ciberseguranca, governanca-corporativa, lgpd

Governança da segurança da informação: tudo o que você precisa saber

Publicado em 08 de Julho de 2022

Tudo o que você precisa saber sobre Governança da Segurança da informação. Tudo o que você precisa saber sobre Governança da Segurança da informação.

Dizem que os dados são o novo petróleo. E a insegurança do universo digital requer que cada um proteja os seus. Nesse contexto, governança da segurança da informação é um assunto que ganha cada vez mais destaque por promover diretrizes em prol da integridade das informações.

Governança e Segurança da Informação são termos que você já deve ter ouvido falar. O primeiro diz respeito à estruturação e manutenção de hierarquias em uma empresa; o segundo, trata de garantir a segurança e privacidade de dados da organização. Mas como ambos se relacionam? Isso você descobrirá neste artigo.

O que é a governança da segurança da informação?

 

Para compreender como esses termos se associam, antes é importante entender o significado de cada um deles isoladamente. Por isso, vejamos a seguir... 

O que é governança? 

 

De maneira breve, Governança Corporativa é o que organiza as hierarquias e responsabilidades de cada parte dentro de uma organização, evitando o conflito de interesses entre administradores e stakeholders, e sistematiza normas, ferramentas e dinâmicas que ordenam todo o ambiente organizacional. 

O que é segurança da informação? 

 

Dados pessoais e informações confidenciais podem se tornar armas poderosas caso caiam nas mãos erradas. Por isso, a Segurança da Informação trabalha para garantir que somente as pessoas certas tenham acesso a esses dados, visando a privacidade e a segurança de seus proprietários. 

Governança e Segurança da informação: como se relacionam? 

 

A insegurança digital é algo que pode influenciar diretamente o bem-estar dos stakeholders de uma organização. Se uma empresa sofre um ciberataque e tem informações sigilosas vazadas, as vidas de clientes, colaboradores, fornecedores e de outras partes interessadas podem ser bastante impactadas. Assim, a Governança corporativa também pensa em questões de cibersegurança, visando a integridade de seus stakeholders e o crescimento sustentável do negócio. 

Qual a importância da governança da segurança da informação? 

 

Os primeiros oito meses de 2021 tiveram um aumento de 23% dos ciberataques, conforme o relatório Panorama de Ameaças 2021 da Kaspersky. Publicados em setembro, os dados são de um comparativo deste período com o mesmo do ano anterior, tendo em vista os 20 malwares mais populares. Com uma média de 1400 bloqueios por minuto, o estudo ainda pontuou a ocorrência de aproximadamente 481 milhões de tentativas de ataques cibernéticos nesse tempo

“Considerando que a informação é um dos maiores patrimônios de uma empresa, a sua proteção se torna crucial para evitar vazamento, acesso indevido e exposição de segredos”, aponta Victor Detoni, Chief Security Officer na Atlas Governance. “Um ataque cibernético pode causar problemas e danos incalculáveis a um negócio, podendo levar anos para a empresa se recuperar no mercado após ter a imagem danificada.” 

Para Amanda Thomaz Szydloski, Compliance Specialist na Atlas Governance, vale lembrar de início que as empresas usam informações rotineiramente para construir seus negócios, desenvolver produtos e definir estratégias. “Caso disponibilizadas a terceiros, a empresa poderá ver seus resultados prejudicados, seja por ações da concorrência frente aos dados privilegiados que lhe foram alcançados, seja pelo prejuízo à sua avaliação pelo mercado quanto a confiabilidade e credibilidade”, aponta. 

Por esse motivo, além de estabelecer cláusulas de confidencialidade em seus contratos, cabe à organização a implementação de mecanismos de segurança suficientes para garantir o sigilo dessas informações

Dentre as medidas a serem implementadas para a proteção, segurança e manutenção da privacidade dos dados, podemos destacar as medidas de cibersegurança utilizadas nos softwares, sistemas, bancos de dados, dispositivos e servidores da organização. 

Consequências de não adotar medidas de segurança da informação 

 

“As medidas de segurança são obrigatórias e precisam ser proporcionais ao risco do negócio”, explica Amanda. "Se a organização é do setor de tecnologia, espera-se que as soluções de proteção sejam robustas, da mesma forma que esperamos que um nutricionista ou educador físico seja referência nos cuidados com sua saúde.” 

Sobre esse tema, destacam-se os artigos 46 e 47 da LGPD: 

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. 

  • 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
  • 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

 

Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término. 

Caso a empresa não implemente mecanismos de cibersegurança apropriados e ocorra um incidente, o ocorrido poderá ser objeto de processo administrativo sancionador pela Autoridade Nacional de Proteção de Dados (ANPD), que poderá aplicar as sanções previstas no art. 52 da LGPD: 

  • advertência; 
  • multa de até 2% (dois por cento) do faturamento, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados;
  • suspensão do exercício da atividade de tratamento dos dados pessoais;
  • proibição parcial ou total do exercício de atividades de tratamento de dados pessoais. 

 

Para evitar isso, Victor Detoni afirma que a implantação de um plano estruturado de segurança da informação que esteja alinhado ao negócio é fundamental, pois viabiliza uma gestão assertiva de riscos e controles, gerando equilíbrio entre as prioridades e o negócio. 

Como implementar a governança da segurança da informação em sua empresa? 

 

O primeiro passo para a implementação da segurança da informação em sua empresa é o autoconhecimento. Possuir um plano estruturado de autoconhecimento é essencial para gerir prioridades e estabelecer uma estratégia de curto, médio e longo prazo diante das fragilidades encontradas. 

Nesse sentido, a matriz de risco é uma ferramenta que pode auxiliar muito sua empresa. Ela elenca as ameaças que acometem a segurança do seu negócio, dos mais prováveis para os menos possíveis e dos de maior urgência para os de menor impacto. Isso permitirá a sua empresa constatar com o que ela deve se preocupar agora ou depois. 

Tendo conhecido as vulnerabilidades a serem corrigidas em sua empresa, quais são os próximos passos para implementar a governança da segurança da informação em sua organização? Responderemos esta questão a seguir com algumas sugestões de boas práticas:

Imagem com escrita ao fundo branco, dizendo: "passos para implementar a governança da segurança da informação em sua empresa". Abaixo, estão elencados os passos para este processo, que você conhecerá a seguir.

Defina uma estratégia de investimento em segurança da informação 

 

O resultado das análises e da matriz de risco gerarão insumos para a realização de investimentos em segurança. Isso porque, sabendo o que é urgente ou não, ficará mais fácil observar o que deve ou pode ser solucionado a curto, médio a longo prazo. 

Alinhe todos os setores 

 

O alinhamento de todos os setores é imprescindível para que a segurança se torne parte da cultura organizacional da sua empresa. E para isso, uma boa prática pode ser o envolvimento das lideranças em questões de segurança. Como a sua organização conscientiza seus líderes sobre a importância de se pensar diariamente em segurança? 

Mantenha os colaboradores engajados com a segurança da informação 

 

Claro que não só os líderes devem estar engajados com a segurança da informação, mas, também, seus liderados. Treinamentos, comunicação interna e até atividades de entretenimento (testes e dinâmicas) são boas iniciativas para fomentar o envolvimento dos colaboradores com a cultura de segurança da sua empresa. 

Assegure conformidade com os requisitos internos e externos 

 

De acordo com Amanda, toda organização deve se atentar às operações que envolvem dados pessoais e a conformidade com as regras estabelecidas pela Lei Geral de Proteção de Dados Pessoais (LGPD). “Os dados pessoais, por se tratarem de uma extensão da personalidade, devem ser processados de forma transparente, para finalidades legítimas e de acordo com as hipóteses autorizadoras da LGPD, e em meios capazes de garantir a segurança e privacidade de tais informações”, explica. 

Assegurar a conformidade da sua empresa em relação a esses requisitos é imprescindível para a implementação da segurança da informação na sua organização. 

Analise o seu desempenho 

 

Acompanhar o desempenho dos mecanismos de segurança da sua empresa é vital para que se note possíveis falhas a serem corrigidas ainda. Por isso, faça análises constantemente da situação de segurança da sua empresa. 

Considere o uso de um software de Governança 

 

Você já levou em consideração a possibilidade de terceirizar a preocupação em relação à segurança da informação na governança da sua empresa? Talvez, você nem imaginava que isso fosse possível. Vamos lhe explicar como... 

Software Atlas aplicado à governança da segurança da informação 

 

Se a sua empresa fizesse um portal de governança, imagine quanto se gastaria em recursos computacionais e de segurança, ferramentas e mão de obra especializada. Para fugir desses gastos, muitas organizações optam por terceirizar sua gestão de ameaças. Outras empresas se preocupam com isso pela sua. Como? Por meio das soluções oferecidas pela tecnologia em nuvem (cloud computing, no inglês). 

O software Atlas é um serviço do tipo Software as a Service (SaaS). Isso quer dizer que nossos usuários não precisam esgotar tempo e dinheiro no desenvolvimento de uma infraestrutura completa, com servidores e banco de dados. Basta ter wi-fi e acessá-lo. Prático, não? Simples, acessível e digital. 

Para compreender quais vantagens o portal Atlas pode oferecer para a mitigação de riscos em segurança da informação da sua empresa, elencamos abaixo alguns dos mecanismos de cibersegurança do nosso produto. 

Mecanismos de segurança da informação 

 

Conheça alguns recursos do portal Atlas que podem mitigar riscos de segurança da informação dentro da comunicação entre os órgãos da sua governança:

Imagem com escrita ao fundo branco, dizendo: "Alguns mecanismos de segurança da informação presentes no software Atlas". Abaixo da frase estão elencadas as ferramentas do portal Atlas, que você conhecerá a seguir.

Criptografia em banco e em trânsito 

 

Na prática, criptografia é trocar toda letra de uma mensagem por outros símbolos e criar uma chave de acesso à informação que apenas o receptor possua. Isso torna o conteúdo da mensagem ilegível para qualquer um que não seja o destinatário. 

O portal Atlas possui dois tipos de criptografia: a criptografia em trânsito, que garante que ninguém intercepte a comunicação entre usuário e Atlas para roubar informações; e a criptografia em banco, que ocorre quando o usuário salva informações no banco de dados. 

Dois fatores de autenticação 

 

A dupla autenticação busca confirmar se você é você mesmo. O login é realizado na sua conta e um SMS com um token é enviado para o seu celular, constatando se é você quem o faz. 

Além do segundo fator de autenticação, o usuário do Atlas também recebe um e-mail de revogação de sessão. 

E-mail de revogação de sessão 

 

Todos os acessos feitos em sua conta serão notificados em seu e-mail. Caso perceba que o acesso não foi realizado por você, haverá na mesma notificação a possibilidade de derrubada do login

Revogação remota de sessões 

 

Um gerenciador de sessões dentro do portal também permite que você derrube sessões remotas em aparelhos não reconhecidos, como smartphones, tablets, notebooks etc. 

Trilha de auditoria de acesso e conteúdo 

 

Os administradores têm acesso à rastreabilidade de toda ação tomada dentro do portal: login com e sem sucesso, criação de pastas, downloads e uploads de documentos, toda concessão ou retirada de permissão, acessos etc. Tudo é rastreável. Isso simplifica os processos de auditoria da sua governança, mostrando quem, quando, onde e como a ação foi feita

Permissionamento granular 

 

Já imaginou se você pudesse controlar o acesso de pessoas a cada documento dentro da sua equipe? Essa funcionalidade, chamada de Content Permissions ou Permissionamento Granular, é uma das várias vantagens do software Atlas Governance. 

Como funciona? O portal divide equipes em quadros. Em cada um deles, o proprietário determina tudo o que é visto ou não por cada integrante, conforme a responsabilidade e necessidade de cada um para acessar informações sensíveis ou confidenciais. 

Assim, todo conteúdo é controlado do geral até a nível de grão (tarefa, reunião, documentos, estratégias e outros). Esse acesso mínimo necessário, conhecido como Need to Know, é uma prática importante em segurança da informação. 

Marca d'água em todos os documentos 

 

Além de todo download feito no portal ser rastreável, o Atlas converte todos os arquivos Power Point, Word, Imagem e outros para PDF, e insere marca d’água com o nome, data/hora e e-mail de quem está visualizando o documento em tela e no download

Self backup 

 

Entendemos que toda informação colocada no portal é do cliente. Por isso, o Atlas possui o self backup, uma ferramenta que permite ao usuário extrair dados específicos a qualquer momento

Backup de banco 

 

Além de possibilitar o self backup, nosso sistema está também em alta disponibilidade, fazendo backups diariamente

Gerenciamento de acesso via IP 

 

Os acessos ao portal Atlas podem ser gerenciados por meio de uma segmentação por IP ou região. Em outras palavras, você pode bloquear logins de pessoas que acessam a partir de IPs de um estado brasileiro, como São Paulo, ou de um país, como a Groelândia. Pode também bloquear acessos de todo um continente. A escolha é sua. 

Ante-DDOS 

 

O ataque DDOS (Distributed Denial of Service, em inglês), também chamado de ataque de negação do serviço, é um tipo de ciberataque que busca sobrecarregar os servidores de uma empresa com inúmeras requisições. Contra isso, a Atlas dispõe dos mais altos padrões de ante-DDOS

Bloqueio de captura de telas e de download de documentos no Board 

 

Talvez, há documentos que você gostaria que outros usuários do seu board pudessem visualizar para o desempenho de suas funções, mas deseja restringir o download do documento. No portal Atlas, isso é possível. Você pode liberar a visualização de arquivos sem a opção de baixar

Além disso, para assegurar a integridade dos dados, o Atlas também bloqueia a captura de telas em dispositivos móveis. 

Quer conhecer outras vantagens do software Atlas? Agende agora mesmo uma demonstração!

Imagem com escrita ao fundo branco, dizendo: "implemente mecanismos de segurança na governança da sua empresa com o software Atlas. Conheça o Atlas!" Ao lado direito, uma imagens da interface do portal são apresentadas em dois tablets. Para conhecer o software, clique nesta imagem e faça uma demonstração!

 

Publicado por Luiz Gustavo Anjos