Conheça os cinco elementos que não podem, de maneira alguma, deixar de compor o sistema de segurança da informação de uma empresa

Os pilares são elementos-chave de qualquer construção e no contexto da segurança da informação eles não são considerados diferentes. Neste universo, há cinco componentes fundamentais, que sustentam o sistema de uma organização: a confidencialidade, a integridade, a disponibilidade, a autenticidade e a legalidade. 

Estes pilares fornecem uma espinha dorsal para as operações de cada instituição e garantem que tudo funcione bem ao longo do tempo. Apesar de diferentes em conceitos, trabalham em conjunto, apoiando-se mutuamente para que o sistema inteiro não entre em colapso. Sem exagero, eles são a base sobre a qual uma empresa constrói seu programa de segurança e podem ser usados para medir a eficácia da estratégia de cibersegurança de qualquer organização, além de ajudar a determinar se há ou não um problema com o sistema existente.  

“Se um destes pilares estiver ausente ou comprometido, já não existe mais segurança dentro da empresa. Eles precisam estar muito bem estruturados, não importa o nível de maturidade em que a organização se encontra”, alerta Filipe Luiz Antonio, Líder Técnico da Plataforma de Segurança e Analista de Infraestrutura Senior da Flowti. 

Conheça, a seguir, um pouco mais sobre cada um dos essenciais pilares da segurança da informação e sua aplicação prática dentro das instituições: 

1. Confidencialidade

O princípio da confidencialidade é a garantia de que os dados estejam acessíveis a determinados usuários e protegidos contra pessoas não autorizadas a acessá-los. E como fazer isso? “Para garantir que este pilar não seja rompido, a área de TI deve incluir medidas de proteção, como controle de acesso, criptografia, senhas fortes ou atér mesmo soluções passwordless. Tanto a lei europeia (GDPR), quanto a brasileira (LGPD), têm regulamentação específica para isso”, conta Filipe.  

2. Integridade 

Existe para preservar o dado, que deve ter consistência e precisão. “Para a empresa erguer este pilar, ela tem que implementar mecanismos de controle a fim de evitar que a informação seja alterada ou deletada por pessoas que não são autorizadas. Já nos deparamos várias vezes com casos em que a integridade dos dados foram afetados por erro humano. Ou seja, políticas de segurança inadequadas e processos falhos contra ciberataques”, explica Filipe.  

3. Disponibilidade

Para que um sistema seja útil e funcional, ele deve ter disponibilidade. Por isso, este é considerado o pilar mais importante da segurança da informação, segundo Filipe. Afinal, é preciso garantir que o dado esteja acessível 24 horas por dia, sete dias por semana, 365 dias no ano. Para que a empresa cumpra esse requisito e garanta a estabilidade desse dado, a TI deve ter processos e manutenções rápidas, que eliminem falhas de softwares, além de planos para administração de crise. “Se o dado não estiver disponível, você simplesmente não consegue trabalhar”, lembra Filipe. Ele também conta que é importante ter algum sistema de proteção contra desastres naturais, como alagamentos ou incêndios. O armazenamento na nuvem, portanto, é uma das saídas para garantir o pilar da disponibilidade. 

4. Autenticidade

Este é um pilar de validação da autorização do usuário para acessar, transmitir e receber determinadas informações. Para garantir a autenticidade, as empresas podem usar os mecanismos básicos, como login e senha. Mas também existem outros recursos, como a biometria e a leitura de QR Code, em que não é necessária nenhuma senha, tornando o acesso ainda mais seguro. “Com essa ferramenta de leitura de QR Code, não existe a possibilidade de vazamento de senha, porque é via web e essa conexão é criptografada, desde a hora da origem até o destino, ou seja, do momento em que eu fiz a leitura do dado até a abertura do portal. Então, se eu tiver uma infecção na minha máquina, por exemplo, não tem como gravar a senha, porque não fiz nenhum input no teclado, não digitei nada”, conta o especialista da Flowti. 

5. Legalidade

A política de segurança da informação de uma empresa deve ser feita em conformidade com a lei vigente no país. No caso do Brasil, estamos falando da Lei Geral de Proteção de Dados (LGPD). “Todo o conteúdo dos ativos de uma organização precisa estar de acordo com a lei, não há outro caminho”, conta Filipe. Ele dá um exemplo:

“Há um tempo, atendemos uma empresa que foi atacada por ransomware. Quando fomos fazer a instalação de antivírus, descobrimos que a instituição não usava Windows e Office original em todas as máquinas, só em algumas. Era o famoso software pirata, que além de não ter como atualizar – a não ser por métodos arriscados – é ilegal. A alta direção da empresa tinha quebrado este pilar e precisou se reajustar, investindo no sistema operacional original para toda a companhia. Porém, isso só aconteceu, após o dano já ter sido feito”.