Todo departamento de TI tem, ou deveria ter, como foco a redução dos riscos aos ativos da informação. Basicamente, o grande objetivo é proteger tudo o que for informação crítica para o negócio e "rode" no dia a dia da empresa.
Tomemos como exemplo as rotinas de faturamento. Se o departamento responsável perder as informações de faturamento e não conseguir gerar boleto nem receber dos clientes, isso causa risco de a operação parar. Em outras palavras, as informações de faturamento são um ativo informacional fundamental.
Agora, se olharmos para as estatísticas relacionadas à segurança da informação, vemos que o tema dos cuidados com ativos da informação são de primeira importância no mundo corporativo hoje.
De acordo com o WISR - Worldwide Infrastructure Security Report, relatório anual da Netscout Arbor, as empresas no Brasil sofreram uma média de 30 ataques de negação de serviços (indisponibilidade de aplicações) por hora em 2017. Desse ranking global, somos o quinto país com maior incidência desse tipo de fraude.
Uma outra pesquisa, realizada pela PwC, apontou que os empreendimentos brasileiros tiveram perdas superiores a 1 milhão de dólares em 2017 por conta de roubos e danos, mas também por indisponibilidades de serviços, aplicações e redes.
A boa notícia é que, cada vez mais, empresas de todos os portes e em todos os segmentos têm entendido e buscado gerenciar seus ativos informacionais.
É sobre isso que vamos pensar juntos aqui. Continue lendo para entender a importância dos ativos da informação para os negócios!
O que são ativos da informação
O que chamamos de ativos da informação nada mais é que um conjunto de conhecimento organizado e gerenciado como uma entidade única. Como qualquer outro recurso corporativo, eles têm valor financeiro — este aumenta em relação direta com o número de pessoas que são capazes de usar as informações. De forma geral, tudo o que para uma empresa for uma informação que tenha relação com o funcionamento no dia a dia passa a ser um ativo com importância a ser protegido.
Também é importante diferenciarmos as informações e as ferramentas. O ativo informacional é o dado ou o conjunto de dados em si; já os sistemas usados para administrar as informações, por exemplo, são as ferramentas (que não podem ser consideradas ativos informacionais).
Por exemplo, em um call center, um ativo pode ser o processo de contato com os clientes (para fazer a ligação e prospecção de cliente); em uma indústria, as informações de rotina das máquinas para elas funcionarem. Cada setor vai ter o seu tipo de informação crítica, apesar de terem alguns em comum (como o faturamento mencionado acima). Em algumas organizações, a informação que não pode ser usada é considerada um passivo.
Os ativos da informação e a ISO 27002
Até aqui já tivemos uma noção do que são ativos informacionais. Agora, vamos a uma definição formal amparada na normativa ISO 27002: uma coleção de diretrizes que se destina a ajudar uma organização a implementar, manter e melhorar seu gerenciamento de segurança de informações.
Segundo a ISO 27002, os ativos da informação devem ser gerenciados estrategicamente, ou seja, administrados com método e, sobretudo, focalizando a segurança dos dados todo o tempo.
A ISO 27002 fornece centenas de controles potenciais e mecanismos de controle projetados para serem implementados — estes abordam questões específicas identificadas durante uma avaliação formal de risco. Ela também tem como objetivo fornecer um guia para o desenvolvimento de padrões de segurança e práticas efetivas de gerenciamento de segurança.
Entre os mais de cem controles da ISO 27002, destacam-se:
- estrutura;
- políticas de segurança;
- organização de segurança da informação;
- segurança de recursos humanos;
- gerenciamento de ativos de TI;
- controle de acesso;
- criptografia;
- segurança física e ambiental;
- segurança operacional;
- segurança das comunicações;
- aquisição, desenvolvimento, manutenção de sistemas de informação;
- relações com fornecedores;
- gerenciamento de incidentes de segurança da informação;
- aspectos de segurança da informação da continuidade do negócio;
- conformidade.
Logo, é totalmente correto concluir que as empresas certificadas ISO 27002 são aquelas que melhor controlam seus ativos informacionais e, consequentemente, conseguem utilizá-los para a competitividade de seus negócios.
Dicas para proteger os ativos da informação
Uma vez que já sabemos o que é um ativo da informação, tanto informal quanto formalmente, conforme a ISO 27002, já podemos ver algumas medidas para protegê-lo em sua empresa.
Aqui estão alguns passos importantes que podem ser dados para conseguir isso:
- entenda quais informações são cruciais para o dia a dia operacional e estratégico do negócio. Por exemplo, é importante saber quais são as informações que, se perdidas, podem parar a operação;
- pergunte-se: qual é o tipo de impacto que acontece nessa informação? Se a informação "X" for perdida, qual é o grau de risco? Se a informação estiver indisponível por um período de tempo, qual é o grau de risco? Ou seja: questione sobre o grau de risco em caso de indisponibilidade, perdas, roubos ou alterações das informações;
- depois de ter mapeado, faça um teste para ver as reais vulnerabilidades das informações. Os testes vão demonstrar se existe risco real de as informações serem perdidas ou não;
- a partir do diagnóstico anterior, levante quais são as opções para proteger as informações importantes para a empresa;
- em seguida, monitore isso continuamente, para ver se abriu alguma brecha ou teve algum tipo de problema.
Daí, é fundamental criar um ciclo de análise das informações; observar o impacto delas, verificar a vulnerabilidade e, continuamente, buscar as soluções.
O papel do gestor na proteção dos ativos da informação
Por fim, a dúvida seguinte é: quais ferramentas são mais indicadas para proteger ativos da informação nas empresas?
Para a grande maioria dos especialistas no assunto, o primeiro processo de análise deve ser realizado pelo próprio gestor de tecnologia. Quando o gestor já conhece o impacto, ele vai fazer testes de vulnerabilidade, podendo ser o teste de penetração (chamado formalmente de pen test), no qual são avaliadas de forma técnica todas as vulnerabilidades encontradas para buscar as informações.
Logo, se um hacker tentar invadir uma base de dados ou a infraestrutura de TI toda, por exemplo, é preciso fazer o papel de hacker, ou seja, se colocar no lugar dele para prever suas ações e, assim, se prevenir.
Além disso, é importante seguir as normativas da ISO 27002 (inclusive, trabalhar para conseguir a certificação) e contar com boas soluções em antivírus, serviços de backup externo, ambiente de disaster recovery etc.
Como estão os cuidados com os ativos da informação no seu negócio? Fale com um especialista no assunto.