A segurança da informação, ou "InfoSec", é a proteção de informações importantes de uma organização, arquivos e dados digitais, documentos em papel, mídia física, até mesmo a fala humana contra acessos, divulgações, alterações ou usos não autorizados. A segurança da informação digital, também chamada de segurança de dados, recebe hoje mais atenção dos profissionais de segurança da informação e é o foco deste artigo.
Os dados impulsionam grande parte da economia mundial. Os cibercriminosos reconhecem o valor desses dados, e os ataques cibernéticos que visam roubar informações confidenciais ou, no caso de ransomware, manter os dados como reféns, tornaram-se mais comuns, prejudiciais e dispendiosos. Segundo o “relatório do custo das violações de dados de 2021” da IBM, o custo total médio de uma violação de dados atingiu um novo patamar de USD 4,24 milhões em 2020-2021.
Uma violação de dados gera custos à vítima de diversas maneiras. O tempo de downtime inesperado leva à perda nos negócios. Muitas vezes, uma empresa perde clientes e sofre danos significativos, e por vezes irreparáveis, à sua reputação quando informações confidenciais dos clientes são expostas. A propriedade intelectual roubada pode prejudicar a rentabilidade de uma empresa e minar a sua vantagem competitiva.
Uma vítima de violação de dados também pode enfrentar multas regulatórias ou penalidades legais. Regulamentações governamentais, como o Regulamento Geral de Proteção de Dados (GDPR), e regulamentações setoriais, como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), obrigam as empresas a proteger as informações confidenciais de seus clientes; falhar ao fazer isso pode resultar em multas pesadas. A Equifax concordou em pagar pelo menos USD 575 milhões em multas à Comissão Federal de Comércio (FTC), à Agência de Proteção Financeira ao Consumidor (CFPB) e a todos os 50 estados americanos como resultado de uma violação de dados que sofreu em 2017; em outubro de 2021, a British Airways foi multada em USD 26 milhões por violações do GDPR relacionadas a uma violação de dados em 2018.
Não é de surpreender que as empresas estejam aumentando seus investimentos em tecnologia e especialistas em segurança da informação. O Gartner estima que os gastos com serviços e tecnologias de segurança da informação e gestão de riscos totalizaram USD 150,4 bilhões em 2021, um aumento de 12,4% em relação a 2020. O diretor de segurança da informação (CISOs), que supervisiona os esforços de segurança da informação, tornou-se um elemento integrante da diretoria executiva de uma corporação. E está aumentando a demanda para analistas de segurança da informação que tenham certificações avançadas em segurança da informação, como a certificação CISSP (Certified Information Systems Security Professional) do (ISC)². A Secretaria de Estatísticas Trabalhistas dos Estados Unidos projeta que as vagas de emprego para esses analistas com essas certificações crescerá 33% até 2030.
A prática da segurança da informação baseia-se em princípios com décadas de existência que estão em constante evolução, estabelecendo padrões para a segurança dos sistemas de informação e a mitigação de riscos.
Introduzida em 1977, a tríade CIA visa orientar as escolhas de uma organização pelas tecnologias, políticas e práticas buscando proteger seus sistemas de informação, o hardware, o software e as pessoas envolvidas em produção, armazenamento, uso e troca de dados dentro da infraestrutura de tecnologia da informação (TI) da empresa. Os elementos da tríade:
Confidencialidade: garante que as partes envolvidas não possam acessar os dados das quais não estejam autorizados a acessar. A confidencialidade define uma sequência contínua, saindo dos agentes internos com privilégios de acesso a grande parte dos dados da empresa e indo até as pessoas externas autorizadas a visualizar apenas as informações que o público está autorizado ou tem permissão para ver.
Integridade: garante que todas as informações contidas nos bancos de dados da empresa sejam completas, precisas e sem adulterações. A integridade se aplica a tudo, desde impedir que adversários alterem dados de forma intencional até impedir que usuários bem-intencionados alterem dados de forma intencional ou não por meio de maneiras não autorizadas.
Disponibilidade: garante que os usuários possam acessar as informações de que estão autorizados a acessar, quando precisarem. A disponibilidade determina que as medidas e políticas de segurança da informação nunca devem interferir no acesso autorizado a dados.
O processo contínuo de obtenção e manutenção da confidencialidade, integridade e disponibilidade de dados em um sistema de informação é conhecido como “garantia da informação”.
Os especialistas em segurança da informação implementam os princípios da segurança da informação em sistemas de informação por meio da criação de programas de segurança da informação. Esses são conjuntos de políticas, proteções e planos de segurança da informação destinados a implementar a garantia da informação.
A criação de um programa de segurança da informação geralmente começa com uma avaliação de risco cibernético. Ao auditar todos os aspectos do sistema de informação de uma empresa, os profissionais de segurança da informação podem compreender o risco exato que enfrentam, podendo assim escolher as medidas de segurança e tecnologias mais adequadas para mitigar os riscos. Uma avaliação de risco cibernético geralmente envolve:
identificação de vulnerabilidades. Uma vulnerabilidade é qualquer ponto fraco na infraestrutura de TI (tecnologia da informação) que os adversários possam explorar para conseguir acesso não autorizado aos dados. Por exemplo, os hackers podem aproveitar os bugs em programas de computador para introduzir um malware ou código malicioso em um aplicativo ou serviço legítimo.
Vulnerabilidades em um sistema de informação podem surgir devido às ações ou comportamento de usuários humanos. Por exemplo, cibercriminosos podem manipular os usuários para fazê-los compartilhar informações confidenciais por meio de ataques de engenharia social, como o phishing.
Os profissionais de segurança da informação costumam realizar um teste de penetração, um ataque simulado ao seu próprio sistema de informação, para descobrir essas vulnerabilidades.
Identificação de ameaças. Uma ameaça é qualquer coisa que possa comprometer a confidencialidade, integridade ou disponibilidade de um sistema de informação.
Uma ameaça cibernética é uma ameaça que explora uma vulnerabilidade digital. Por exemplo, um ataque DoS (denial-of-service) é uma ameaça cibernética em que os cibercriminosos sobrecarregam parte do sistema de informação de uma empresa com tráfego, causando o travamento desse sistema.
As ameaças também podem ser físicas. Desastres naturais, ataques físicos ou armados e até mesmo falhas sistêmicas de hardware são considerados ameaças ao sistema de informação de uma empresa.
Os serviços do IBM Data Security ajudam as organizações com a estratégia de segurança de dados, descoberta de dados, prevenção contra perda de dados, governança de segurança de dados e com o monitoramento de segurança de banco de dados.
Os serviços do IBM Application Security transformam DevOps em DevSecOps, oferecendo treinamento em segurança de aplicações, serviços de modelagem de ameaças de aplicações e muito mais.
Introdução às soluções de segurança de dados da IBM