O conceito de «segurança da informação» engloba todas as teorias e medidas que contribuem para a proteção do conhecimento. O seu objetivo é afastar ameaças, evitar danos e minimizar riscos. Uma área importante da segurança da informação é a segurança de dados. As questões relacionadas com a Big Data e com o Regulamento Geral da Proteção de Dados (RGPD) trouxeram os conceitos de segurança ao conhecimento de um público mais vasto.
Porque devem as PME jogar pelo seguro
«Já não é uma questão de se a empresa vai ser atacada, mas antes quando vai ser atacada. Não importa o tamanho da empresa», explica Florian Goldenstein, Head of IT Security na Konica Minolta Business Solutions Germany GmbH. «As maiores empresas estão cada vez mais preparadas contra ataques. É por isso que o foco dos ciberatacantes está cada vez mais nas PME», afirma o especialista em segurança.
Numa análise de maior proximidade, as empresas são cada vez alvos mais fáceis. No estudo anteriormente mencionado, cerca de três quartos das empresas admitiram gerir mais de mil ficheiros sensíveis desatualizados, o que representa um risco de segurança maior. 41 por cento de todas as empresas admitiram mesmo ter bases de dados sensíveis, tais como de números de cartões de crédito ou ficheiros médicos, completamente desprotegidas.
O crescimento dos dados previsto até 2025 é colossal
Analisando as previsões da Statista GmbH para as quantidades de dados digitais gerados anualmente, intui-se no imediato como a questão da segurança já é importante e como continuará a sê-lo no futuro. A quantidade dos dados irá crescer de cerca de 33 zettabytes em 2018 até 175 zettabytes em 2025. Explicando melhor: um zettabyte de espaço de armazenamento é o equivalente a mil exabytes — em números, é um 1 com 21 zeros à frente.
O estudo Data Age 2025, realizado pela IDC e Seagate, também prevê um crescimento estrondoso até 2025. Enquanto até agora os consumidores finais geraram a maioria dos dados a nível mundial, o estudo antecipa que no futuro exista um crescimento proveniente das das empresas. Os especialistas esperam que estas gerem, em 2025, cerca de 60 por cento da quantidade de dados a nível global. O estudo indica que só no que toca à IoT, em 2025, os consumidores finais irão interagir com dispositivos ligados à rede 4800 vezes por dia, em média. E toda esta informação tem de ser protegida.
O crescimento exige maior proteção e segurança dos dados
De forma a gerir o crescimento dos dados com segurança, bem como as quantidades de dados resultantes, devemos entrelaçar dois conceitos importantes: a proteção de dados e a segurança de dados. Os dois termos são indiferenciados com frequência, mas os seus significados são algo diferentes. Aqui apresentamos as duas definições:
- A definição de proteção de dados:
A proteção de dados garante a cada cidadão o direito à autodeterminação na informação e protege contra o uso indevido dos dados pessoais. A questão de saber se e quais os dados que podem ser recolhidos e tratados é também uma questão de proteção de dados.
- A definição de segurança de dados:
A segurança de dados refere-se a soluções técnicas e medidas organizacionais de segurança de dados para proteger dados administrativos e empresariais. Determina e estabelece que medidas são tomadas para proteger os dados. O termo «segurança da informação» inclui todos os tipos de informação armazenada.
A segurança de dados obriga a definir objetivos globais
Quer falemos de dados pessoais, dados relativos a desenvolvimento, produção ou clientes, a segurança dos dados tem de ser acautelada em vários aspetos, por forma a evitar que os dados de uma empresa se tornem um alvo atrativo para hackers ou ciberataques. Devem então, tendo estes preessupostos em conta, ser definidos objetivos alargados, que vão ao encontro de todos estes aspetos.
Os objetivos mais importantes da segurança de dados são:
- prevenir o uso indevido dos dados, através por exemplo de danos, apagamento ou roubo;
- proteger de forma otimizada contra ataques externos ou ciberataques;
- proteger internamente, regulando o acesso e os direitos dos funcionários — e mantendo semore o princípio fulcral da confidencialidade;
- apesar dos cuidados e da segurança, todos os dados da empresa devem estar acessíveis e disponíveis a todo o momento;
- a autenticidade dos dados deve, claro, ser garantida;
- por fim, a segurança de dados assegura que todos os dados permanecem incólumes (integridade).
Conceitos e medidas profissionais são de importância fundamental para a segurança de dados
Conceitos de segurança que envolvam planeamento estratégico e medidas para a segurança de dados têm em consideração todos estes objetivos, incluindo uma abordagem holística do conceito de segurança. A sua importância é fulcral, tendo em conta que os especialistas em IT sabem, por experiência, que «quanto mais nós pudermos fazer com isto, mais eles poderão fazer contra nós». Por outras palavras: se os dados em questão têm muito valor para a sua empresa, poderão ser bem valiosos para mais alguém.
É certo que os panoramas e as estruturas da IT mais técnica são complexos por estes dias. Os fluxos de trabalho de muitas empresas são negociados além-fronteiras, com os dados a serem disponibilizados e utilizados internacionalmente.
Quer as pequenas quer as grandes empresas estão a ajustar-se gradualmente a esta nova situação, crescendo e trabalhando mais e de forma mais eficiente. Mas os novos métodos de trabalho e produção estão também a torná-las mais vulneráveis.
Medidas de segurança de dados: conhece estas cinco?
Um conceito integrado de segurança compreende um número de medidas eficientes e diferentes. Estas incluem (embora não se limitem) os cinco tópicos seguintes, que devem ser considerados num plano de medidas de segurança:
1. Segurança da rede ou do perímetro
Inclui medidas de segurança como firewall, por exemplo. As firewalls são sistemas de segurança que protegem os computadores individuais ou redes de computadores contra acessos indesejados à rede. Este nível de segurança também inclui tecnologia de encriptação.
2. Segurança end-point
Inclui proteção com password interna da empresa, proteção contra vírus e medidas anti-spam.
3. Tecnologia de autenticação
Também é importante que todos os dados da empresa estejam protegidos com controlo de acesso seguro.
4. Proteção contra perda de dados
Ciberataques, falhas de energia, curtos-circuitos ou incêndios: podem existir muitas razões para perdas de dados que surjam de surpresa. Com protocolos e log files pode tentar-se traçar as razões da perda, juntamente com a ajuda de várias ferramentas de backup, enquanto o software de backup assegura que existem cópias seguras de todos os dados.
5. Segurança e troca de dados
Tanto para a comunicação e cooperação interna como externa, é indispensável uma troca e partilha segura de dados.
Bons conceitos de segurança têm em conta o fator humano
As ameças de segurança não se limitam a malware e hackers. Um conceito de segurança abrangente e profissional também inclui formação para todos os funcionários.
O fator humano é também um ponto fraco: entre outras coisas, a falta de sensibilidade para a segurança leva a que anexos infetados com malware sejam abertos, tal como links perigosos.
Quer esteja nas compras, nas vendas, no atendimento ao cliente ou no desenvolvimento, cada funcionário de uma empresa deve compreender que a segurança dos dados é um fator essencial no sucesso de uma empresa, especialmente em tempos de rápido crescimento dos dados nestas organizações. É importante que todos estejam familiarizados com as normas de segurança de dados dentro da empresa e saibam o que fazer se ocorrer um incidente crítico de segurança.
Uma infraestrtura de IT transparente é fundamental
O pré-requisito básico para o funcionamento perfeito das medidas de segurança de dados é uma infraestrutura clara e transparente.
As áreas seguintes têm uma importância fundamental numa infraestrutura de IT bem estruturada:
- servidores da empresa / centros de dados protegidos;
- soluções na cloud;
- segurança / proteção contra falhas / proteção contra falhas de sistema;
- análise de risco / análise de necessidades de proteção, gestão de acessos, soluções de segurança end-point, controlo de dispositivos móveis;
- rede / segurança de rede.
Medidas de segurança de dados: garantir o futuro com resposta a incidentes
As PME estarão bem estabelecidas se estiverem preparadas para agir rapidamente, sobretudo quando a emergência se tratar de um ciberataque. Também com este fim, é útil estabelecer e fortalecer um plano estratégico de processos de resposta a acidentes. Na eventualidade de um ataque acontecer, o malware será descoberto mais rapidamente e os danos poderão ser contidos.
Depois de um ataque, da contenção deste ataque e, se necessário, da reparação, serão necessários especialistas em segurança de IT. Especialistas com formação específica nesta área conseguirão aplicar métodos forenses e medidas para encontrar os pontos vulneráveis que deixaram a empresa na situação infeliz de um ataque. Em seguida, analisarão os sistemas infetados para traçar o rasto do ataque. Com base nesta análise, é então desenvolvida uma estratégia com o objetivo de proteger melhor os dados contra ataques semelhantes no futuro.
As PME que efetuam regularmente controlos aleatórios das suas medidas e sistemas de segurança de dados permanecem seguras. Desta forma, dados valiosos estão mais protegidos a longo prazo.