Sistemas de Gestão de Segurança da Informação - medidas de controlo

Autor:
Sérgio Ferreira
Auditor e Coordenador Digital & Innovation, SGS Portugal
 

Em Julho de 2020, estimava-se que cerca de 4.8 mil milhões de pessoas tivesse acesso à Internet. Por outras palavras, 60% dos habitantes do planeta poderiam ser considerados digitalmente ativos. Na Europa e na América do Norte, as taxas de penetração da Internet superam já os 90%, e o volume de informação (data) criada diariamente nunca foi tão grande — estima-se que, a cada dia, sejam gerados mais de 2,5 triliões de bytes.

Dados como estes são suficientes para compreender que a crescente transformação digital, e o facto de cada vez mais possuirmos uma existência online, digital, exigem das empresas um especial cuidado na salvaguarda e tratamento da informação de que dispõem — podemos estar a falar de dados de clientes, de registos de transações, mas também de e-mails internos, segredos de negócio ou propriedade intelectual. A divulgação involuntária de quaisquer destes dados, ou o seu acesso por pessoal não autorizado, pode resultar em danos severos para a reputação da empresa, mas também em avultadas coimas e perdas do lado dos negócios.

O que são medidas de controlo em Sistemas de Segurança e Proteção de Dados?

Por medidas de controlo entende-se um conjunto de ações e dispositivos capazes de traduzir um incremento da segurança de sistemas informáticos. De forma resumida, podemos distingui-las entre medidas tecnológicas (ex.: instalação de uma firewall), caso signifiquem uma solução técnica a desenvolver ou implementar física ou digitalmente no sistema, e medidas organizacionais. Medidas organizacionais são aquelas que, não se relacionando diretamente com o sistema de segurança nos seus aspetos técnicos, têm ainda impacto sobre ele — definição de permissões de acesso ou formação na área da segurança são dois exemplos.

Quais são as medidas de segurança mais comuns?

No que toca à concretização de medidas de controlo capazes de efetivamente assegurar a segurança da informação, existe uma grande miríade de soluções, das mais simples às mais complexas, devendo cada empresa ser capaz de implementar as soluções mais adequadas ao seu negócio. Tenha em mente que sectores específicos podem enfrentar desafios de segurança da informação distintos, e que alguns poderão mesmo ter de observar imposições legais face ao tratamento de dados.

• Criação de Registos de Login: uma das barreiras primárias no acesso aos dados. Seja no acesso a um serviço de e-mail interno da empresa, seja no acesso à sua estação de trabalho ou ao servidor onde está armazenada uma base de dados de clientes, a utilização de um username e password (ou outra forma de chave de acesso) é um sistema hoje em dia elementar e que constitui a base de segurança de qualquer sistema. Podendo ser alvo de tentativas de hacking, a existência de palavras-passe complexas dificultam muito o acesso indevido à informação — o tempo de descodificar uma password pode ir de alguns segundos (para uma password com apenas números) até vários anos (no caso de passwords longas, com números, letras maiúsculas e minúsculas, e símbolos).
• Utilização de firewalls: uma firewall é um dispositivo de segurança de rede que pode ser instalado diretamente num computador, ou ser ligado a um servidor, e que é capaz de monitorizar em permanência o tráfego com origem ou destino na rede ou computador onde está instalado. Se a firewall não conseguir confirmar as credenciais de acesso de um utilizador a qualquer momento, ela é capaz de automaticamente bloquear o acesso à informação. Uma firewall sólida é uma forma de segurança da informação imprescindível na prevenção de vários tipos de ataque, ainda que apresente vulnerabilidades — é habitualmente apontada a sua incapacidade para lidar com ataques de grande escala do tipo DDos (“distributed denial-of-service attack”), embora possa ser útil na sua deteção.
• Segurança do e-mail: na maior parte dos casos, os e-mails trocados entre diferentes clientes (plataformas) de e-mail viajam livremente na internet, sendo a sua segurança baseada no facto de apenas o emissor e o receptor da mensagem terem acesso (por meio das suas credenciais de login) ao conteúdo da mensagem. Isto expõe todo o conteúdo de e-mail, incluindo os seus anexos, a riscos acrescidos no que diz respeito ao acesso indevido aos seus conteúdos — um hacker que consiga penetrar no servidor de uma empresa facilmente conseguirá acesso a todos os e-mails de todos os utilizadores da empresa. A encriptação de e-mails contendo dados sensíveis pode ser uma estratégia eficaz, assim como a utilização de software de anti-vírus e anti-malware capazes de minimizar as tentativas de phishing (roubo de informação, sobretudo dados de login) a que os seus colaboradores estão expostos.
• Criação de cópias de segurança: Todos os sistemas da sua empresa que façam o armazenamento de dados devem possuir alguma forma de redundância, permitindo-lhe o continuar das suas operações em caso de ataque ou acidente que conduza à corrupção ou perda dos dados. A existência de servidores em espelho e em locais distintos, ou de sistemas que regular e frequentemente criem cópias de segurança dos seus arquivos é fundamental.
• Formação para a cibersegurança: os seus colaboradores são a primeira linha de defesa da sua organização. O factor humano é ainda uma das principais vulnerabilidades na área da cibersegurança, estimando-se que 96% dos ataques de phishing recorram ao e-mail para explorar a ingenuidade dos utilizadores (Verizon, 2020). Saliente-se que esta formação, habitualmente de carácter anual, é uma obrigatoriedade legal em determinadas indústrias, nomeadamente no sector da banca.
• Atualização de software: todos os dias, hackers e especialistas de segurança travam uma batalha silenciosa na exploração ou correção de falhas de segurança intrínsecas à arquitetura e modos de funcionamento de sistemas informáticos. Usar softwares oficiais, de marcas fidedignas, e assegurar a sua permanente atualização é uma das formas mais eficazes de evitar expor a sua empresa e os seus dados à pirataria informática.

Conheça os nossos serviços de Cibersegurança:

• Auditorias Segurança da Informação
• Certificação ISO 27001

Se pretende saber mais sobre Segurança da Informação, integridade de dados e cibersegurança, descubra os nossos cursos >>

 
Para mais informações ou inscrições, por favor contacte:
tel: 808 200 747 (Seg. a Sex. das 9h às 18h) 
@: pt.info@sgs.com

SOBRE A SGS

Somos a SGS - a empresa líder mundial em testes, inspeção e certificação. Somos reconhecidos como a referência mundial em qualidade e integridade. Os nossos 96.000 colaboradores operam numa rede de 2.600 escritórios e laboratórios, e trabalham em conjunto para possibilitar um mundo melhor, mais seguro e interligado.