Você sabe a diferença entre Cibersegurança e Segurança da Informação?

Podemos ver com frequência que as pessoas usam os termos “segurança de TI, segurança cibernética, cibersegurança ou em inglês cybersecurity” e “segurança da informação”, como se fossem sinônimos. Simplesmente porque, em suas definições mais básicas, ambas se referem à integridade e a confidencialidade das informações. Mas há uma diferença decisiva, que será esclarecida a seguir.

Segurança da Informação

As organizações, independente do ramo, possuem informações, como registros comerciais, dados pessoais e propriedade intelectual. Essas informações podem ser mantidas em lugares distintos e diversas maneiras de serem acessadas. Na maioria dos casos esses dados são acessados através de um computador ou material impresso, armazenados em servidores, HDs, pendrives, laptops, dispositivos móveis e outros locais.

Concorda, que tudo isso precisa ser mantido em segurança? Pois bem, esse processo é chamado de Segurança da Informação.

A Segurança da Informação possui duas subcategorias de proteção, que são:

  • A proteção do ambiente físico, para garantir que as instalações estejam seguras;
  • E a proteção do ambiente cibernético, afim de garantir que ninguém possa acessar informações eletronicamente. Isso é Segurança Cibernética.

Cibersegurança

A Segurança Cibernética abrange etapas de proteção que uma organização necessita para se manter segura contra ataques por meio de vulnerabilidades em sua rede e/ou sistemas de informação. Provavelmente seja mais comodo para os criminosos, conduzirem ataques cibernéticos, instalarem malwares e/ou enviarem phishings, do que a invasão a um prédio, evitando o deslocamento até as instalações da organização, diminuindo as evidências e a probabilidade de serem pegos.

Significando que, embora a Cibersegurança seja apenas uma parte da Segurança da Informação, possui um alto grau de importância.

É necessário compreender que todos os mecanismos da Segurança da Informação são importantes. A Segurança Física impede a invasão nas instalações da organização e a Segurança Cibernética é necessária para atenuar as ameaças internas. Desse forma, podemos entender a diferença e a relação que uma área tem com a outra para assim reduzir a probabilidade de acesso por um invasor.

Fonte

E-book – Muito mais do que uma senha segura

Hoje, 30 de novembro, é o Dia Internacional da Segurança da Informação.
Para celebrar a data, um grupo de profissionais se uniu para criar um e-book gratuito com dicas que vão ajudar os profissionais de TI a manterem as suas redes e informações mais seguras.

Nesse e-book, que pode ser baixado e divulgado livremente, vários temas são tratados: Política de Segurança da Informação, Vulnerabilidades, Riscos, Segurança Física, Backup, Conscientização, Resposta a Incidentes e muitas outras recomendações.

Esse trabalho visa conscientizar a importância da Segurança da Informação na vida das empresas brasileiras.

Baixe aqui: E-book-Muito-mais-do-que-uma-senha-segura-1

A Tecnologia sozinha não faz milagres em Segurança da Informação

Segundo Leonardo Moreira, diretor da Proof, não há dúvidas que as ferramentas de BA (Business Analytics) realizam um ótimo trabalho na área de SI (Segurança da Informação) possibilitando análises descritivas, preditivas e o apoio em tempo real na tomada de decisões.

Moreira ressalta ainda, a respeito de insights valiosos obtidos na gestão de Segurança da Informação por meio de elementos conceituais, porém importantes, como Big Data, análise comportamental e aprendizado de máquina.

Todavia, a tecnologia sozinha não faz milagres, ainda não existe uma solução que apresente resultados fascinantes para obter sucesso de forma mágica. Ferramentas de BA não podem substituir os sistemas tradicionais de segurança, muito menos pessoas que realizam esse trabalho.

Joseph Demarest, vice-diretor da ciberdivisão do FBI, afirma: “Você vai ser hackeado. Tenha um plano.” Como sabemos bem, não existe sistema completamente seguro, não é possível proteger completamente um dispositivo conectado à internet. Podemos tomar como exemplo o ciberataque massivo causado por um Ransomware intitulado como “WannaCry”, infectando máquinas, se propagando pelo mundo e sequestrando dados, confira aqui. A Microsoft já havia lançado um patch para correção da vulnerabilidade que foi explorada nessa ação, porem obviamente não foram aplicadas.

Atualmente torna-se necessário que os profissionais de SI sejam inteirados com uma boa dose de analise critica, sem serem pessimistas e nem otimistas, mas que trabalhem de forma proativa em defesa dos ativos corporativos, avaliando o ambiente organizacional, determinando os dados importantes, aplicando a PSI (Política de Segurança da Informação) e as medidas que visam proteger a informação da organização, garantindo assim a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio, investindo em novas tecnologias disponíveis e testadas, investindo no fator humano e conscientizando toda a equipe, para minimizar o nível de exposição da organização.

Ainda segundo Moreira existem ferramentas de BA eficientes para análise e apoio a SI, porém não são suficientes, antes de iniciar um projeto é fundamental que as ferramentas sejam apuradas para escolher a ferramenta certa, Moreira também ressaltou a respeito de alguns serviços repetitivos como monitoramento e interpretação de alertas, que são desgastantes, e exigem pessoal dedicado e processos consistentes.

A área de SI possui diversas vertentes, não limitada à TI (Tecnologia da Informação), que reporta diretamente a diretoria da organização. No Brasil a SI está em alta, mas não são todas as empresas que investem em SI, devido ao alto custo das tecnologias, e também para manter profissionais preparados e processos bem definidos; existem casos que o gerente de TI é responsável pela segurança da rede, aplicações e dados da organização, em outros casos a SI é terceirizada.

O fator humano sempre foi o elemento mais importante e essencial, sabemos que não existe empresa sem pessoas e nenhuma tecnologia é totalmente autônoma. O ambiente de TI pode se ver livre de algumas tarefas devido ao aprendizado de máquina, mas sempre haverá a necessidade de configuração, analise e identificação de melhorias nesses sistemas.

Para que os profissionais de uma organização foquem em projetos mais complexos, uma opção usada por muitas empresas é a terceirização.

Não adianta apenas investir em tecnologia e não treinar seus funcionários, a SI é tão importante quanto qualquer outra área de uma organização, e sim, essa área necessita de investimento, em infraestrutura, em tecnologias, em princípios e diretrizes da PSI levantados pela organização, na conscientização e treinamento dos funcionários. Para tanto, existe uma ferramenta de gestão que tem como objetivo a melhoria continua dos processos, o ciclo PDCA (Plan-Do-Check-Act), que é aplicado para estruturar todos os processos do SGSI, é necessário enfatizar a importância de: entender os requisitos de SI de uma organização e da necessidade de estabelecer uma politica e objetivos; implementar e operar controles que gerenciem os riscos de SI de uma organização; monitorar e analisar criteriosamente o desempenho e a eficacia do SGSI; e melhorar continuamente baseando-se em medidas objetivas; dessa forma, é necessário planejar, fazer, checar e agir.

Publicado no LinkedIn