Segurança da Informação: uma visão focada nos negócios

Em 11 de setembro de 2001, o mundo ficou estarrecido com o atentado que ocasionou a queda das Torres Gêmeas em Nova York. Muitas vidas foram perdidas e muitas famílias foram repentinamente desfeitas. As empresas que estavam ali sediadas tiveram seus negócios instantaneamente paralisados e, em algumas delas, nunca mais eles puderam ser retomados. Também ocorreram falências por conta do atentado. Você sabe o porquê?

Toda organização que de alguma forma depende de algum nível de infraestrutura de tecnologia da informação (TI), como computadores conectados a uma rede, acesso à internet, informações guardadas em repositórios eletrônicos, etc., precisa tomar certos cuidados para que as informações vitais à continuidade dos seus negócios sejam devidamente preservadas, especialmente no caso de catástrofes.

Ah, ela está falando isso por causa de vírus, porque um computador pode falhar, ou até mesmo por conta de uma invasão ocasionada por hackers em computadores da empresa, por exemplo”. Você pode estar pensando que é por isso. É verdade que isso procede, mas não é só por isso. Note que nada disso aconteceu às Torres Gêmeas.

À época do atentado, lembro-me que li diversas reportagens sobre o que aconteceu com a cidade e, sobretudo, com as empresas que ali funcionavam. Como na ocasião eu estava trabalhando na área de Segurança da Informação, o assunto me interessava profundamente, pois queria saber como as organizações estavam fazendo para se recuperar.

Os dois edifícios abrigavam instituições americanas e várias multinacionais, tais como bancos e seguradoras, canais de televisão, empresas de tecnologia da informação, de transporte aéreo, etc. Portanto, pode-se perceber pelo tipo de empresas listadas, o quanto elas dependiam da tecnologia para realizar seus negócios. Agora, imagine o cenário: de repente toda a infraestrutura do seu empreendimento, em questão de segundos, é destruída. Pior ainda, vidas são perdidas. O prejuízo financeiro é alto, mas ainda possível de ser minorado. E o prejuízo dos recursos humanos, das vidas que se foram? Não há como rapidamente se refazer.

E é aí que a Segurança da Informação presta seu papel mais valioso: na prevenção e na mitigação dos riscos de perda de informação. É claro que imaginar que aviões poderiam algum dia ocasionar a queda dos prédios é um risco que eu diria ser de probabilidade baixa de ocorrer. Contudo, quando aconteceu, foi de alto impacto. Além disso, eu imaginava que algumas dessas organizações já se preocupavam com os riscos de incêndio e mesmo atentados. Porque ambos já haviam acontecido lá alguns anos antes. Você sabia disso?

Acabei confirmando que algumas empresas conseguiram se recuperar porque tinham se preparado para o pior. Havia planos de continuidade de negócios organizados para diversos cenários. Os funcionários também foram orientados e treinados previamente sobre como reagir em casos de emergência. Havia políticas de salvaguarda das informações (backups) que eram efetivamente praticadas. E, para o pior dos cenários catastróficos, havia até mesmo um segunda unidade de TI, prontinha para funcionar a qualquer momento, caso o centro principal falhasse. Como acabou realmente acontecendo.

As organizações que assim procederam puderam sobreviver. Claro que tiveram prejuízo imediato, mas isso foi minorado por conta das ações tomadas. Tomadas no tempo certo, porque isso também foi determinante. Outras, embora até tivessem planos e políticas de Segurança da Informação escritas, não os revisavam ou não usavam práticas que contribuíssem para mitigar os riscos. E, quais foram então as consequências disso? Descobri que algumas organizações levaram dias para se recuperar e outras que, infelizmente, como não se precaviram, acabaram falindo. Outras fecharam as suas portas simplesmente porque não havia como repor, de um dia para o outro, centenas de pessoas que trabalhavam em uma mesma empresa! Portanto, a lição que o atentado deixou, pelo menos no que se refere à Segurança da Informação, é bem clara: prevenir ainda realmente é melhor do que remediar.

Novamente, você pode estar pensando: “Ah, mas a minha realidade é outra. A minha empresa é pequena, não precisa dessa parafernália toda! Quanto exagero!” Cuidado com essa visão simplista e reducionista: as ameaças à Segurança da Informação estão por aí a todo momento, para empresas de qualquer porte e em qualquer lugar do mundo.

Inclusive há um fator, na minha opinião, o mais difícil de ser combatido: o humano. Funcionários sem treinamento adequado para operar computadores ou lidar com informações de caráter estratégico ou sigiloso, podem ocasionar perdas ou até colocar em risco os negócios da organização. É muito comum também executivos e proprietários das empresas cometerem esses erros. Não foram poucas as vezes que vi em saguões de aeroportos e em táxis, membros da alta direção falando em seus celulares, em alto e bom tom, sobre informações que deveriam estar apenas restritas ao âmbito da organização. Já soube, inclusive, de um caso em que um gerente falava ao celular sobre informações confidenciais enquanto esperava o seu avião chegar. Sentado ao seu lado, sem que ele se desse conta ou soubesse, estava o seu concorrente, prestando atenção em tudo! Há ainda o caso do gerente que soube que ia ser demitido naquele mesmo dia, através do motorista de táxi que ficava no ponto em frente à sua empresa.

Você nunca tinha pensando nisso, não? Nem eu. Parece paranóia, coisa de filmes de espionagem ou ficção científica, mas hoje em dia, em mercados cada vez mais globalizados e competitivos, é bom rever seus conceitos e estar preparado para lidar com essas ameaças. Mas, como lidar então com tudo isso, de uma forma mais organizada e estruturada? Que pontos devemos realmente focar nossa atenção?

Para saber mais, não perca o próximo artigo, no qual será tratada a norma NBR ISO/IEC 27002, Código de Prática para a Gestão da Segurança da Informação.

Aléxia Lage de Faria

Mais artigos deste autor »

Analista da Qualidade e Processos, com experiência nas áreas de Segurança da Informação, Qualidade (ISO 9001) e Qualidade de Software.

9 Comentários

Aléxia Lage de Faria
2

Olá Emerson!

É importante saber se o post realmente transmite a ideia que se tem em mente. Pelo seu retorno, pude ver que a mensagem foi captada.

O próximo post, como colocado acima, será sobre a norma. Na verdade, o que se pretende é fornecer um overview sobre ela, deixando claro quais são os principais controles que ela propõe.

Obrigada seu pelo retorno.

Grande abraço
Aléxia Lage

Fabrício Basto
3

Concordo plenamente com você Aléxia, hoje em dia precisamos ter a segurança da informação como fator primordial para o bom andamento do negócio, seja ele pequeno, médio ou grande. Os problemas são enormes, com o crescimento da internet, crescem também pragas e vírus, basta observar as estatísticas. Você falou sobre a importância de treinar funcionários, realmente isso é bem válido, não adianta investir pesado em softwares e hardwares de segurança sem colaboradores treinados e conscientes.

Obrigado pela contribuição

Meus artigos sobre segurança:
http://analistati.com/category/seguranca/

Abraços

Aléxia Lage
4

Olá Fabrício,

Obrigada por deixar seu comentário. Sem dúvida, Segurança da Informação deve, na minha opinião, ser foco de um tratamento específico e cuidadoso, especialmente no que se refere ao lado humano.

Abraços
Aléxia Lage

Aléxia Lage
6

Oi Ilderley, obrigada por deixar seu comentário!

Às vezes, tudo o que se precisa fazer está justamente prestar atenção nas coisas mais simples. Segurança da Informação tem muito a ver para mim com comportamento, atitude. É sobretudo nisso que deveriam residir os esforços de conscientização. Grande abraço!

Gabriel Cavalcante
7

Parabéns Aléxia Lage !

Seu exemplo com base no “11 de setembro” foi brilhante e bem esclarecedor, assim pude eu que pretendo seguir na área da “Segurança da Informação”, saber como esse assunto se expandi, e como é complexo.

Ponto super importante foi em que a Sra. disse que empresas devem oferecer treinamento ou até mesmo ja contratar funcionários capacitados para operar em maquinas que exige certo cuidado, pois onde esta os ativos de uma organização…

Perfeito seu Artigo, pretendo segui-la para me porta melhor, contudo esses “post’s” me deram uma noção ótima sobre o assunto, pois tenho apenas 16 anos e me interesso muito nessa área

Thiago Nogueira
8

Bom artigo,
Mas poderia ter abordado, mesmo que superficialmente, algumas ações para implantar a continuidade dos negócios… e não apenas falar dos riscos…

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!


um + 2 =

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>