Introduçāo
A segurança da informaçāo (SI), é um conceito que está ligado a um conjunto de regras e normas que tem como objetivo proteger as informações presentes no meio corporativo. Nos dias atuais, a informaçāo deve ser vista como um dos principais tipos de patrimônio existente dentro das organizações, por isso é considerável que ela seja preservada de qualquer tipo de evento que possa vir a danificá-la e consequentemente causar uma exposiçāo negativa ou até mesmo, resultar em perdas financeiras para as empresas.
Pilares da Segurança da Informaçāo
Para alcançar um bom nível de segurança nos ambientes, a Confidencialidade, a Integridade e a Disponibilidade sāo itens que ajudam as empresas a construir suas políticas internas de SI e também a se adequarem as normas que vamos detalhar logo abaixo.
Confidencialidade: As informações só podem ser acessadas por pessoas autorizadas.
Integridade: As informações não devem ser alteradas, a fonte desses dados precisa ser segura e autêntica.
Disponibilidade: As informações devem ser acessíveis aos usuários que forem autorizados sempre que elas necessitarem acessar.
Normas de Segurança da Informaçāo
As normas de SI existem com o objetivo de facilitar a implementaçāo e manutençāo de controles de segurança da informaçāo nas organizações.
Atualmente, existem algumas normas nacionais e internacionais que sāo referência na área de segurança e algumas delas estāo detalhadas logo abaixo:
ABNT (Associação Brasileira de Normas Técnicas): A ABNT é responável por manter algumas normas Brasileiras voltadas para a segurança física na área de tecnologia, como por exemplo, a NBR 1333, 1334 e a 1335.
ISO (International Standardization Organization): As normas ISO foram criadas visando atender diversos requisitos de segurança.
Para estabelecer padrões para desenvolvimento de aplicações seguras, existe a ISO 15408. Para atender frentes específicas de segurança, foi criada a série 27000. Essa linha começa com a ISO 27000 e tem várias na sequencia, porém as mais conhecidas sāo a ISO27001 e a ISO27002, que focam em controle e armazenamento de dados digitais, entretanto só existe certificaçāo para a ISO27001, as outras normas ISO da família 27000, sāo consideradas apenas guias com boas práticas recomendadas.
Em um dos meus trabalhos acadêmicos, utilizei a ISO27001 como referência para criar processos de Segurança da Informaçāo para uma instituiçāo de ensino superior no Brasil. Atualmente esse estudo está publicado em uma revista científica brasileira e você pode ter acesso a ele nesse link.
PCI (Payment Card Industry): O PCI-DSS é um padrão de segurança para a proteção de dados de cartão de crédito, criado pelo PCI Council. O conselho foi criado em 2006 pela American Express, Discover, JCB International, MasterCard e Visa. Esse conselho ajuda comerciantes, e instituições financeiras e fornecedores a compreender e implementar políticas de segurança, tecnologia e processos que protejam os dados de cartão de crédito em seus sistemas financeiros.
Escrevi um artigo mostrando como é possível atender alguns requerimentos do PCI-DSS, utilizando o Elastic Stack, como ferramenta de observabilidade e armazenamento de dados de auditoria.
SOX (Sarbannes-Oxley): A SOX ou Sarbox tem como objetivo manter auditorias para segurança das organizações, com o intuito de diminuir ou evitar fraudes. Ela foi criada após serem evidenciados diversos escândalos financeiros em algumas empresas dos Estados Unidos.
NIST 800–53: O NIST é uma norma do Instituto Nacional de Normas e Tecnologia (NIST) dos Estados Unidos. O NIST 000–53 em específico, define os padrões e diretrizes para agências federais gerenciarem seus sistemas de segurança da informação.
GDPR (General Data Protection Regulation): A GDPR é uma norma que entrou em vigor em 2018 e foi criada pela Comissão Européia, com o intuito de aumentar, melhorar e padronizar a proteção de dados pessoais na União Européia.
LGPD (Lei Geral de Proteção de Dados): A LGPD ainda não entrou em vigor no Brasil, mas o objetivo dela é similar ao da GDPR, estabelecer normas para proteger os dados pessoais no Brasil, por isso, todas as empresas, independente do porte, estão tendo que se adequar para quando a lei entrar em vigor, em agosto de 2020.
A criação de políticas e adequaçāo a normas de segurança sāo processos complexos, porém imprescindíveis para qualquer organizaçāo do mundo, por isso é muito importante estar sempre atento a cada uma delas, para evitar ataques cibernéticos e roubos de informações que venham a prejudicar as empresas e seus clientes.