A importância da gestão de riscos para a inserção de controles de segurança da informação

Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on facebook
Facebook
Share on twitter
Twitter

Dando continuidade à nossa coluna sobre as medidas necessárias para a regular e correta adequação e conformidade à Lei Geral de Proteção de Dados, hoje falaremos um pouco mais sobre a gestão de risco e inserção de controles de segurança da informação nas empresas, independente do respectivo porte. 

Antes mesmo de entrarmos nas questões mais técnicas voltadas à segurança da informação, se faz necessário responder, ainda que brevemente, insistentes perguntas que ainda são feitas por diversos players de mercado: Quais os ativos que uma empresa deve proteger? Quais as vulnerabilidades e riscos que existem e podem impactar no funcionamento de determinada empresa?  Como descobri-los? 

Para que estas questões sejam minimamente respondidas é primordial que haja a definição de ativos, riscos e vulnerabilidades.  

Primeiramente, observa-se que o conceito de ativos empresariais de relevância pode variar, de acordo com o perfil das pessoas que os mapeiam e classificam. Como isso? Se um profissional da área de Tecnologia da Informação listar os principais ativos da empresa, certamente fará começando pelos computadores utilizados pelos trabalhadores, eventuais programas neles contidos e assim por diante.

Já se essa análise de ativos for realizada por um profissional do departamento de recursos humanos, certamente serão identificados como ativos os dados relativos aos empregados e demais prestadores de serviços da empresa. 

Assim, dentro da segurança da informação, ativo é todo equipamento, aparelho, sistema, programa, dados pessoais, informações diversas, dentre outros que possuam valor para determinada organização.

E a vulnerabilidade, o que é? Ela pode ser considerada como uma fraqueza identificada na estrutura de determinada empresa, por exemplo, que acaba por permitir a invasão indevida de terceiros, podendocolocar em risco toda a integridade do ativo atacado. 

Já o risco pode ser definido como a possibilidade de uma ameaça explorar uma fraqueza (vulnerabilidade) existente e causar efetivos danos ou prejuízos para o ativo da empresa. 

Podemos dividir os riscos como os de origem interna, isto é, aqueles que a empresa possui meios de mapear a respectiva existência e, assim, gerenciá-los, inclusive, preventivamente e os de origem externa, os quais a empresa não possui conhecimento prévio e, portanto, nenhum controle sobre sua ocorrência. 

Para uma melhor compreensão, ressaltam-se os exemplos abaixo:  

Riscos de origem interna: Erros praticados por empregados. Esse tipo de erro é muito comum de ocorrer, independentemente do tamanho da empresa, já que trabalhadores mal treinados ou até mal intencionados podem acessar dados e informações de outros setores não relacionados ao escopo laboral e, de alguma forma, contribuir para o respectivo vazamento. 

Riscos de origem externa: Ocorrência de temporal, com fortes ventos e chuva, na cidade onde está seu estabelecimento comercial, o que provoca inundação de espaços da empresa, inclusive a sala onde ficavam os servidores com toda a base de dados empresarial. 

Agora que já temos uma compreensão melhor de todos esses conceitos iniciais e como eles fazem parte do nosso dia a dia, lançamos aqui um questionamento reflexivo. 

Sua empresa possui um plano alternativo para a continuidade de negócio caso um desastre ocorra? 

Citamos como exemplo o seguinte episódio: sua colheitadeira utiliza um tipo específico de combustível e por uma falha no software do computador (devido à falta de manutenção preventiva), os indicadores estavam marcando uma quantidade totalmente discrepante de litros de combustível, fazendo com que não seja suficiente para terminar a colheita. Os caminhões precisam transportar a carga dentro de 2 horas até o porto da sua cidade. Qual ação você deveria ter tomado desde o início?

A análise e gerenciamento de riscos existem e devem ser aplicados em todos os setores de uma empresa para que um problema igual ao citado acima seja gerenciado e evitado. Um gerenciamento de riscos de negócios e de tecnologia eficaz serve para:

  • Analisar, classificar e tratar os riscos de acordo com a sua criticidade.
  • Aplicar corretamente dos controles de segurança da informação.
  • Criar um plano de continuidade de negócios – significa entender o negócio, planejar, identificar e antecipar situações de crise ou desastres que podem afetar o negócio, portanto, é mais efetiva e minimiza ainda mais impactos.
  • Criar um plano de recuperação de desastres – A recuperação de desastres é o método utilizado por uma organização para recuperar o acesso e a funcionalidade da infraestrutura de TI após um desastre natural ou humano, como falha de equipamentos ou ataques cibernéticos.
  • Criar um plano de resiliência (ou contingência) – significa achar uma saída alternativa, muitas vezes “em cima da hora”, sem planejamento e durante o gerenciamento de crises, para minimizar impactos, mas sem planejar ou antecipar, torna-se uma “roleta russa” e os estragos podem ser ainda maiores.
  • Informar quais ações devem ser tomadas para mitigação dos riscos. 

Portanto, verifica-se que a análise e gerenciamento de riscos é de suma importância para as empresas, especialmente quanto àadequação à Lei Geral de Proteção de Dados – LGPD.  

Essa consultoria deve ser feita por um profissional experiente para que todos os cenários possam ser avaliados e analisados. Somente após será possível aplicar os controles de segurança da informação de maneira correta.

Texto de coautoria de Jorge Luiz Muniz, sócio fundador da Web Security Consultoria e Serviços de Segurança da Informação e Juliana Neves Crisostomo, especialista em privacidade e proteção de dados do Arone Coutinho Advocacia.

No nosso próximo encontro, falaremos sobre a importância do mapeamento de dados na adequação a LGPD e um pouco mais sobre segurança da informação e gestão de riscos de TI. Convidamos a acompanharem mensalmente a nossa coluna de segurança da informação criada especialmente para você do agronegócio, com dicas e informações importantíssimas e de grande relevância para o seu negócio. Até breve. 

Texto em coautoria com Juliana Neves Crisostomo.

VOCÊ TAMBÉM PODE SE INTERESSAR POR ESSAS PUBLICAÇÕES

Projetos sociais

Projetos sociais nas empresas: impactos e alternativas de regulamentação

Muitas empresas exercem ou querem exercer ações sociais de cunho filantrópico, utilizando dos seus próprios serviços e produtos para irem além dos aspectos econômicos, com projetos que beneficiam o meio ambiente, agricultores e trabalhadores rurais e que impactam diretamente comunidades e instituições que necessitam de amparo.
Contudo, apesar das práticas sociais estarem ligadas aos valores de determinadas empresas, a sua estruturação requer bastante cautela e apoio jurídico para que não haja impactos trabalhistas, empresariais e tributários que possam, muitas vezes, desacelerar ou até mesmo impossibilitar esse compromisso com a sociedade.

Leia mais
Marco Legal

Câmara aprova MP que cria marco legal da securitização

Foi aprovada pela Câmara dos Deputados no dia 15 de junho de 2022, a medida provisória editada em março pelo governo federal que cria, atualiza e define regras para securitização dos direitos creditórios (conversão de créditos a receber em títulos a serem comercializados) e, também, cria a Letra de Risco de Seguro.

Leia mais