O que é Cultura da Segurança da Informação?

Atualmente muito se fala em Cultura de Segurança da Informação, afinal, não é novidade que os tipos e numero de ataques hackers vem aumentando em todo o mundo.

Agora a grande questão é do que adianta a empresa investir em Firewall, VPN, Criptografia, duplo fator de autenticação, Backup Redundante, Antivírus, antispam, atualização de sistema operacional se no fim do dia o seu colaborador vai e clica no banner: “aumente seu P****“

Pesadelo? Não, realidade mesmo, todas as empresas sofrem prejuízos gigantes por usuários que não se comprometem com a segurança dos dados.

Então, elaboramos esse post que é muito mais Prático do que técnico, e vamos lhe mostrar como a Brasil Cloud pratica sua Cultura de Segurança da Informação. Isso mesmo, como nós fazemos!

Por quê sua empresa precisa de uma Cultura?

O termo Cultura tem diversos significados bem amplos… Mas aqui vamos focar em apenas um conceito deste tempo:

O Mecanismo Cumulativo da Cultura

“A cultura é também um mecanismo cumulativo, porque as modificações trazidas por uma geração passam à geração seguinte.“

Esse conceito que passa de geração para geração é o que é mais precioso em uma cultura empresarial. Sempre que a empresa contratar um novo colaborador, um colaborador já treinado passa para o novo colaborador como funciona a empresa. O que a empresa comemora, o que a empresa repudia.

São os conjuntos de valores que a empresa aplica coletivamente inconscientemente.

Vivendo a Segurança

Acima de tudo, consideramos que o conhecimento é o maior valor que um colaborador pode ter ao trabalhar em qualquer empresa. Sabemos muito bem que todas as pessoas possuem perfis distintos. Alguns são extrovertidos, outros tímidos, outros mais analíticos. Independente do perfil, qualquer adulto (e criança) já sabe que beber e dirigir um veículo não é uma boa ideia (Art. 306 CTB).

E por quê as pessoas não sabem que não devem clicar em qualquer link? Banner ou botão na internet?

Simples, por que não vemos as Cyber Ameaças como ameaça! Muita vezes até ignoramos que elas existem. Vejam essa charge (de 2006):

Tradução: “Em um canto do ringue temos: Firewall, Criptografia, Software de Antivirus e no outro canto do ringue temos o Dave”

A charge é de 2006, mas está bem moderna e atual né? Se você é gestor de TI já parou para imaginar:

Quantos Dave’s tem na sua empresa?

Não fique preocupado, o Dave não gera prejuízos incalculáveis por maldade, ele é gente fina… ele só não quer saber como funciona um computador… ele só quer que funcione.

Dependendo do setor da atuação sua empresa ela pode ter vários Dave’s, mas a questão é que o Dave só é o Dave por um único fator: Informação (ou a falta dela).

Logo, o principal objetivo da Cultura de Segurança da Informação é conscientizar e informar todos os colaboradores para os riscos que não somente a empresa está exposta e sim a pessoa física do colaborador.

Principais Benefícios

Investir em prevenção e educação é muito mais barato que ter que gastar com correção ou perca de dados a até multas.

O primeiro deles é a Diminuição de dano — ou seja, irá minimizar os efeitos negativos de uma tentativa de ataque a empresa;

E se assunto for a aplicação de Multas vem a Prevenção de vazamento de dados pessoais — que protege a empresa de possíveis sanções da LGPD, assim como de vazamento de informação para concorrentes.

Disaster & Recovery: Acidentes acontecem, mas se tiver uma gestão de segurança a velocidade para a recuperação do Ambiente e dados estratégicos será muito mais rapida, gerando menor prejuizo ao tempo sem atividade da empresa.

Plano de Continuidade pós ataque: o que fazer depois que aconteceu? muitas empresas perdem dias quebrando a cabeça de como voltar o ambiente após um ataque.

Segurança Além da Empresa – O colaborador treinado evita dor de cabeça com Golpes simples e fáceis de ser evitados e ainda instrui parentes e amigos (melhor parte de todas é essa) afinal, fazer a internet ser segura depende de todos nós.

Como é a Cultura da Segurança da Informação na Brasil Cloud

Aqui na Brasil Cloud levamos a cultura de segurança a sério, e com isso estamos sempre buscando novas formas para nos adequarmos e estarmos cada vez mais protegidos contra possíveis problemas que possam ocorrer, como ataques e vazamentos. Seguimos a LGPD a risca e com isso garantimos a nossos clientes que suas informações estarão a salvo conosco.

Para se garantir uma segurança grande com nossos clientes, seguimos varias etapas de protocolos para evitar assim qualquer tipo de eventualidade que possa ocorrer.

Privacidade como Desing

Em 2019 a Brasil Cloud estava se adequando as exigências da nova Lei geral de Proteção de Dados – LGPD, ao realizarmos um levamento nos deparamos “sem querer” que já éramos uma empresa que utilizava o conceito de segurança dos dados desde a nossa concepção (privacy by design), ou seja os próprios donos já tinham como know-how e premissa a utilização de boas práticas no conceito de segurança da informação e privacidade de dados.

Porém a medida que a empresa cresce (tanto em numero de clientes e colaboradores) a adequação se torna mais complicada, pois é difícil fazer novos colaboradores se habituarem com esse mundo de segurança, ainda mais quando entram colaboradores que não são experts em T.I., como analista financeiro, recursos humanos, consultores comerciais etc.

Criamos uma Politica de Segurança da Informação

Para mantermos esse padrão, formalizamos nossa Politica de Segurança da Informação, que é nada mais, nada menos que um POP – Procedimento Operacional Padrão, onde estipulamos todas as medidas de segurança e boas práticas que deveriam ser seguidas por todos os colaboradores e até fornecedores.

Com a Política de Segurança da informação definida, ficou mais fácil para sabermos o que pode e o que não pode ser utilizado nos computadores da empresa. Entretanto, o próximo desafio é como realizar a implementação desta politica?

Batismo da Segurança

Após uma rigorosa seleção interna e entrevistas, todos os novos colaboradores (e fornecedores) da Brasil Cloud, antes de acessar qualquer computador, rede, software da empresa, ele recebe o batismo da segurança, onde é apresentado e explicado nossa Politica de Segurança de Informação e nossa Politica de Privacidade (LGPD) e antes de assinar o contrato de trabalho com a entrar na empresa, é formalizado um Termos de Confidencialidade (colaborador & empresa). Desta forma fica claro para ele que, o que “Acontece na Brasil Cloud, Fica na Brasil Cloud”:

Brincamos com o famoso termo: “o que acontece em Las Vegas, fica em Las Vegas”. Afinal uma empresa de TI trabalha com informações confidenciais.

O Comitê de Segurança da Informação

Por sermos uma empresa de tecnologia, temos diversos especialistas nas mais distintas tecnologias, isso forma uma equipe heterogênea com diversos Soft-Skils. Mas o interessante é juntar os conhecimentos de cada profissional e lógico colocar em prática esse conhecimento.

Assim criamos o Comitê Interno de Segurança da Informação que hoje é divido em 4 áreas:

1. Xerife da Segurança da Informação;

2. DPO – Encarregado de Dados;

3. Arquiteto/Engenheiro de Nuvem Computacional;

4. Equipe Brasil Cloud

Infográfico Comitê de Segurança da Informação – Brasil Cloud

Desta forma, conseguimos envolver toda a equipe quando o assunto é segurança, pois esse comitê atua em conjunto para elaboração, manutenção e aplicação da Politica de Segurança da Informação na empresa, sem sobrecarregar um único colaborador, dividindo as responsabilidades.

O Xerife da Segurança da Informação

O Xerife da Segurança é escolhido pela equipe, normalmente visamos um perfil analítico (inteligente e criterioso) e com alto conhecimento em tecnologia e segurança da informação, ele tem a responsabilidade de cuidar de todo parque de computadores, redes, firewall dos colaboradores da Brasil Cloud. Desta forma quando um colaborador recebe seu equipamento ele já está todo configurado com os Software originais e homologados, isso vai desde o sistema operacional, ao antivírus, navegador e demais softwares necessários para o novo funcionário utilizar.

Assim, já eliminamos de inicio qualquer chance do usuário instalar software pirata ou não homologado, salvar informações da empresa em Pen-Drives e outras praticas não aceita em nossa politica de segurança.

Além disso o Xerife realiza auditorias periódicas de segurança em todos os usuários, verificando “não conformidades”, más praticas, correção de bugs e corrigindo de imediato.

O DPO – Encarregado de Dados

Era apenas uma exigência feita pela LGPD, porém de fundamental importância para uma cultura de segurança da informação, conforme a LGPD pede:

“pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”

Ele é o responsável por qualquer matéria envolvendo dados pessoais como pedido de remoção de dados, deletar dados antigos, segurar o sigilo dos dados sensíveis e por ai vai. Porém o mais interessante é que essa pessoa pode estar sempre treinando e tirando dúvidas sobre boas praticas quando o assunto é Privacidade de dados.

Arquiteto / Engenheiro de Nuvem

Esse profissional é o CTO da empresa, um profissional com alto conhecimento em computação em nuvem e segurança avançada, ele é como o Xerife da informação, porém atua diretamente na Nuvem Computacional da Brasil Cloud.

Assim, sempre quando vamos, mover ou crescer um ambiente computacional ele faz diversas analises de boas práticas e segurança (Firewall, VPN, Criptografia e Backup).

Equipe Brasil Cloud

Sobretudo, uma das partes mais importantes da segurança está na própria equipe, afinal é ela que é surpreendida todos os dias com tentativas de ataques diversos, da mesma forma que ela é treinada para conhecer os tipos e as praticas de golpes virtuais, ela também tem o dever de reportar esses acontecimentos ao Comitê de Segurança.

Somente assim, é praticada a Cultura da Segurança da Informação. Afinal é necessário envolver as pessoas com o tema segurança e não apenas comprar um Hardware/Software que fará a Segurança da Empresa.

Treinamento de Segurança da Informação

Lembre que uma cultura envolve prática e rituais. Sendo assim, ainda fazemos diversos treinamentos durante o ano, para novos e antigos colabores, onde reafirmamos cada vez mais nossa busca por uma segurança da informação mais assertiva e mais presente no dia a dia.

Café com Segurança

Sempre, de 15 em 15 dias, praticamos o ritual do Café com segurança que é um tempo de 10 a 15 minutos, em que toda a empresa para pra tomar o café e conversar sobre segurança. Nesse café o Xerife, ou DPO ou arquiteto ou qualquer colaborador da Brasil Cloud, pode falar sobre um tipo de ataque hacker ou alguma situação presenciada no dia a dia da empresa.

É um momento para trocar conhecimento (informação) entre a equipe, manter atualizada e curiosa sobre como podemos praticar a segurança no dia a dia.

Ou seja, isso é um tipo de cultura, ela tem rituais (auditoria, meetups, reuniões, aviso em grupo de chat) é a prática de todo mundo, não precisa chamar a atenção de cada um no momento que o problema acontecer, e sim com pequenas ações no dia a dia o problema é evitado antes mesmo de acontecer.

Gostou do post? Se inscreva em nossa newsletter e receba mais conteúdos sobre o tema!