Blog
Segurança da informação no setor público aplicada à prática
O avanço tecnológico trouxe mais facilidade e precisão a inúmeros processos da administração pública. Com isso, todos os dias, milhares de dados são gerados e compartilhados, desencadeando um questionamento aos tomadores de decisão das empresas: como protegê-los? A resposta está nas ações de segurança da informação.
Antes de falar sobre o assunto, precisamos contextualizar a importância da informação, sua evolução e seus desdobramentos. Em seguida, apresentaremos recursos para que os dados gerados no setor público sejam tratados de maneira segura, minimizando riscos para o governo, para o servidor público e para a população. Acompanhe!
Geração de dados na atualidade
A previsão de dados gerados no mundo até 2020 é de 44 trilhões de gigabytes. Para facilitar o entendimento, um gigabyte equivale a 200 mil músicas armazenadas. Se tocadas de forma ininterrupta, levaríamos 728 dias para escutá-las. Bastante, não é mesmo?
Até um passado não muito distante, as informações das empresas estavam restritas aos ambientes internos das organizações. Elas utilizavam e armazenavam seus dados em infraestruturas e sistemas “dentro” de seus ambientes, de forma que os acessos eram mais controlados e restritos.
Com o avanço da tecnologia e dos modelos de negócio, ocorreu uma crescente utilização de equipamentos pessoais como ferramenta de trabalho, tais como laptops e smartphones. Os dispositivos estão inseridos no conceito BYOD: bring your own device (traga seu próprio dispositivo, em tradução livre). Entre as vantagens dessa prática, podemos destacar a possibilidade de estar conectado ao ambiente de trabalho a partir de qualquer equipamento e lugar, como é o caso das aplicações em nuvem, as quais não exigem a presença no espaço corporativo.
Outro recurso presente na atualidade é a Internet das Coisas, em que vários equipamentos distintos, como celulares, televisores, carros e outros objetos físicos estão conectados, trafegando dados entre si e os usuários. Entre todo esse avanço tecnológico e a imensa geração de informações, fica a necessidade de proteção desses dados. Aí entra a segurança da informação.
O papel da segurança da informação
A segurança da informação visa à proteção dos dados em qualquer meio que esteja armazenado ou transmitido. É a proteção quanto a acessos indevidos, confidencialidade e integridade das informações e principalmente para a continuidade dos negócios.
Os dados e as informações geradas são considerados o “novo petróleo” dada a sua importância para as organizações. A perda ou a indisponibilidade de informações para uma empresa pode significar seu fechamento, clientes insatisfeitos, perda de oportunidades ou, em casos de vazamento de informações pessoais, com a nova Lei Geral de Proteção de Dados (LGPD), multas que podem variar de 50 milhões de reais a 2% de seu faturamento.
A segurança da informação no setor público
O setor público também vem se modernizando, utilizando tecnologias avançadas e sistemas mais confiáveis e integrados que geram mais dados e, em consequência, mais informações. Em outras iniciativas e projetos, como o de Cidades Inteligentes, as informações são compartilhadas e integradas, visando oferecer ainda mais serviços aos contribuintes de forma rápida, confiável e que atendam as demandas locais, utilizando diversas tecnologias e equipamentos conectados.
Porém, mesmo diante disso, ainda não vemos investimentos significativos em segurança da informação nos órgãos públicos. Frequentemente, vemos sistemas indisponíveis em função de ataques do tipo “wannacry” que “sequestram” os dados e os deixam indisponíveis por meio de criptografia. Ações simples, como backup de dados, ainda não são tratados de forma adequada. Qual é o impacto de perder seus dados, não atender o contribuinte ou um órgão fiscalizador?
O investimento, quando acontece, limita-se a equipamentos e não contempla o processo de segurança. Políticas, normas e campanhas de conscientização de usuários são deixadas em segundo plano.
Ações simples, como capacitação e uma campanha de conscientização, é, em muitos casos, mais efetiva no ponto de vista de segurança do que um grande investimento em equipamentos.
Outra questão é a adequação à nova Lei Geral de Proteção de Dados, em que todas as empresas públicas e privadas devem estar em conformidade até fevereiro de 2020. E este processo de adequação demanda muito trabalho e razoável investimento.
Investimentos e recursos
É preciso investimento para implementação do processo de segurança da informação, criando uma cultura de segurança dentro dos órgãos públicos. É preciso saber que os dados que são trabalhados possuem níveis de confidencialidade e de proteção diferentes.
No processo de gestão de segurança da informação, as ações tecnológicas, processuais e humanas são pensadas de forma integrada. Para ser eficiente, ele deve se basear em boas práticas de mercado, como as normas ISO 27001 e ISO 27002, implicando a criação de uma política de segurança, normas específicas, auditorias regulares e tecnologia — firewall e sistemas de monitoramento.
Engana-se quem pensa que a preocupação com a segurança dos dados é exclusiva dos profissionais de tecnologia da informação (TI). Isso porque as informações trafegam por todas as áreas da organização, exigindo uma parcela de responsabilidade de todos. Todos precisam aderir às políticas de segurança, não compartilhar informações sigilosas, trocar senhas periodicamente, informar incidentes e não usar softwares não autorizados, por exemplo.
Contudo a área de TI desempenha dois papéis fundamentais: segurança em infraestrutura e gestão de segurança da informação. Quando falamos em infraestrutura, é mais comum encontrarmos, nos órgãos públicos, profissionais com proficiência em tecnologias de firewall, bancos de dados, sistemas, infraestrutura de rede, entre outros. São pessoas qualificadas, capazes de implementar segurança no nível técnico.
Em relação à gestão de segurança, o responsável deve possuir características mais gerais de TI e conhecimentos profundos em gestão de segurança. Geralmente, o profissional apresenta visão de processo e tem a função de criar políticas que abrangem o órgão de forma ampla. O recomendado é a capacitação de uma pessoa que tenha o perfil de gestão de processos com conhecimentos em segurança da informação e/ou a contratação de consultorias especializadas.
Medidas de segurança
Em primeiro lugar, todos os funcionários devem ter cuidado e zelo com suas senhas. Elas são pessoais e não devem ser compartilhadas. Parece óbvio, mas, infelizmente, não é uma regra seguida. A senha é a garantia de que nós mesmos estamos utilizando um dispositivo ou sistema. Ela deve ser forte, mas de fácil memorização, com mais de oito caracteres, incluindo letras maiúsculas, minúsculas, números e caracteres especiais. É importante nunca anotá-las e evitar números sequenciais, nomes ou qualquer referência óbvia.
Não basta fazer backup, é preciso testá-lo. Algumas prefeituras já tiveram meses de dados que não foram recuperados por conta de backups corrompidos ou mídias danificadas. Não adianta termos todas as proteções se os dados não estiverem disponíveis quando necessário.
Em relação a links em mensagens e e-mails não solicitados, a melhor recomendação é: não abra. É muito comum recebermos mensagens que não solicitamos, tais como promoções imperdíveis, seu nome em órgãos de proteção ao crédito e mensagens de banco. Eles podem levar a sites maliciosos, idênticos ao original, e, assim, “descobrir” informações como senhas bancárias e outras informações pessoais, além de, em muitos casos, instalar programas que monitoram suas ações e copiam seus dados.
Viu como a segurança da informação é um assunto que não pode ser ignorado pelas empresas? Dar atenção a esse ponto é fundamental para o alcance de bons resultados em instituições públicas e privadas, sem correr riscos. Para se tornar um especialista, inscreva-se no curso A segurança da informação e a proteção de dados!