Investir em tecnologia é fundamental atualmente, mas insuficiente sem pessoas conscientes e processos bem definidos
Neste artigo você vai aprender:
Quando se fala em segurança da informação, a imagem que costuma vir à mente é a de hackers, ataques sofisticados e sistemas digitais sendo invadidos à distância. Esse imaginário coletivo acaba criando uma percepção incompleta sobre os reais riscos enfrentados pelas empresas.
Na prática, muitos dos incidentes de segurança da informação não vêm de fora, mas de dentro das próprias organizações. Eles estão diretamente relacionados à forma como os processos são geridos, como os acessos são concedidos e, principalmente, a como a cultura de segurança da informação é implementada e mantida entre os colaboradores.
É comum que empresas associem segurança da informação apenas ao sistema, como controles técnicos, gestão de senhas, firewalls, antivírus, controle de acessos lógicos e físicos.
Sem dúvida, esses elementos são essenciais, mas não são o ponto de partida da segurança.
O primeiro anel de proteção de uma empresa começa no perímetro. Além disso, ele é físico: a portaria, a recepção, os controles de entrada e saída, a forma como visitantes são identificados e acompanhados.
No webinar promovido pela NetEye, Segurança da Informação na Prática: Como Proteger sua Empresa, a especialista em segurança da informação Gervânia Miranda compartilhou um caso real de avaliação de segurança.
O exemplo envolveu a realização de um teste físico, conhecido como pentest, cujo objetivo era avaliar as barreiras físicas e comportamentais de uma organização. Utilizando uma credencial propositalmente fornecida para o teste, o profissional responsável conseguiu, em menos de um minuto, quebrar a senha de uma catraca de acesso. A credencial utilizava uma senha óbvia, facilmente previsível.
Com uma mochila nas costas e uma mala na mão, ele circulou livremente pelo ambiente sem ser questionado pela equipe de segurança. O dado mais alarmante: o teste foi realizado em um órgão governamental.
No primeiro dia, o acesso a áreas restritas ocorreu sem qualquer tipo de abordagem. No segundo, houve uma desconfiança inicial por parte da segurança, rapidamente contornada por meio de técnicas de engenharia social. Ao se identificar como profissional de suporte técnico, o pentester solicitou acesso a um computador para manutenção. O colaborador, sem questionar, digitou sua senha e permitiu o acesso.
O resultado foi a simulação de uma infiltração de dados — dados de teste, mas suficientes para evidenciar uma falha crítica nos controles internos. “A segurança da informação começa no comportamento humano”, concluiu Gervânia.
Para o Head de Segurança da Informação, Maikon Graeff, essa é uma pergunta simples, mas extremamente reveladora. Ela costuma ser feita tanto na avaliação da maturidade de segurança de uma empresa quanto em processos seletivos para profissionais da área.
As respostas variam e dizem muito sobre o nível de maturidade da organização.
Segundo Graeff, empresas menos maduras costumam responder: “Não temos um setor responsável. Precisamos criar uma estrutura, contratar um CISO, um gerente ou um coordenador de segurança.”
Outras, um pouco mais estruturadas, dizem: “Temos um time de segurança responsável por implementar controles, gerenciar firewall, antivírus e monitoramento.”
Para ele, essas respostas indicam avanço, mas ainda são insuficientes. A resposta esperada de uma empresa realmente madura é direta que todos são responsáveis pela segurança da informação.
Embora a área de tecnologia e segurança da informação tenha um papel protagonista, puxando o tema, definindo políticas, implementando controles e monitorando riscos, a responsabilidade não pode ficar restrita a um único time.
O profissional de RH, o porteiro, o colaborador administrativo, o desenvolvedor, o gestor e o estagiário influenciam diretamente a resiliência e a segurança da informação da empresa.
Uma organização que não compreende isso opera em um nível inferior de maturidade. Ela ainda enxerga a segurança como um problema técnico, quando, na verdade, trata-se de um desafio organizacional, cultural e estratégico.
Investir em tecnologia é fundamental atualmente, mas insuficiente sem pessoas conscientes e processos bem definidos.
A segurança da informação nas empresas depende de treinamento contínuo, comunicação clara, políticas acessíveis e, sobretudo, de uma cultura que incentive o questionamento, a responsabilidade compartilhada e o cuidado com a informação.
Leia os últimos artigos do
blog NetEye:
Acompanhe nosso Insta:
