Os pilares da segurança da informação são fundamentais para garantir a adequação à LGPD (Lei Geral da Proteção de Dados), além de evitar prejuízos financeiros e de imagem.
Hoje, na Era Digital, as preocupações relacionadas à segurança tornaram-se ainda mais complexas. Afinal, as empresas precisam proteger seu cenário físico, offline e online, com a manutenção da privacidade de clientes e colaboradores.
Infelizmente, os crimes cibernéticos estão cada vez mais profissionais e se adaptam rapidamente às novas barreiras e estratégias de proteção. Isso significa que o trabalho de segurança deve estar em constante evolução.
No entanto, segundo o levantamento realizado pela ESET, companhia de segurança da informação sediada na Eslováquia, as empresas não estão preparadas para o refinamento de ataques de ransomware, malware de sequestro de dados.
E isso, como adiantado acima, pode gerar uma série de fragilidades que impactam financeiramente a empresa. Em paralelo, afetam a experiência dos usuários e, em determinados casos, podem ocasionar punições mais severas, como multas e paralisação das atividades.
Para evitar esses e outros perigos digitais, é muito importante saber quais são os pilares da segurança da informação e a importância deles para o dia a dia das empresas.
Continue a leitura para conhecer tudo sobre o tema, incluindo as principais ameaças à segurança da informação e, sobretudo, como proteger seu negócio!
Prefere ouvir esse conteúdo? Clique no play abaixo e confira!
O que é segurança da informação?
Segurança da informação trata do conjunto de ferramentas e estratégias incumbidas de proteger, manter a integridade e a confidencialidade de dados. Isso inclui desde o processo da captura de informações até o seu descarte on ou offline.
Por sinal, essa é uma expressão que já existe há algum tempo, mas se popularizou exponencialmente nos últimos anos, principalmente, com a utilização da internet e a presença crescente dos canais digitais no dia a dia de todos.
Antes da criação da LGPD, Lei nº 13.709, em 14 de agosto de 2018, a importância da segurança da informação estava relacionada a possíveis processos, que não necessariamente ocorriam.
O monitoramento, a supervisão e, especialmente, a punição dependiam de fatores subjetivos. Após a lei, no entanto, o cenário mudou consideravelmente, visto que foram estabelecidas as diretrizes para garantir a segurança da informação. Confira abaixo!
Qual a lei que regulamenta a segurança da informação?
Como mencionado, estamos falando da chamada Lei Geral da Proteção de Dados, estabelecida no n.º 13709.
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.”
Segundo o Art. 2º, a proteção de dados pessoais tem como fundamentos:
- o respeito à privacidade;
- a autodeterminação informativa;
- a liberdade de expressão, de informação, de comunicação e de opinião;
- a inviolabilidade da intimidade, da honra e da imagem;
- o desenvolvimento econômico e tecnológico e a inovação;
- a livre iniciativa, a livre concorrência e a defesa do consumidor;
- e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Ela abrange toda e qualquer operação de manipulação de dados e informações por “pessoa natural ou por pessoa jurídica de direito público, ou privado.”
Mais do que a explicação sobre termos importantes, as finalidades autorizadas para o tratamento de dados e os princípios, a lei ainda frisa a importância da transparência na manipulação. Adicionalmente, há a obrigatoriedade da ciência de tratamento dos dados, aprovação e acesso facilitado do titular dos dados.
Importância da segurança da informação e dos pilares que a sustentam
Na lei supracitada, além das diretrizes e da explicação sobre a importância da segurança da informação, constam as sanções e punições para o descumprimento. Elas estão dispostas no Art. 52, dos incisos I ao VI:
“Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração.”
Isso quer dizer que a empresa que não aplicar os pilares da segurança da informação pode ter altos prejuízos financeiros. Tanto pelas multas aplicadas, quanto pela paralisação das atividades em casos mais graves.
Além disso, percebemos que, durante o período pandêmico, nenhuma empresa ou instituição está livre de ataques. Prova disso é que os órgãos governamentais, bancos, empresas públicas e privadas sofreram atentados digitais.
E as ameaças à segurança da informação são as mais diversas, como:
- phishing na abertura de e-mails e sites, que roubam dados;
- ações que utilizam engenharia social para manipular e enganar os usuários;
- vírus, malwares, cavalos de Troia (trojans) etc.;
- DoS (Denial Of Service, ataques de negação de serviço, que visam impedir ou dificultar a execução de tarefas) e DDoS (Distributed Denial of Service, tentativa de tornar recursos indisponíveis aos usuários);
- entre outros.
Com isso, a imagem de segurança, estabilidade e autoridade pode ser manchada na identificação da menor vulnerabilidade.
Isso, inclusive, é capaz de impactar na escolha de clientes e usuários. Alguns decidem por utilizar canais e serviços presenciais, no caso de instituições públicas, sobrecarregando o atendimento.
Em outras situações, no relacionamento com empresas privadas, os clientes podem optar por concorrentes que lhes transmitam mais confiança. Isto é, além dos impactos financeiros diretos, ainda podem enfrentar os indiretos, ocasionados pelo aumento de custos e queda no faturamento.
Sem contar, claro, na possibilidade do enfrentamento no âmbito judicial, por meio de processos.
Enfim, ignorar a importância da segurança da informação é extremamente prejudicial para qualquer negócio.
Vantagens da segurança da informação para empresas e clientes
No sentido contrário do item anterior, o conhecimento das diretrizes e dos pilares da segurança da informação traz uma série de vantagens. Para exemplificar, podemos citar a oferta de melhores experiências aos clientes e usuários.
Adicionalmente, há o aumento da confiabilidade em relação à qualidade dos serviços prestados pela empresa. E, também, pode surtir efeitos positivos sobre a autoridade do seu negócio no mercado, aumentando a vantagem competitiva e o potencial de crescimento.
Além de evitar, claro, todos os riscos citados acima.
Quais são os pilares da segurança da informação?
Há uma discussão entre estudiosos em política de segurança quando se trata do número de pilares da segurança da informação. Alguns mencionam 3, chamando de “Tríade CIA”, considerando, assim, confidencialidade, integridade dos dados e disponibilidade da informação.
Já outros mencionam que, com o tempo e a evolução propiciada pela tecnologia, existem, na verdade, 6 pilares da segurança da informação. São eles:
1. Confidencialidade
O primeiro pilar da segurança da informação é a confidencialidade. A base desse termo é exatamente a garantia de proteção ao sigilo das informações manipuladas. A empresa deve se encarregar do não vazamento, do controle de acesso aos dados e do veto às pessoas não autorizadas.
Para isso, é imprescindível a utilização de barreiras de segurança, como a criptografia e o controle de usuários do banco de dados e arquivos da empresa.
2. Integridade
A integridade, segundo pilar da segurança da informação, trata da não alteração dos dados capturados sem a autorização do titular. Ou seja, a empresa deve garantir a integridade da informação em todos os processos, da captura ao processamento e descarte.
Uma quebra desse pilar é se, por acaso, ao transcrever os dados, um agente, por descuido ou propositalmente, modificar um número do valor da renda de um cliente, por exemplo.
3. Disponibilidade
A disponibilidade é o terceiro pilar da segurança da informação e, na prática, é a capacidade da empresa em garantir que as informações estarão disponíveis aos usuários autorizados, sempre que eles precisarem dela.
Um exemplo de indisponibilidade é quando uma empresa sofre uma tentativa de invasão ao seu e-commerce e tira o acesso de todos os clientes. Eles não poderão verificar suas compras, pagamentos, datas e nenhum dado ali inserido.
Para garantir a disponibilidade, as empresas devem contar com software e aplicações voltadas para a segurança e estabilidade de seus sistemas, como o Google Vault.
4. Autenticidade
Autenticidade é o pilar da segurança da informação voltado para a conferência do titular das informações coletadas. Ou seja, é preciso identificar se o usuário é quem diz ser, como quando tiramos uma selfie ao abrir uma conta no aplicativo de uma corretora.
Ela não pode simplesmente aceitar as documentações, nomes e dados pessoais, sem garantir que quem está operando o celular é, de fato, o titular das informações.
5. Irretratabilidade
Esse é um dos pilares da segurança da informação adicionado mais recentemente e está ligado diretamente com o item anterior. A ideia da irretratabilidade é impedir que o agente repudie, negue ser o autor ou proprietário dos dados.
Por exemplo, quando há o cadastro em uma loja online e o titular do cartão contesta a compra, afirmando não ter realizado a operação. A empresa precisa, portanto, utilizar estratégias para minimizar essas ocorrências, impedindo, assim, que o autor conteste as ações realizadas, informações fornecidas etc.
6. Conformidade
Por fim, o último da lista dos 6 pilares da segurança da informação é a conformidade. E, aqui, estamos falando de um item essencial depois da criação da LGPD.
O plano de segurança e as estratégias utilizadas pela empresa precisam estar em conformidade com as leis, diretrizes e regulamentações da segurança da informação. Incluindo, claro, a Lei Geral de Proteção de Dados.
Agora que você já conhece os 6 pilares da segurança da informação, vamos à prática com uma dica muito importante para garantir a sustentação deles no dia a dia da empresa.
Dica de ouro para adequar o seu negócio à LGPD e implantar os pilares da segurança da informação: a tecnologia!
Muitas empresas, ao se depararem com os riscos online, depositam na tecnologia o papel de grande vilã da segurança da informação. Apesar dos meios digitais serem um dos ambientes mais férteis para ataques e roubos de dados, a tecnologia pode ser uma grande aliada para combatê-los.
Basta, claro, escolher as ferramentas certas, focando em empresas que tenham a segurança como parte integrante da sua cultura organizacional e invistam maciçamente em aplicações, barreiras e práticas robustas de segurança.
Esse é o caso do Google e, em especial, da plataforma que reúne as melhores aplicações de produtividade e armazenamento, o Google Workspace.
Quer saber um pouco mais sobre essa solução e como ela pode auxiliar o seu negócio na implantação dos pilares da segurança da informação?
Então, fale com um de nossos especialistas e comece a modernizar a sua estrutura tecnológica com segurança, suporte e eficiência!
