mais sobre a gestão de risco e inserção de controles de segurança da informação nas empresas, independente do respectivo porte. 

Antes mesmo de entrarmos nas questões mais técnicas voltadas à segurança da informação, se faz necessário responder, ainda que brevemente, insistentes perguntas que ainda são feitas por diversos players de mercado: Quais os ativos que uma empresa deve proteger? Quais as vulnerabilidades e riscos que existem e podem impactar no funcionamento de determinada empresa?  Como descobri-los? 

Para que estas questões sejam minimamente respondidas é primordial que haja a definição de ativos, riscos e vulnerabilidades.  

Primeiramente, observa-se que o conceito de ativos empresariais de relevância pode variar, de acordo com o perfil das pessoas que os mapeiam e classificam. Como isso? Se um profissional da área de Tecnologia da Informação listar os principais ativos da empresa, certamente fará começando pelos computadores utilizados pelos trabalhadores, eventuais programas neles contidos e assim por diante.

Já se essa análise de ativos for realizada por um profissional do departamento de recursos humanos, certamente serão identificados como ativos os dados relativos aos empregados e demais prestadores de serviços da empresa. 

Assim, dentro da segurança da informação, ativo é todo equipamento, aparelho, sistema, programa, dados pessoais, informações diversas, dentre outros que possuam valor para determinada organização.

E a vulnerabilidade, o que é? Ela pode ser considerada como uma fraqueza identificada na estrutura de determinada empresa, por exemplo, que acaba por permitir a invasão indevida de terceiros, podendocolocar em risco toda a integridade do ativo atacado. 

Já o risco pode ser definido como a possibilidade de uma ameaça explorar uma fraqueza (vulnerabilidade) existente e causar efetivos danos ou prejuízos para o ativo da empresa. 

Podemos dividir os riscos como os de origem interna, isto é, aqueles que a empresa possui meios de mapear a respectiva existência e, assim, gerenciá-los, inclusive, preventivamente e os de origem externa, os quais a empresa não possui conhecimento prévio e, portanto, nenhum controle sobre sua ocorrência. 

Para uma melhor compreensão, ressaltam-se os exemplos abaixo:  

Riscos de origem interna: Erros praticados por empregados. Esse tipo de erro é muito comum de ocorrer, independentemente do tamanho da empresa, já que trabalhadores mal treinados ou até mal intencionados podem acessar dados e informações de outros setores não relacionados ao escopo laboral e, de alguma forma, contribuir para o respectivo vazamento. 

Riscos de origem externa: Ocorrência de temporal, com fortes ventos e chuva, na cidade onde está seu estabelecimento comercial, o que provoca inundação de espaços da empresa, inclusive a sala onde ficavam os servidores com toda a base de dados empresarial. 

Agora que já temos uma compreensão melhor de todos esses conceitos iniciais e como eles fazem parte do nosso dia a dia, lançamos aqui um questionamento reflexivo. 

Sua empresa possui um plano alternativo para a continuidade de negócio caso um desastre ocorra? 

Citamos como exemplo o seguinte episódio: sua colheitadeira utiliza um tipo específico de combustível e por uma falha no software do computador (devido à falta de manutenção preventiva), os indicadores estavam marcando uma quantidade totalmente discrepante de litros de combustível, fazendo com que não seja suficiente para terminar a colheita. Os caminhões precisam transportar a carga dentro de 2 horas até o porto da sua cidade. Qual ação você deveria ter tomado desde o início?

A análise e gerenciamento de riscos existem e devem ser aplicados em todos os setores de uma empresa para que um problema igual ao citado acima seja gerenciado e evitado. Um gerenciamento de riscos de negócios e de tecnologia eficaz serve para:

  • Analisar, classificar e tratar os riscos de acordo com a sua criticidade.
  • Aplicar corretamente dos controles de segurança da informação.
  • Criar um plano de continuidade de negócios – significa entender o negócio, planejar, identificar e antecipar situações de crise ou desastres que podem afetar o negócio, portanto, é mais efetiva e minimiza ainda mais impactos.
  • Criar um plano de recuperação de desastres – A recuperação de desastres é o método utilizado por uma organização para recuperar o acesso e a funcionalidade da infraestrutura de TI após um desastre natural ou humano, como falha de equipamentos ou ataques cibernéticos.
  • Criar um plano de resiliência (ou contingência) – significa achar uma saída alternativa, muitas vezes “em cima da hora”, sem planejamento e durante o gerenciamento de crises, para minimizar impactos, mas sem planejar ou antecipar, torna-se uma “roleta russa” e os estragos podem ser ainda maiores.
  • Informar quais ações devem ser tomadas para mitigação dos riscos. 

Portanto, verifica-se que a análise e gerenciamento de riscos é de suma importância para as empresas, especialmente quanto àadequação à Lei Geral de Proteção de Dados – LGPD.  

Essa consultoria deve ser feita por um profissional experiente para que todos os cenários possam ser avaliados e analisados. Somente após será possível aplicar os controles de segurança da informação de maneira correta.

Texto de coautoria de Jorge Luiz Muniz, sócio fundador da Web Security Consultoria e Serviços de Segurança da Informação e Juliana Neves Crisostomo, especialista em privacidade e proteção de dados do Arone Coutinho Advocacia.

No nosso próximo encontro, falaremos sobre a importância do mapeamento de dados na adequação a LGPD e um pouco mais sobre segurança da informação e gestão de riscos de TI. Convidamos a acompanharem mensalmente a nossa coluna de segurança da informação criada especialmente para você do agronegócio, com dicas e informações importantíssimas e de grande relevância para o seu negócio. Até breve. 

Texto em coautoria com Juliana Neves Crisostomo.

VOCÊ TAMBÉM PODE SE INTERESSAR POR ESSAS PUBLICAÇÕES

Supremo Tribunal Federal

Supremo Tribunal Federal estabelece a taxa SELIC como a correta para atualizar os débitos trabalhistas

O Supremo Tribunal Federal acabou com a celeuma que permeava o tema relativo ao regular e válido indíce de correção monetário a ser utilizado para a atualização e correção dos débitos trabalhistas. Com a decisão, o STF, enfim, estabeleceu que o referido indice a ser utilizado na seara trabalhista é a taxa SELIC, reputando inconstitucional e inválida a utilização da TR e do IPCA-E.

Leia mais

Empresa é condenada em danos morais e materiais por não ter afastado empregada gestante do trabalho presencial, durante a pandemia

Tribunal Regional da 11ª Região reconhece culpa recíproca entre empregadora e trabalhadora gestante, vítima fatal da COVID-19, que apesar de ter sido imprudente ao não usar máscara protetiva em diversas situações, foi obrigada a executar atividades laborais presenciais, mesmo diante da legislação que proíbe tal situação, contraindo, assim, o vírus. Destaca-se que há Projeto de Lei em trâmite no Senado Federal com o objetivo de regulamentar o assunto de forma mais adequada.

Leia mais
discriminatória

Dispensa imotivada de portadora de câncer foi reconhecida como discriminatória pelo TRT da 2ª Região

A 15ª Turma do Tribunal Regional do Trabalho da 2ª Região, reconheceu como dispensa de caráter discriminatório, uma rescisão de contrato de trabalho na modalidade imotivada de uma trabalhadora portadora de câncer, cujo tratamento envolveu cirurgia e quimioterapia e um longo período de recuperação, e que teve o contrato rescindido logo após o retorno do afastamento previdenciário, que se prolongou por mais de 2 (dois) anos.

Leia mais