Tecnologia é uma maravilha, mas como tudo na vida, existem bônus e ônus
Antes de falar de forma séria sobre o tema deste artigo, vou fazer um resumo sobre porque ele é importante:
A ISO 27001 é a Norma que serve para proteger você e o seu negócio do Tom Cruise descendo pendurado do telhado dentro da sua sala de TI para roubar os dados da sua
Empresa (quem lembra de Mission: Impossible)?
Depois dessa confissão de idade, vamos ao que interessa: Empresas de todos os portes e segmentos de negócio estão lidando com profundas mudanças trazidas pelo que se convencionou chamar de Transformação Digital (TD) e Indústria 4.0. As inovações por trás destes dois conceitos parecem trazer uma miríade de possibilidades, abrindo verdadeiros “portais interdimensionais” em termos de atendimento ao cliente, aumento de escala e visibilidade para os negócios.
Processos tradicionais foram digitalizados. Praticamente tudo pode ser feito com o auxílio de um smartphone, tablet ou PC. Mesmo que o seu produto ou serviço não seja tecnologia, a experiência do cliente para ter acesso a ele tem que ser – ou então você já era. Só no triênio 2018-2020, os investimentos em TD devem somar cerca de US$ 6,3 trilhões (fonte: IDC – International Data Corporation). É espantoso.
Por outro lado, se o seu negócio é manufaturar ou montar produtos, você sabe há bastante tempo que trabalhar de forma lean (enxuta) é crítico para a sua sobrevivência. Gerar valor para o cliente usando o mínimo possível de recursos, evitando os desperdícios, é o mínimo que se espera, através da automação de processos e da IoT (Internet of Things ou Internet das Coisas). IoT é, provavelmente, o conceito mais importante dentro do universo da Indústria 4.0. Por ele, qualquer dispositivo – qualquer um mesmo – pode ter um endereço IP para prover alguma funcionalidade.
As soluções para os problemas da humanidade parecem estar limitadas a um único fator: nossa capacidade de imaginação. Como se Thanos entrasse na nuvem de computadores e estalasse os dedos, negócios nascem e morrem todos os dias, envolvendo milhões de pessoas, bilhões de dólares e sonhos infinitos.
Vivemos em um mundo interconectado – e, por isso mesmo, perigoso
Toda essa maravilha tecnológica, porém, abre uma inédita categoria de problemas cada vez mais importante e que afeta todos os negócios: os Riscos de Segurança da Informação. Tendo em vista que a mágica da TD e IoT se dão em um ambiente interconectado, a exposição a este ambiente atrai também aqueles que usam a rede mundial de computadores com intenções criminosas. Basta que um único computador de sua Empresa esteja conectado à internet para que ela esteja, de alguma forma, vulnerável a ataques.
De acordo com dados do CERT.br (Centro de Estudos para Resposta e Tratamento de Incidentes em Computadores), somente em 2018 mais de 676.000 incidentes foram reportados à entidade (veja aqui). Estes incidentes, de diversos tipos, mostram como o risco cibernético pode afetar as Organizações:
58,77% constituem Scan: varredura feita por hackers para identificar potenciais alvos. A isto chamamos “explorar vulnerabilidades”, e disso muitas vezes resulta o crime, por exemplo, de sequestro de dados.
23,42% são DoS – Denial of Service: O hacker usa um computador ou rede de computadores para tirar do ar a operação de um serviço, computador ou rede, através de envio de infinitas solicitações de serviço ao servidor.
6,09% são incidentes web: Ataques específicos a servidores ou páginas na Internet.
Outros 5,78% se materializam como worms: robôs que propagam códigos maliciosos, como vírus, por exemplo.
5,57% constituem fraudes: Mecanismos de engenharia social, como phishing, obtém de forma ilegal dados de pessoas e empresas para cometer crimes (dados pessoais, senhas bancárias e de cartões de crédito, senhas de acesso a sistemas críticos...).
Somente em 2018 ocorreram mais de 676.000 incidentes de segurança da informação, de acordo com o cert.br
E as vítimas dos cyber-ataques não são apenas as grandes empresas. Muito pelo contrário. Em reportagem da Revista Veja de 21/02/2018, a McAfee informava que o Brasil perde, por ano, US$ 10 bilhões em decorrência de crimes cibernéticos. Um dos crimes mais comuns é o de sequestro de dados. Em 2016, nada mais nada menos que METADE das empresas do Brasil já tinham sofrido ataques deste tipo, conforme reportagem do Valor Econômico, de 02/03/2017.
Eu vivi de perto uma situação dessas com um de meus clientes, há poucos meses. Faltando duas semanas para a sua Auditoria de Manutenção de terceira parte, recebo uma ligação: “François, precisamos cancelar a auditoria”. Eu, surpreso, já que isso é bastante incomum, perguntei: “Mas por que? O que aconteceu?”. A resposta veio na forma de uma voz fraca e seca: “É que invadiram os servidores da Empresa, criptografaram os dados e agora estão pedindo resgate”. Simples assim. A Empresa ficou sem poder acessar seus dados, teve que contratar uma outra empresa especializada em tentar resolver esse tipo de problema.... e por aí vai. Nessa hora, não adianta chamar os Vingadores.
Os crimes cibernéticos afetam as empresas de muitas formas negativas. Entre elas:
Interrupção de operações
Comprometimento de ativos críticos
Exposição de informações sensíveis ou sigilosas.
As consequências desses ataques também podem ser enormes:
Perda de clientes
Perda de imagem e reputação
Processos judiciais, multas e autuações (mesmo sem a LGPD já é assim)
Consequências de cyber-ataques incluem: perda de clientes, perda de imagem e reputação e processos judiciais
Além disso, surpreende saber que quem pratica esses crimes pode estar muito mais perto do que você imagina. A maioria dos ataques têm origem dentro da própria Organização.
Tudo isso, é claro, custa dinheiro. Muito dinheiro. Lembram do caso do vazamento de dados do Facebook? Em 2018, 87 milhões de dados pessoais foram parar indevidamente nas mãos de terceiros. De uma hora para a outra, a rede social perdeu BILHÕES de dólares em valor de mercado. Who you´re gonna call?
Para complicar ainda mais a vida das Organizações no Brasil, a nova LGPD – Lei Geral de Proteção de Dados, com adoção efetiva prevista para 2020, prevê a responsabilização das Empresas por danos causados a terceiros em decorrência de vazamento de dados pessoais.
As Empresas Precisam Melhorar a Segurança da Informação – Olha a ISO 27001 aí, gente!
Esse Novo Mundo da tecnologia, rico em alternativas para que as Empresas criem mais valor, requer proteção. E, paradoxalmente, as empresas só se dão conta disso quando o ladrão já entrou pela janela...
Ter na empresa um responsável por cyber-security não é suficiente para garantir aos seus clientes, stakeholders e demais partes interessadas que as suas informações estão seguras. É aí que entra a Certificação de Terceira Parte em Segurança da Informação.
A ISO/ IEC 27001:2013 é uma Norma de Sistemas de Gestão focada em implementar, manter e melhorar um Sistema de Gestão de Segurança da Informação. Ela já é a quarta Norma com maior número de certificações no mundo, atrás apenas da ISO 9001 e ISO 14001 (dados da ISO Survey 2018). Sua implementação é fundamental para que a sua Empresa possa demonstrar a terceiros que seus dados e informações estão seguros.
Segurança da Informação é o conceito de que um ativo de informação sensível (como definido pela Organização) deve apresentar três atributos:
Confidencialidade – o ativo de informação só deve ser acessado por aqueles autorizados a isso.
Integridade – o ativo de informação deve permanecer íntegro, livre de interferências que alterem a sua veracidade.
Disponibilidade – o ativo de informação deve estar disponível para uso, quando e como requerido pelas partes interessadas, respeitados os dois atributos anteriores.
A grande vantagem da ISO/ IEC 27001:2013 é que ela permite que a Organização organize as suas práticas e processos focados em garantir segurança às suas informações. E ela não é uma norma que se aplica somente a empresas de tecnologia. Muito pelo contrário – ela se aplica a qualquer tipo de empresa. Veja alguns exemplos:
Indústria química: Estou desenvolvendo um novo produto químico revolucionário para o meu mercado. Como impedir que isso não caia nas mãos dos meus concorrentes?
Saúde: Meu hospital guarda cadastros e prontuários de pacientes críticos. Como impedir o acesso indevido a esses dados?
Geração e Distribuição de Energia: Nosso sistema de controle de energia opera a geração de energia e a sua distribuição através de uma aplicação interconectada. E se alguém invadir e tomar o controle dessa operação?
Tecnologia: Meu e-commerce tem uma enorme base de dados com informações pessoais dos clientes. E se isso vazar?
Serviços Financeiros: Nosso banco opera milhões de transações por dia, por onde circulam dados críticos como senhas de cartão de crédito, saldos bancários, números de conta... como fazer com que esses dados sejam impenetráveis?
Segurança da Informação é um conceito que tem valor para qualquer tipo de empresa - por isso a ISO 27001 é tão importante.
A ISO 27001, como qualquer outra norma de Sistema de Gestão da ISO, está estruturada com base em um conjunto de requisitos que têm a intenção de implementar um PDCA (ciclo plan-Do-Check-Act) robusto para a gestão da segurança da informação. Resumidamente, estes requisitos podem ser traduzidos em perguntas para a Organização responder:
Contexto da Organização – Quais são as questões externas e internas relevantes para a Segurança da Informação? Quais são as partes interessadas e seus requisitos de segurança? Qual será o alcance deste sistema de gestão?
Liderança – Como a Direção insere a Segurança da Informação em no direcionamento estratégico? De que forma ela espera que as pessoas se comportem com relação a este tema? Como ela assegura os recursos para que a Segurança da Informação seja implementada?
Planejamento – Quais são os riscos existentes para a Segurança da Informação? Como tratar estes riscos? Que objetivos devem ser alcançados com a Segurança da Informação?
Suporte – Que recursos e competências são necessários para que a Segurança da Informação seja implementada, mantida e melhorada de forma eficaz? Como comunicar as questões relevantes de Segurança da Informação para a Organização e partes interessadas?
Operação – Que processos devem ser implementados para garantir que o planejamento e os objetivos sejam alcançados?
Avaliação do Desempenho – O que deve ser medido e monitorado para saber se o sistema de gestão está sendo eficaz? Como avaliar os processos de forma independente e analisar criticamente o seu desempenho?
Melhorias – O que fazer se houver problemas? Como devem ser corrigidos? Onde o sistema pode melhorar?
Ter uma estrutura, profissionais e ferramentas de cyber-security não é suficiente para obter a confiança das partes interessadas.
Mas a parte mais legal da ISO 27001 é que ela é uma das poucas Normas ISO de Sistemas de Gestão que possui um Anexo Normativo – é o Anexo A: Objetivos de Controle e Controles (de Segurança da Informação). O “pulo do gato” é a Organização saber usar este anexo para determinar quais são os controles aplicáveis aos seu Sistema de Gestão de Segurança da Informação, levando em conta o alcance (escopo) do sistema de gestão e o seu contexto. É também neste anexo que se percebe que os controles de segurança da informação vão muito além de software e hardware de TI.
O Anexo A apresenta um total de 114 controles que potencialmente podem ser aplicados à Segurança da Informação na Empresa. Quem determina quais são os controles aplicáveis é a própria Organização, documentando essa informação no SoA – Statement of Applicability ou Declaração de Aplicabilidade. Obviamente que o SoA deve guardar coerência com as necessidades de Segurança da Informação determinadas pela Organização (e suas partes interessadas) em seu processo de análise de riscos.
Resumidamente, os grupos de controles do Anexo A da ISO/ IEC 27001:2013 são os seguintes:
Políticas de Segurança da Informação
Estrutura Organizacional para Segurança da Informação
Segurança em Recursos Humanos
Segurança na Gestão de Ativos
Controle de acesso (lógico)
Segurança física e ambiental
Segurança nas Operações
Segurança nas Comunicações
Aquisição, desenvolvimento e manutenção de sistemas
Relacionamento com fornecedores
Gestão de Incidentes de Segurança da Informação
Aspectos de Segurança da Informação na Gestão de Continuidade de Negócios
Compliance em Segurança da Informação
Por tudo isso, se você quer ser bem-sucedido na Transformação Digital da sua Organização, ou entrar com sucesso na era da Indústria 4.0, e estar em conformidade com a LGPD, a ISO 27001 deve fazer parte das suas considerações.
Cada vez mais, o tema Segurança da Informação adquire importância estratégica para os negócios. Está na hora de sair da mesa das crianças e sentar à mesa com os adultos.
Comentarios