Segurança da informação: o quê? por quê? (parte 1)

*Por Guilherme Guidi e Rodrigo Pôssas

Tornou-se cenário comum e cotidiano nos depararmos com diversas notícias envolvendo acessos indevidos a sistemas, vazamento de dados, indisponibilidade de sistemas por ataques, dentre tantos outros. Nem instituições públicas, nem instituições privadas estão imunes – muitas vezes sequer minimamente protegidas – contra esses ataques que parecem cada vez mais comuns e frequentes no cenário mundial. Isso porque a maioria dessas organizações não está preparada para esse esporte em que uma empresa compete com centenas ou milhares de rivais mal intencionados. O nome do jogo? Segurança da informação.

Esses ataques, longe de afetar somente grandes grupos empresariais ou players relevantes no mercado, tem o potencial de afetar empresas de todos os setores da economia e de diversos portes, incluindo empresas de pequeno porte ou até startups que estão apenas iniciando sua jornada. Pesquisas recentes comprovam que o Brasil é um dos países mais afetados por ataques cibernéticos, sendo causa de vários danos àqueles afetados pelos incidentes. Além disso, só no primeiro trimestre de 2024, já se constatou aumento de 38% no número de ciberataques no país, sendo cenário frequente e presente no cotidiano do país.

Não por acaso, os ataques são direcionados ao que há de mais valioso para as potenciais vítimas atacadas: valores financeiros, dados pessoais de clientes ou parceiros, informações confidenciais (como segredos comerciais, balanços financeiros), disponibilidade contínua de seus serviços (como hospitais, clínicas médicas, etc.), dentre tantos outros. Cada vez mais, os atacantes têm adaptado suas táticas e técnicas para tornar os ataques cada vez mais efetivos – às suas potenciais vítimas, cada vez mais danosos.

Por outro lado, engana-se quem pensa que, para mitigação desses riscos, é necessário investimento astronômico e longe da realidade de startups ou pequenas empresas. Ao contrário, medidas simples, mas corretamente implementadas, têm o potencial de prevenir ataques dos mais variados gêneros e graus de intensidade. Muitas empresas até já possuem a sua disposição esses mecanismos de segurança, mas por desconhecimento ou por ignorar a importância do tema, não o utilizam ou não o utilizam da forma adequada.

Nesse caso, e sem nem pedir desculpas pelo clichê, o básico bem feito funciona – e funciona mesmo.

E é nesse contexto – ou seja, na tentativa de proteger o que mais tem valor para sua empresa e da forma mais eficiente possível – que a segurança da informação (muitas vezes chamada também segurança cibernética, cibersegurança e tantos outros nome) entra em cena e desempenha papel fundamental na proteção dos seus ativos e da sua própria atividade comercial.

O que é segurança da informação exatamente?

Em termos estritamente técnicos, a segurança da informação refere-se às “ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações”. Em termos práticos (e a par do juridiquês e da tecnicidade), a segurança da informação é o domínio responsável por gerenciar a implementação de medidas capazes de proteger as informações confidenciais da sua empresa.

Sejam elas dados dos seus clientes, segredos comerciais ou novas invenções, fórmulas ou modelos de negócio, a informação confidencial geralmente é aquela cuja divulgação (ao mercado ou a seus concorrentes) geraria grandes prejuízos à empresa – em dano direto ou na capacidade de competir no mercado.

Quando às “medidas” usadas para proteção das informações confidenciais (também chamadas “controles”), usualmente, dividem-se em três diferentes categorias: