Quem você precisa para implementar SI?
Para definir as regras e políticas e implementar os controles necessários, você precisará de pessoas com um conhecimento mais aprofundado em segurança da informação. Para a parte de definição de processos e políticas de segurança, você pode procurar profissionais com expertise em normas de segurança e conhecimento da LGPD.
Porém, para implementar controles, ferramentas e proteções nos sistemas, computadores e redes de sua empresa, é importante buscar profissionais de infraestrutura com experiência em implementação de firewalls, VPNs, segurança de rede e conhecimento em ferramentas de monitoramento, automação e proteção.
Por fim, sua empresa pode optar também por um profissional especializado em garantir a proteção dos dados da empresa e a adequação da empresa à LGPD. Esse profissional é o DPO (Data Protection Officer) – um profissional certificado e dedicado exclusivamente a esse assunto.
Implementar segurança da informação é Gerenciar Riscos!
É importante esclarecer que, ao implementar Segurança da Informação, estamos fazendo gerenciamento de riscos o tempo inteiro. É impossível garantir 100% de eficácia contra vazamentos ou incidentes de segurança. No entanto, quanto mais controles, ferramentas e regras tivermos, menor é a chance dos problemas ocorrerem.
Só que, ao mesmo tempo, implementar esses controles têm um custo. Caso o custo para implementar essas seguranças seja maior que o prejuízo causado por um vazamento, incidente ou multa, então talvez não seja necessário tantos controles. Porém, se os prejuízos forem maiores, é bom já começar a pensar bem nos controles que você vai implementar.
Como implementar?
Para implementar Segurança da informação, é necessário fazer mudanças físicas, lógicas, ferramentais, comportamentais e processuais.
Controles físicos:
- Salas fechadas com acessos restritos;
- Blindagens, câmeras de segurança, catracas;
- Registro e controle de entrada de visitantes;
- Guardas e seguranças.
Controles lógicos:
- Criptografia (dados codificados que só conseguem ser lidos pelo destinatário dos dados);
- Firewalls (para proteger as redes e computadores de conexões não autorizadas);
- Anti-vírus, Anti-spyware e Anti-malware (para evitar contaminação com vírus, malwares e ransomwares);
- Registro de logs (para que possa rastrear os eventos e identificar falhas e ameaças);
- Certificado SSL (camada extra de proteção para informações trafegadas na internet, assegurando um canal seguro de conexão por meio de uma sessão criptografada);
- Ter backups e/ou computação na nuvem;
- Bloqueio de USBs, emails pessoais e sites perigosos;
- Realize testes de penetração periodicamente com uma empresa independente.
Controles ferramentais:
- Ferramenta de inventário (para controlar o que tem instalado em cada máquina);
- Ferramenta para gestão de patches (para fazer atualizações de sistema e dos softwares automaticamente);
- Ferramentas para garantir o desenvolvimento de software sem vulnerabilidades;
- Ferramenta para gestão de incidentes (para criar um canal para reporte, comunicação e tratamento de incidentes e problemas de segurança);
- Ferramenta de monitoramento (para permitir um monitoramento em tempo real dos servidores).
Controles processuais:
- Definição de processos com atividades que tenham preocupação com segurança;
- Definição de políticas claras e acessíveis, para que todos saibam o que precisam fazer;
- Criação de planos de contingência (para casos de desastres como vazamento de dados, incêndios, etc).
Controles comportamentais:
- Treinamentos de segurança da informação;
- Orientar a sempre bloquear o computador ao sair de sua mesa;
- Conscientizar a equipe para não deixarem senhas e credenciais em post-its;
- Não usar credenciais de acesso de terceiros;
- Alertar sobre golpes de engenharia social;
- Insistir para terem senhas seguras.
Quais são as normas existentes?
Existem algumas normas que atestam a segurança de informação de uma empresa:
- ISO 27001: o padrão e a referência Internacional para a gestão da Segurança da informação.
- ISO 27701: uma extensão da norma ISO 27001 que inclui controles para garantir a privacidade dos dados pessoais.
- LGPD: a Lei Geral de Proteção de Dados, que exige das empresas um cuidado maior durante o tratamento e armazenamento dos dados pessoais.
As empresas estão se adequando a essa nova realidade. Muitas estão implementando a ISO 27001 em conjunto com a ISO 27701 para implementar os controles requeridos pela nova LGPD e evitar possíveis multas e encargos.
Agora que você conhece mais sobre a importância da Segurança de Informação e viu algumas dicas de como implementá-la, você já pode dar o próximo passo e começar o movimento da segurança da informação em sua empresa.
Mesmo que você ainda não consiga aplicar essas práticas na sua empresa, garantimos que muitas delas você pode aplicar até mesmo em sua casa para proteger seus dados pessoais! E lembre-se, caso precise de apoio especializado no assunto, a ProMove Soluções tem experiência com as normas ISO e com a LGPD e pode ajudar sua empresa a implementar os controles e melhorar a segurança dos seus dados! Não perca tempo e comece essa mudança!