Proteger a segurança e privacidade de informações confidenciais do cliente é uma obrigação essencial a todas as empresas, incluindo as PMEs.
A proteção de dados (e mais amplamente, a segurança da informação) abrange todos os controlos administrativos, lógicos e técnicos necessários para proteger a informação. A tríade C-I-A (veja a Figure 2-1) é habitualmente usada para orientar o desenvolvimento e a implementação de uma estrutura para fazer a gestão da segurança de informação dentro de uma empresa. A tríade C-I-A consiste em três conceitos fundamentais de segurança da informação:
Confidencialidade (e privacidade)
Previne os acessos não autorizados, uso, divulgação, leitura, inspeção ou gravação de dados.
Integridade
Impede a modificação não autorizada ou inapropriada de dados.
Disponibilidade
Garante que utilizadores autorizados tenham acesso fiável e oportuno aos dados e previne a interrupção não autorizada ou a destruição de dados.
Por exemplo, para proteger a confidencialidade de dados sensíveis, várias políticas de emprego, segurança e privacidade definem normalmente quem tem acesso a determinados dados dentro de uma empresa, com que objetivos e o que estão autorizados a fazer com esses dados. Os controlos técnicos para garantir a confidencialidade podem incluir soluções de gestão de identidade e acesso (IAM), encriptação e prevenção de perda de dados.
Para proteger a integridade dos dados, várias soluções técnicas, tais como check-ups e validação de entrada de dados em formulários e bases de dados, podem ser implementadas. As assinaturas digitais e o hashing usam tecnologias de encriptação para comprovar a autenticidade dos dados ou para verificar se os dados não foram alterados. Por fim, as soluções anti-malware protegem a integridade dos dados (e, potencialmente, a confidencialidade e disponibilidade dos dados).
Para proteger a disponibilidade dos dados contra uma destruição acidental (por exemplo, apagar) ou intencional (por exemplo, um ataque de ransomware), os sistemas de backup e recuperação, assim como as políticas de backup e retenção, são implementados.
A segurança efetiva da informação exige que uma empresa trate da confidencialidade, integridade e disponibilidade de todos os seus dados sensíveis, incluindo os sistemas e aplicações que processam e armazenam esses dados.
Usando uma abordagem baseada em risco, as organizações podem implementar controlos apropriados para solucionar vulnerabilidades e atingir um nível aceitável de risco para dados contra ameaças específicas. Quanto maior o risco para os dados, maiores as medidas de proteção que devem ser implementadas. A gestão de riscos de segurança consiste em quatro fases-chave: 1) Avaliação do risco; 2) Tratamento do risco; 3) Aceitação do risco; 4) Comunicação do risco.
Avaliação do risco
Existem muitas metodologias de avaliação de risco com diversos níveis de custo e complexidade. O processo básico consiste em:
- Identificação de ativos
Identifique todos os ativos da empresa (tangíveis e intangíveis) que exigem proteção, incluindo o valor quantitativo (como custo ou contribuição para as receitas) e/ou valor qualitativo (como importância relativa) do ativo.
- Análise de ameaças
Defina possíveis circunstâncias ou eventos adversos naturais e/ou provocados pelo homem, o impacto ou potenciais consequências e a probabilidade e frequência de ocorrência.
- Avaliação de vulnerabilidades
Determine quais as proteções e/ou controlos que não existem ou são fracos num ativo, tornando uma ameaça potencialmente mais perigosa, dispendiosa, provável ou frequente.
Tratamento do risco
A avaliação de risco fornece a base para decisões de gestão sobre o que fazer com riscos específicos. As opções incluem:
- Mitigação do risco
Implementar políticas, controlos e/ou outras medidas para reduzir o impacto ou a probabilidade de uma ameaça específica contra um ativo específico. - Atribuição de risco (ou transferência)
Transferir o risco potencial para um terceiro, como uma seguradora, um fornecedor de serviços ou outro agente que concorde explicitamente em aceitar o risco. - Prevenção de riscoElimine completamente o risco, por exemplo, atualizando ou descartando o ativo ou interrompendo a atividade que introduz o risco.
Aceitação do risco
Esta é a gestão formal de administração das medidas de tratamento de risco que são implementadas, e a aceitação de qualquer risco residual (ou remanescente) que não possa ser adicional ou praticamente mitigado, atribuído ou evitado.
Comunicação do risco
As partes interessadas devem estar conscientes de qualquer tratamento de risco e/ou decisões de aceitação de risco que tenham sido tomadas, incluindo os seus papéis e responsabilidades individuais em relação a riscos específicos.
