Estratégias de segurança da informação e privacidade podem ser utilizadas para diferentes finalidades dentro da TI de uma organização. Uma delas é dentro da gestão de riscos, onde são aplicadas práticas para mitigar e minimizar ao máximo as chances de algo sair fora do programado.
Com o desenvolvimento das tecnologias para internet há cada vez mais pessoas assumindo a posição de usuários dos sistemas online conectados em todo o mundo. O volume de dados que se trabalha em função disso é gigante, o que conhecemos como Big Data, e cada vez mais precisamos de estrutura para tratar, analisar e gerar resultados através dessas informações.
A codificação, criptografia e segurança em camadas de rede são alguns dos recursos que podem ser utilizados para auxiliar as pessoas e empresas a manterem todo esse volume de dados seguro. Especialmente do ponto de vista de dados sensíveis, é essencial que sejam mantidos em segurança.
Neste sentido, é preciso ter clareza sobre as diferenças de alguns conceitos, e é sobre esse assunto que vamos falar no artigo de hoje. Confira!
O que é risco?
Para começar a diferenciar os conceitos vamos destrinchar por aqui o que é considerado como risco. São diferentes definições elaboradas pelos mais diversos autores que já versaram sobre o tema, mas em essência algo que todas elas têm em comum é a ideia da dificuldade de previsibilidade do cenário final.
Risco é toda a situação em que há probabilidade de os resultados serem diferentes do esperado devido a um ou outro motivo — já mapeados ou não —, de forma que se antecipa que algo pode ocorrer neste sentido. Isto nos dá a chance de evitar um dano ou consequência adversa. Resumindo, risco é uma probabilidade de uma ameaça explorar uma vulnerabilidade e causar um dano ou consequência.
Em outro conteúdo do nosso blog, falamos sobre as diferenças entre riscos e incertezas, se quiser conferir. Mas a ideia geral é que o risco é previsível, ou, é passível de identificação prévia de sua possibilidade de existência.
Já a incerteza não segue o mesmo caminho, sendo algo que a empresa não conseguiu mapear ou identificar anteriormente de nenhuma forma, como o caso da pandemia de coronavírus que assolou todo o planeta ao longo de 2020.
Os riscos estão presentes em toda e qualquer operação e nas diferentes áreas e podem ser classificados em diferentes tipos conforme suas características e origens. Assim, todas as áreas da sua empresa apresentam possíveis riscos, desde o setor financeiro, passando pelo RH e vendas, até a própria área de TI. Um dos principais neste último caso está relacionado ao Big Data e às transações de dados realizadas entre empresa e cliente.
Assim, contar com uma equipe ou até mesmo uma área focada em gerenciamento de riscos, dependendo do porte da empresa, é fundamental nos dias de hoje. Vamos adiante.
O que é Segurança da Informação e Privacidade?
O segundo conceito que vamos trabalhar hoje para ajudar a complementar o entendimento deste material é o de segurança da informação. Este campo da TI tem como objetivo proteger e garantir a integridade de todo e qualquer tipo de informação, seja em sistemas digitais ou não.
É com base na proteção garantida pelas estratégias de segurança da informação que os negócios conseguirão se estruturar para buscar seus objetivos, implementar novos processos e executar sua operação de forma completa.
Alguns dos princípios básicos da segurança da informação que compõem a construção do conceito são:
- confidencialidade (garantia de que somente pessoas autorizadas têm acesso a cada dado);
- integridade (proteção da informação contra adulterações não autorizadas);
- disponibilidade (estratégia para que todas as informações estejam acessíveis quando forem demandadas e estiverem autorizadas pela confidencialidade para tal, conforme acordado previamente).
A segurança da informação é, a área que concentra a maior parte dos desafios diante da preservação dos dados, sendo também responsável por ajudar as equipes de gerenciamento de riscos no mapeamento de possíveis invasões e ameaças aos dados da organização.
O que é privacidade de dados
É comum haver confusões entre os conceitos de segurança da informação e privacidade de dados por se tratarem de temas realmente bastante conectados. No entanto, para esclarecer, a gestão da privacidade de dados cuida da forma como a informação é coletada, distribuída e organizada dentro da empresa, enquanto a segurança da informação é uma ciência mais ampla que se preocupa com a proteção de todos os dados recebidos e enviados pela empresa.Ou seja, não há privacidade sem segurança da informação.
A privacidade de dados, então, é um campo e faz parte da segurança da informação.
Uma analogia que ajuda a entender ainda melhor essa diferença é trazendo à tona as legislações recentes e vigentes sobre proteção de dados como a GDPR na Europa e a LGPD no Brasil.
Essas leis tratam sobre a forma como o dono do dado (titular dos dados) terá seu dado tratado por uma empresa na outra ponta e a garantia de que tenha sido dada uma concessão e autorização para uso desses dados. E essa é também a função dos profissionais e equipes de privacidade de dados dentro das empresas.
Além da importância de cuidar dos dados das pessoas que interagem com a sua empresa é importante entender que contar com profissionais especializados e dedicados à gestão da privacidade de dados dentro da organização é uma questão de compliance. A empresa precisa estar adequada a todos os elementos de compliance exigidos, às normativas, políticas e diretrizes determinadas.
Assim, com as novas legislações alguns cargos surgiram e outros receberam novas atribuições e roupagens para tornar esse processo mais profissionalizado, como DPO (Data Protection Officer), o CPO (Chief Protection Officer) e CSO (Chief Security Officer), cada um com suas especificidades.
Boas práticas de gestão de riscos de segurança da informação e privacidade
Com tudo que vimos fica evidente a importância de direcionar o olhar para a gestão de riscos de segurança da informação e privacidade, mas também que o processo pode ser bastante complexo, certo?
Entre os pesquisadores não há unanimidade no que diz respeito à definição de um único processo de gerenciamento de riscos. Há, no entanto, a convergência para o pensamento de que, sim, é necessário contar com políticas e estratégias focadas neste objetivo.
O processo é composto por diferentes fases que podem variar entre as empresas de acordo com cada cenário, mas em geral, elenca-se cinco grandes áreas principais:
- identificar e determinar tolerâncias: nesta etapa deve-se definir os objetivos da organização ao desenhar um determinado processo de gerenciamento, pensando em quais pontos serão levados em consideração, quais riscos serão gerenciados e com que ações;
- medir os riscos: aqui a intenção da empresa deve ser a de identificar, mapear e mensurar tudo aquilo que é considerado risco para entender por onde se precisa ir ao longo do processo. Inclui identificar vulnerabilidades, valores dos ativos, e controles existentes;
- monitorar e relatar os riscos: nesta etapa o objetivo principal é identificar o potencial de perda e probabilidade de ocorrência dos riscos, entendendo como é possível agir para mitigá-los e traçar um plano;
- controlar os riscos: aqui é onde chegamos no envolvimento com a alta administração da empresa, necessitando do comprometimento com os processos, da uniformidade na linguagem e na abordagem e na coordenação de uma mudança de mindset voltada para a área de gerenciamento de riscos. A empresa toda precisa compreender a importância para que o controle possa ser executado;
- revisar, auditar e realinhar os riscos: esta é uma etapa final onde todas as medidas tomadas são analisadas e revisitadas de forma cíclica para que se possa compreender quais foram as melhores decisões e que tipo de estratégia ainda precisa ser melhor alinhada.
A gestão de riscos de segurança da informação e privacidade é um assunto essencial e que toma proporções cada vez maiores devido ao crescente aumento no volume de dados e informações com os quais se trabalha.
Para se especializar nesta e em diversas outras áreas da TI que sejam do seu interesse, confira o calendário de cursos da ESR. Aproveite e continue acompanhando também o nosso blog onde sempre atualizamos com muitos conteúdos relevantes sobre o universo da TI e da segurança de redes.