Nos tempos atuais, toda empresa (de tecnologia ou não) já deveria saber que não dar a devida importância à segurança da informação pode comprometer toda a sua estratégia de negócios. Alguns gigantes do mercado, como Apple, Google, Microsoft, Amazon e Facebook, já veem isso há muito tempo e trabalham no desenvolvimento e implementação de novas ferramentas para proteção das informações de seus usuários.
Todas as companhias que entendem a importância dos ativos de informação que possuem, buscarão formas de garantir que eles estejam seguros do ponto de vista dos pilares da segurança da informação, a fim de garantir que eles estejam disponíveis para a tomada de decisões e de forma que sejam confiados apenas a aqueles que têm o direito de acessá-los.
Inúmeros relatórios vêm mostrando o aumento significativo no número de ataques ransomware nos últimos anos e, ainda pior, apontando o Brasil como um dos países no topo dessa lista de ataques. De acordo com dados levantados pela Fortinet, foram encontradas 10.666 assinaturas de ransomware na América Latina no primeiro semestre de 2022, sendo que no último semestre de 2021 foram identificadas apenas 5.400. Ou seja, em apenas seis meses este número praticamente dobrou.
Neste cenário, estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação (SGSI) dentro da organização se faz fundamental e é isso que propõe a norma de governança corporativa ISO 27001. Ela apresenta diversas definições dentro de suas normas, como:
-
Ação Corretiva: ação para eliminar a causa da não conformidade e prevenir a reincidência;
-
Ameaça: causa potencial de um evento indesejado, que pode causar danos a um sistema ou organização;
-
Evento de segurança da informação: indica uma possível violação da política de segurança da informação;
-
Incidente de segurança da informação: eventos de segurança da informação indesejados ou inesperados que têm um potencial significativo para interromper as operações.
Para quem deseja elevar o nível de maturidade em segurança da informação e melhorar a organização interna destes processos, a ISO 27001 é um recurso valioso. Para sua implementação, o ideal é seguir uma trilha e definir as etapas de forma evolutiva, permitindo desenvolver passo a passo um sistema de gestão que seja adequado à realidade da sua empresa. Neste contexto, sugiro as seguintes etapas:
-
Diagnóstico Inicial
-
Análise de Cenários e definições gerais
-
Planejamento da Segurança da Informação
-
Análise de equipamentos e infraestrutura predial
-
Segurança em Redes e utilização de softwares
-
Gestão de Pessoas e comunicação
-
Análise de Fornecedores
-
Gestão de Melhoria e resultados
-
Auditoria Interna
-
Auditoria de Certificação
O cuidado com a segurança de dados deve ser um compromisso ético de toda organização e cada vez mais elas serão cobradas para isso, então, seja implementando a certificação ISO 27001 ou utilizando as melhores práticas, softwares e soluções de segurança, o ponto central é que todas as instituições devem ter como objetivo final manter seus dados seguros, tornando isso uma prioridade.
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
