Princípios básicos de segurança da informação

A segurança da informação é o esforço que as empresas realizam para proteger as informações de seus dados corporativos contra violações de segurança. Sem segurança da informação, uma organização fica vulnerável a phishing, malware, vírus, ransomware e outros ataques que podem resultar no roubo, adulteração ou eliminação de informações confidenciais.  

O custo médio de um único incidente pode chegar a US$ 4,45 milhões. Além dos encargos financeiros, tais eventos também podem perturbar as operações, prejudicar a reputação da empresa e causar problemas relacionados com a conformidade. Por isso, saber os princípios básicos de segurança da informação é essencial. 

O que é segurança da informação? 

Segurança da Informação (infosec) é um conjunto de práticas, metodologias e ferramentas de tecnologia da informação que permitem aos profissionais de segurança proteger os ativos de dados da organização contra riscos de segurança da informação. 

Um programa de segurança da informação visa impedir que usuários não autorizados acessem, modifiquem, manipulem ou destruam informações empresariais, mantendo assim a sua “tríade CIA”: confidencialidade, integridade e disponibilidade. 

A Infosec visa proteger todos os tipos de dados corporativos, incluindo: 

• Propriedade intelectual 
• Segredos comerciais 
• Dados do cliente 
• Dados pessoais 
• Informações sobre saúde 
• Cartões de crédito 
• Dados financeiros 
• Outros tipos de informações privadas 

A segurança da informação é frequentemente confundida com a segurança cibernética, mas os dois conceitos são diferentes. A segurança cibernética inclui segurança de rede, segurança de aplicativos, segurança em nuvem e assim por diante. Ele protege os ativos corporativos contra ameaças provenientes ou via Internet.  

A gestão da segurança da informação é mais ampla e inclui segurança física e digital. Um programa de segurança cibernética é um subconjunto da sua estratégia de segurança da informação. 

Ao desenvolver um programa de segurança da informação para sua organização, você deseja proteger o conteúdo da sua empresa, evitando visualizações e usos não autorizados e, ao mesmo tempo, dando acesso às pessoas certas. Você também deseja preservar seu conteúdo, evitando que pessoas não autorizadas o modifiquem ou excluam. Os princípios fundamentais da segurança da informação — confidencialidade, integridade e disponibilidade — ajudam a proteger e preservar o conteúdo da sua empresa.  

Estes três objetivos de segurança da informação provêm da tríade da CIA – também chamada de tríade AIC para evitar qualquer confusão com a Agência Central de Inteligência dos EUA. Quer você chame isso de tríade CIA ou AIC, seu objetivo é servir como uma referência que orienta a maneira como sua empresa lida com os dados à medida que são transmitidos e em repouso. Esses três princípios básicos de segurança da informação ajudarão você a aprender como proteger e preservar o conteúdo da sua empresa, então vamos nos aprofundar. 

Princípios básicos de segurança da informação 

Tenha em mente os três princípios de segurança da informação ao montar um programa de segurança da informação e avaliar plataformas para armazenar os dados da sua empresa. Qualquer plataforma que você usar deve cumprir cada um dos três princípios de alguma forma. 

1. Confidencialidade

O princípio da confidencialidade garante que apenas as pessoas que têm permissão ou autoridade para visualizar o conteúdo o possam fazer. Isso significa estabelecer algum tipo de controle para garantir a confidencialidade. Esses controles podem incluir: 

• Identificação 
• Autenticação 
• Autorização 
• Criptografia 

Algumas formas de conteúdo precisam de mais proteção do que outras. Por exemplo, sua empresa pode querer disponibilizar um vídeo de marketing ao público, mas provavelmente desejará restringir o acesso a planilhas de orçamento ou informações pessoais sobre seus funcionários. Por este motivo, a classificação do conteúdo é uma parte fundamental para garantir a confidencialidade do seu conteúdo.  

O que acontece se o princípio da confidencialidade for negligenciado? Um resultado provável é uma violação do seu conteúdo ou dados. Quando não existem medidas ou controles para proteger seu conteúdo, alguém pode acessá-lo facilmente sem permissão. Um hacker pode invadir seu sistema, baixar informações de identificação pessoal (PII) e compartilhar essas informações com outras pessoas. Uma violação pode prejudicar sua empresa de diversas maneiras, mas, acima de tudo, as violações são caras. Na verdade, o custo médio de uma violação é de US$ 3,9 milhões. 

Se um malfeitor obtiver acesso ao conteúdo da sua empresa, isso poderá prejudicar a reputação do seu negócio. Os clientes podem ter receio de retornar à sua empresa se acharem que você não está tomando as medidas apropriadas para manter seus dados pessoais seguros. 

A falta de confidencialidade também pode significar que sua empresa perde vantagem competitiva. Se outras empresas puderem ver no que você está trabalhando ou que tipos de produtos você está desenvolvendo, elas poderão copiar suas ideias ou lançar seus próprios produtos no mercado. 

2. Integridade

Integridade é o segundo princípio da tríade. O conteúdo precisa ser consistente, preciso e completo em todas as etapas, seja em repouso ou em trânsito. Os utilizadores autorizados ou não devem poder alterar os dados de uma forma que afete a sua integridade. 

Por que a integridade do conteúdo é tão importante? Quaisquer alterações nos dados que afetem a sua consistência ou precisão podem ser prejudiciais. 

No início da década de 1980, um lote de Tylenol vendido na área de Chicago foi alterado. Alguém misturou os comprimidos com cianeto, um veneno mortal, depois que os frascos de remédios saíram da fábrica, mas antes de chegarem às prateleiras das lojas. Na época, não havia como detectar se alguém havia adulterado ou não o remédio. Várias pessoas tomaram analgésicos envenenados e morreram. 

O incidente levou ao desenvolvimento de protocolos que protegem a integridade dos medicamentos. Agora, os frascos de Tylenol e outros medicamentos vendidos sem receita médica têm selos invioláveis que facilitam a verificação se alguém abriu a embalagem. A empresa que fabricou o Tylenol também mudou o design dos comprimidos para que terceiros não pudessem abri-los e adicionar algo diferente. 

Este é um exemplo de adulteração física de um produto que afeta sua qualidade e integridade. Da mesma forma, existem formas de terceiros adulterarem conteúdos digitais de uma forma que afete a sua integridade. Por exemplo, em vez de adicionar fisicamente cianeto aos comprimidos, um mau ator pode alterar a receita para que o cianeto ou outro veneno seja adicionado ao medicamento no ponto de produção.  

Isso pode parecer um cenário improvável, mas há muitas maneiras de os malfeitores interferirem nos arquivos digitais de maneiras que causam danos. Por exemplo, alguém pode alterar o número da conta do formulário de depósito direto de um funcionário para que seus contracheques comecem a ir para uma conta bancária diferente.  

A integridade está intimamente ligada à confidencialidade. Usuários não autorizados não poderão alterar o conteúdo se não conseguirem acessá-lo. Medidas adicionais além dos controlos de confidencialidade podem ajudar a proteger a integridade do conteúdo ou dos dados. Os registros de auditoria permitem que você veja quem fez o quê com um conteúdo, enquanto os controles de backup permitem recuperar o acesso ao conteúdo excluído. 

3. Disponibilidade

O terceiro princípio da tríade, disponibilidade, reflete a facilidade com que os usuários autorizados podem acessar informações ou conteúdos. Você deseja garantir a confidencialidade dos dados da sua empresa e também garantir que as pessoas que precisam usar o conteúdo possam fazê-lo.  

Alguns fatores que afetam a disponibilidade incluem: 

Onde o conteúdo pode ser acessado 

A disponibilidade do conteúdo pode variar de acordo com a localização geográfica do usuário. Um usuário pode precisar estar em um determinado país para acessar uma planilha específica ou pode precisar estar fisicamente localizado em um prédio comercial de propriedade de sua empresa para obter acesso. Além disso, uma pessoa pode conseguir acessar um determinado conteúdo ao usar um determinado dispositivo, mas não outro.  

Como o conteúdo pode ser acessado  

A maneira como alguém acessa o conteúdo pode ser determinada pelas credenciais do usuário ou pelas informações fornecidas. Você pode, por exemplo, exigir um nome de usuário e uma senha e ativar a autenticação de dois fatores.  

Quando o conteúdo pode ser acessado  

Pode ser necessário definir limites de tempo para o conteúdo. Um trabalhador temporário só poderá ter acesso a um documento durante o período do seu contrato. Um fornecedor só poderá acessar um vídeo enquanto estiver trabalhando em um projeto com sua empresa.  

Manter o software e o hardware da sua empresa é uma parte crucial para garantir a disponibilidade. Se o software travar com frequência ou precisar de muito tempo de inatividade, isso poderá afetar quando e como as pessoas acessam o conteúdo. A condição do hardware também influencia a disponibilidade. Se alguém precisar imprimir um documento ou usar um computador especial para acessar um determinado tipo de conteúdo, o acesso geral ao conteúdo será limitado. 

Equilibrando a tríade 

Os princípios básicos de segurança da informação trabalham juntos para proteger o seu conteúdo, seja ele armazenado na nuvem ou no local. Os três objetivos da tríade são: 

• Proteja o conteúdo 
• Garanta a precisão do conteúdo 
• Mantenha o conteúdo acessível 

Defender os três princípios da segurança da informação é um ato de equilíbrio. Não é provável que sua empresa consiga evitar a quebra de confidencialidade, proteger a integridade do seu conteúdo e garantir que ele estará sempre disponível 100% do tempo. É importante focar no que você pode fazer para manter a tríade em equilíbrio para que o conteúdo seja tão protegido, preciso e acessível quanto possível. 

Uma forma de equilibrar a tríade é concentrar-se nos riscos específicos que estão presentes e na forma como afetam cada princípio. O ransomware geralmente afeta a disponibilidade do seu conteúdo. É um tipo de malware que criptografa seus arquivos, tornando-os ilegíveis. Um hacker que consegue instalar ransomware em um dispositivo torna o dispositivo praticamente inutilizável para o proprietário, desde que o malware permaneça nele. Reconhecer as maneiras pelas quais o ransomware pode afetar a disponibilidade do seu conteúdo permite que você desenvolva planos de segurança para combatê-lo. 

Você pode impedir que um ataque de ransomware limite o acesso ao seu conteúdo usando um programa de backup na nuvem. O malware pode bloquear o acesso a um dispositivo específico, mas se o conteúdo também estiver armazenado na nuvem, seus funcionários ainda poderão acessá-lo sem precisar pagar o resgate e esperar que o hacker envie uma chave de descriptografia. 

Ferramentas de mercado também podem ajudar. Com a detecção automatizada de malware, o conteúdo é verificado durante o upload. Se um malware for detectado, o arquivo será classificado como malicioso e controles de segurança serão implementados para impedir o download e a edição local, impedindo a propagação. Os usuários ainda podem visualizar e até editar o conteúdo online, para que a produtividade não seja perdida. Os administradores são notificados e os alertas podem ser publicados nas ferramentas SIEM e CASB. 

Alguns riscos e ameaças afetam apenas um princípio, mas há casos em que uma ameaça pode afetar dois princípios. Confidencialidade e integridade muitas vezes andam de mãos dadas. Alguém poderia ter acesso a informações que não deveria e alterá-las, seja para causar danos ou para se beneficiar. Um hacker pode obter informações de pagamento de fornecedores e alterá-las para receber os pagamentos destinados aos fornecedores. 

Controles de segurança da informação 

Sua organização pode usar diversos controles para proteger os três princípios de segurança da informação. Geralmente é melhor implementar vários controles para garantir um equilíbrio entre os três princípios. Algumas ferramentas possuem vários controles de segurança que garantem que todos os dados enviados permaneçam precisos, acessíveis e confidenciais. 

Controles de autenticação – Mantenha seu conteúdo nas mãos certas 

1. Autenticação

Os controles de autenticação podem ajudar a garantir que as pessoas que acessam seu conteúdo sejam as pessoas que têm permissão para fazê-lo. Os controles podem ser digitais ou físicos, dependendo da localização do conteúdo. Eles incluem: 

Identificação  

Os controles de identificação podem incluir a digitalização de crachás antes de permitir o acesso de uma pessoa a uma área do edifício, como uma sala de arquivos. Outros tipos de controles de identificação física incluem scanners de impressão digital ou retina, que podem verificar a identidade de uma pessoa antes de conceder acesso a um dispositivo ou localização física. Os controles de identificação para conteúdo digital armazenado na nuvem ou no local podem incluir nomes de usuário ou endereços de email.  

Senhas 

As senhas podem fornecer uma camada adicional de autenticação. Sua empresa pode exigir que os funcionários criem senhas, alterem suas senhas regularmente e criem senhas fortes para minimizar a chance de um hacker adivinhá-las.  

Autenticação de dois fatores  

A autenticação de dois fatores (2FA), ou autenticação multifator, requer pelo menos uma verificação adicional além de um nome de usuário e senha antes que uma pessoa possa obter acesso a um conteúdo. 2FA pode assumir várias formas. Uma opção popular é enviar um código para o dispositivo móvel de uma pessoa por meio de mensagem de texto e pedir que essa pessoa digite o código antes de continuar. Outra opção é fazer com que as pessoas baixem um aplicativo em seus dispositivos móveis. Quando tentam acessar um conteúdo ou fazer login, eles também precisam tocar em um botão no aplicativo para concluir o processo de autenticação.  

Os controles de autenticação protegem a confidencialidade do seu conteúdo. Eles também podem impactar a disponibilidade do conteúdo, pois os funcionários que têm permissão para usar determinados tipos de conteúdo precisam garantir que possuem as senhas corretas e a identificação necessária para obter acesso. 

2. Controle de acesso

Outra forma de proteger a confidencialidade do seu conteúdo é limitar o acesso a ele. Vários tipos de controle permitem limitar ou abrir o acesso:  

Classificação de conteúdo  

Classificar seu conteúdo é uma forma de determinar quem pode visualizar ou modificar o quê. Você pode querer configurar um conteúdo para que qualquer pessoa que tenha o link possa visualizá-lo ou editá-lo, ou talvez queira limitar o acesso a um determinado conteúdo apenas às pessoas que você convida especificamente para visualizá-lo ou editá-lo. O Box Shield pode automatizar o processo de classificação para você, procurando determinados termos ou palavras-chave nos arquivos.  

Links com tempo limitado  

Pode ser que você esteja trabalhando com um fornecedor externo ou com um indivíduo que precisa de acesso a um conteúdo, mas não deseja que ele tenha acesso ao conteúdo para sempre. Colocar uma data de expiração nas permissões que você concede é uma forma de controlar o acesso. O indivíduo só poderá visualizar ou editar o conteúdo até a data em que o link expirar. Você pode criar um novo link se ainda precisar da opinião deles após essa data.  

Listas de acesso atualizadas  

Os funcionários podem entrar e sair da sua empresa. É importante garantir que alguém que não trabalha mais na sua empresa não continue a ter acesso às suas informações e conteúdo. A atualização regular das listas de acesso significa que apenas as pessoas que têm legitimamente o direito de visualizar ou editar conteúdo podem continuar a fazê-lo. As listas de acesso atualizadas também garantem que os novos funcionários obtenham as permissões necessárias para começar a trabalhar com rapidez e eficiência. 

3. Criptografia

Criptografar seu conteúdo permite controlar sua confidencialidade e integridade. A criptografia transforma um conteúdo de texto simples em uma cifra. Um hacker que obtém acesso a um documento de texto simples, como um contrato de vendas, uma planilha ou um e-mail, pode lê-lo facilmente. Mas alguém que tenha acesso a uma cifra não fará cara ou coroa com ela, a menos que também tenha a chave de descriptografia.  

O comprimento da chave determina sua força e eficácia. Quanto mais tempo, mais eficaz é, na maioria dos casos. Por segurança, uma chave de 80 bits é considerada a força mínima. Nossa plataforma usa uma chave de 256 bits, que é a força recomendada pelo Instituto Nacional de Padrões e Tecnologia do Departamento de Comércio dos EUA. Alguém que tentasse quebrar uma chave de 256 bits precisaria tentar 2.256 combinações para fazer isso, o que é um desafio mesmo para um computador sofisticado.  

O uso da criptografia protege seu conteúdo quando ele está em repouso e quando está sendo transmitido de um computador para outro.  

4. Acesso ao histórico de arquivos em qualquer lugar e a qualquer hora

Você precisa controlar como o conteúdo é alterado e quem tem acesso a ele. A integridade do conteúdo da sua empresa pode ser afetada de diversas maneiras. Uma pessoa pode cometer um erro inocente ao editar uma planilha, colocar um ponto decimal no lugar errado ou digitar incorretamente o nome de um cliente. Um hacker pode acessar um conteúdo e alterá-lo tanto que ele se tornará irreconhecível.  

A visibilidade em versões mais antigas de arquivos significa que, se um conteúdo for alterado de forma irreconhecível por terceiros, você poderá comparar para ver o que deu errado e excluir qualquer conteúdo comprometido. 

Você tem várias opções para manter versões anteriores do seu conteúdo: 

A nuvem de conteúdo  

Há ferramentas que versionam automaticamente seu conteúdo em uma única plataforma de nuvem, o que significa que ele é armazenado em um servidor baseado na Internet, em vez de em um servidor local. Se algo acontecer com seus computadores físicos ou se seu conteúdo for comprometido de alguma outra forma, você poderá reverter rapidamente para as versões mantidas na nuvem. 

Uma unidade USB  

Outra opção de backup é armazenar seu conteúdo em uma unidade USB. Um USB é pequeno, mas tem muito espaço de armazenamento. Ao contrário dos backups baseados em nuvem, fazer backup do seu conteúdo em um USB não é um processo automático. Você precisa se lembrar de fazer isso. A maioria das unidades USB também é pequena, então há uma chance de a própria unidade ser perdida ou roubada.  

Armazenamento conectado à rede  

Um dispositivo de armazenamento conectado à rede permite fazer backup automático do seu conteúdo. Ao contrário dos backups baseados em nuvem, um dispositivo de armazenamento conectado à rede armazena seu conteúdo em um disco rígido físico. Os sistemas podem ficar caros, dependendo da quantidade de espaço de armazenamento necessária. É possível que alguém roube esses dispositivos, embora sejam maiores que um USB. 

Quais são os sete Ps do gerenciamento da segurança da informação? 

Política. A política envolve a definição e o estabelecimento de políticas de segurança da informação que orientam a abordagem global de uma organização para proteger os seus activos de informação. As políticas descrevem regras, responsabilidades e comportamentos aceitáveis relacionados à segurança da informação. 

Programa. Programa refere-se ao plano estratégico e sistema de gestão para implementar e monitorar políticas e práticas de segurança da informação. Inclui avaliações de risco, treinamento de conscientização de segurança, planejamento de resposta a incidentes e monitoramento de conformidade. 

Pessoas. As pessoas conscientizam os funcionários sobre os riscos de segurança e as melhores práticas, estabelecendo funções e responsabilidades e garantindo que os indivíduos sejam responsáveis por suas ações em relação à segurança da informação. 

Processos. Os processos concentram-se nos procedimentos e fluxos de trabalho que dão suporte à segurança da informação. Inclui controle de acesso, resposta a incidentes, gerenciamento de mudanças e avaliações de vulnerabilidades. 

Proteção. A proteção refere-se às medidas técnicas e físicas para salvaguardar os ativos de informação. Isso inclui a implementação de firewalls, criptografia, controles de acesso, software antivírus e outras tecnologias de segurança. 

Projetos. Os projetos envolvem o gerenciamento de iniciativas e melhorias de segurança da informação, como atualizações de sistemas, melhorias de segurança e implementação de novas soluções de segurança. 

Parcerias. As parcerias enfatizam a importância da colaboração com parceiros externos, como vendedores, fornecedores e outras organizações. Garante que a segurança da informação seja levada em consideração nas relações com terceiros e que os parceiros cumpram os padrões de segurança necessários. 

Sete principais ameaças à segurança da informação 

1. Vírus e worms

Um vírus é um código malicioso que pode se replicar automaticamente e se espalhar de um sistema infectado para outro, geralmente sem o conhecimento ou permissão de um usuário ou administrador do sistema.  

Assim como um vírus, um worm também é um programa autorreplicante. Ao contrário de um vírus, porém, ele se espalha sem se copiar para um programa hospedeiro e sem qualquer interação humana. Tanto os vírus quanto os worms podem danificar ou destruir os dados, a rede ou os sistemas de uma organização.  

2. Malware

Malware é um programa destrutivo que contorna os sistemas de segurança empresariais, como firewalls, para infectar redes empresariais. Ele permite que um agente mal-intencionado infecte, explore ou roube informações. O malware vem em muitas variantes, incluindo:  

Adware 

• Malvertising 
• Rede de bots 
• Ferramentas de administração remota (RATs) 
• Rootkits 
• Spyware 

Os invasores podem atacar a segurança da informação (e a segurança de TI em geral) com malware por meio de vários canais, incluindo: 

• Anexos de e-mail 
• Servidores de arquivos 
• Software de compartilhamento de arquivos 
• Compartilhamento de arquivos ponto a ponto (P2P) 
• Kits de exploração 
• Sistemas remotos 

3. Ransomware

Ransomware é um malware que permite que um invasor criptografe dados ou bloqueie o acesso de usuários aos seus sistemas. O invasor exige o pagamento de um resgate da vítima antes de restaurar o acesso aos dados. O número de ataques de ransomware em todo o mundo era de impressionantes 493,33 milhões em 2023, e a demanda média de resgate é de US$ 4,7 milhões. Este é um dos maiores riscos cibernéticos da atualidade.  

4. Golpes de phishing

Em um golpe de phishing, os hackers enganam as vítimas para que revelem informações confidenciais ou confidenciais, como credenciais de login ou dados financeiros.  

A maioria dos golpes de phishing começa com e-mails falsos que parecem ser de fontes legítimas. O e-mail inclui um link ou anexo malicioso. Quando a vítima clica no link, ela é direcionada para o site falso, onde a vítima é enganada e fornece dados confidenciais. Às vezes, abrir um anexo instala malware no sistema da vítima que pode coletar dados confidenciais para o invasor. 

5. Ataques de download drive-by

Nos ataques de download drive-by, o código malicioso é baixado de um site para o sistema do usuário por meio de um navegador, sem a permissão ou conhecimento do usuário. O simples acesso ou navegação em um site infectado pode iniciar o download, permitindo que os cibercriminosos roubem informações confidenciais do dispositivo da vítima.  

6. Ameaças internas

Pessoas internas descuidadas e mal-intencionadas são ameaças graves à segurança da informação. As organizações experimentaram um aumento substancial no custo do roubo de credenciais, aumentando 65%, de US$ 2,79 milhões em 2020 para impressionantes US$ 4,6 milhões hoje. Além disso, os incidentes que levaram mais de 90 dias para serem contidos provaram ser ainda mais complicados.  

Ladrões de credenciais internas são outro problema, pois roubam credenciais e dados corporativos valiosos. Insiders podem ser sérias ameaças à segurança da informação, pois podem: 

•  Exfiltrar dados confidenciais 
• Venda dados da empresa para obter ganhos financeiros 
• Roubar propriedade intelectual ou segredos comerciais para espionagem corporativa 
• Expor informações na dark web para constranger a empresa ou prejudicar sua reputação 
• Envie e-mails ou arquivos para o destinatário errado, levando ao roubo ou abuso de dados 

7. Ameaças persistentes avançadas (APTs)

Num ataque APT, um invasor penetra na rede corporativa e permanece sem ser detectado por um longo período. O objetivo do invasor não é causar danos imediatos, mas monitorar a atividade da rede e roubar informações. Esses invasores geralmente são crimes organizados, grupos terroristas ou hackers patrocinados pelo Estado. 

Overview – Princípios de Segurança da Informação 

Existem três princípios básicos de segurança da informação: 

• Confidencialidade 
• Integridade 
• Disponibilidade 

Juntos, estes princípios são conhecidos como a Tríade da CIA. Todo programa de segurança da informação deve seguir estes princípios para obter eficácia máxima. 

Confidencialidade 

Este primeiro princípio destina-se a impedir o acesso não autorizado ou a divulgação de informações empresariais; procura garantir que apenas usuários autorizados tenham acesso aos dados. O princípio da confidencialidade é considerado comprometido quando alguém que não possui a devida autorização consegue acessar os dados da sua organização e depois danificá-los, comprometê-los ou excluí-los. 

Integridade 

A integridade dos dados trata de manter a precisão, confiabilidade, consistência e confiabilidade dos dados. Isto significa que os dados não devem ser comprometidos ou modificados indevidamente (seja inadvertidamente ou maliciosamente) por alguém sem a devida autoridade. 

Disponibilidade 

Disponibilidade significa que as informações são facilmente acessíveis aos usuários autorizados sempre que necessário, minimizando interrupções ou tempos de inatividade. 

A Tríade da CIA é a base da segurança da informação. Esses três princípios informam e afetam uns aos outros, determinando a força e a eficácia do seu programa de segurança da informação. 

Dito isto, outros princípios também regem a segurança da informação e aumentam a sua eficácia. 

Não repúdio 

O Instituto Nacional de Padrões e Tecnologia (NIST) define o não repúdio como a garantia de que o remetente da informação “recebe um comprovante de entrega e o destinatário recebe um comprovante da identidade do remetente, para que nenhum dos dois possa negar posteriormente ter processado a informação”.  

O princípio do não repúdio responsabiliza as pessoas pelas ações que realizam e que podem afetar as informações da organização. Essa responsabilização pode impedir comportamentos inadequados que colocam os dados empresariais em risco. 

Gerenciamento de riscos 

A gestão de riscos permite que as organizações identifiquem riscos às informações e, em seguida, protejam essas informações sem prejudicar o acesso ou a produtividade. A gestão de riscos também ajuda uma empresa a determinar o nível de risco que está disposta a tolerar e a implementar salvaguardas para reduzir esse risco.  

Classificação de dados 

A classificação de dados categoriza os dados de acordo com tipo, sensibilidade e impacto caso sejam comprometidos ou roubados. Os dados podem ser classificados para melhorar o controle de acesso e determinar por quanto tempo devem ser retidos.  

A classificação de dados também ajuda as organizações a compreender o valor dos seus dados, identificar se estão em risco e implementar os controlos e medidas de segurança da informação adequados para mitigar estes riscos. A classificação também simplifica a conformidade com vários mandatos regulatórios que uma organização pode ter, como GDPR, HIPAA ou PCI-DSS. 

 Existem diferentes maneiras de classificar os dados. Uma é por nível de sensibilidade: 

•  Alta sensibilidade 
• Sensibilidade média 
• Baixa sensibilidade 

Outra é pelo acesso: 

•   
• Público 
• Apenas interno 
• Confidencial 
• Restrito 

Continuidade de negócios (BC) e recuperação de desastres (DR) 

A continuidade dos negócios e a recuperação de desastres também são princípios de segurança essenciais na segurança da informação. O planejamento adequado da continuidade dos negócios permite que as organizações minimizem o tempo de inatividade e mantenham funções críticas para os negócios durante e após uma interrupção (como um ataque cibernético ou desastre natural). 

Um plano de recuperação de desastres ajuda a empresa a recuperar o uso de seus sistemas de informação e infraestrutura de TI críticos o mais rápido possível após um desastre. Garante que os dados permaneçam disponíveis e inalterados, o que reduz o risco de perda de dados. Backups de dados e sistemas redundantes são duas estratégias comuns de BC/DR em infosec. 

Mudar a gestão 

Um processo formal de gerenciamento de mudanças também é crucial para a segurança da informação. Quando as alterações nos dados e no sistema não são gerenciadas adequadamente, isso pode levar a interrupções que afetam a disponibilidade, impedir que usuários autorizados acessem os dados de que precisam ou prejudicar a segurança. 

Portanto, é fundamental contar com o suporte de uma empresa de confiança para manter sua empresa segura. 

Diferenciais da Infonova 

A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria. 

BACKUP 

Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento. 

VALOR FINANCEIRO 

O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo. 

LIBERAÇÃO DO RH 

O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa. 

FLEXIBILIDADE – HUB DE TECNOLOGIA 

A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:  

• Ar-condicionado; 
• Outsourcing de impressão; 
• Links de internet; 
• Compra de materiais e mais. 

ALOCAÇÃO DE DESENVOLVEDORES 

A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes. 

RETENÇÃO DE COLABORADORES 

Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa. 

LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES 

Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro. 

NÃO TEM MULTA DE CONTRATO 

A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado. 

PODE PARAR QUANDO QUISER 

Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência. 

CONTINUAMOS AMIGOS 

Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria. 

DORMIR TRANQUILO 

Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.