• +55 (31) 989-615-984
  • contato@nuvym.com

Segurança da Informação é de extrema importância para qualquer empresa. Ela é composta de 3 pilares: Pessoas, Processos e Tecnologia.

 

 

Pessoas: refere-se a treinamentos sobre como agir em determinadas situações, evitando um ataque de Engenharia Social, por exemplo: no qual os atacantes enganam os alvos para obter acesso a algum sistema.

Processos: refere-se a cultura da empresa, o modo como a tecnologia deve ser utilizada. Nesta parte também pode ser elaborada a Política de Segurança da Informação. Os processos ditam as regras e  resposabilidades das pessoas no tratamento de dados.

Tecnologia: refere aos controles, eles ajudam na implementação dos processos e na auditoria deles. É possível restringir o acesso a determinado tipo de informação e auditar as tentativas de acesso não autorizado. 

Os 3 pilares da Segurança da Informação atuam em conjunto e formam a base deste sistema, que é composta por 3 ítens: 

 

 

Integridade: assegura que os dados não sofreram modificações não autorizadas. 

Confidencialidade: garante acesso a informação apenas por pessoas que devem acessá-la. 

Disponibilidade: permite que a informação esteja acessível quando necessária. 

Estes 3 ítens podem ser resumidos com a seguinte frase: 

Informação certa, na hora certa, para a pessoa certa 

Segurança da Informação não é um fim e sim um processo contínuo e monitorado. Ela é implementada através de um Sistema Gerenciador de Segurança da Informação, ou SGSI, o qual deve ser apoiado pela Alta Gestão e todos tem responsabilidade.

A Segurança da Informação é o único meio de garantir a Proteção e Privacidade de Dados Pessoais, que são a base da nova lei: Lei Geral de Proteção de Dados Pessoais, ou LGPD, que assegura ao cidadão o direito a privacidade e prevê sanções para quem não se adequar. 

Existem metodologias que ajudam na implementação e gerenciamento do SGSI, entre elas: ISO 27001, ISO 27002, ISO 27701, OSSTMM e NIST. Aqui vale ressaltar o Anexo A da ISO 27001, que possui algumas medidas e controles importantes.  

A Computação em Nuvem trouxe vários benefícios, tais como: agilidade na implementação, flexibilidade de configurações, diponibilização geográfica com baixa latência de acesso e pagamento por demanda, substituindo-se o Capex pelo Opex.

 

 

Ela basicamente abstrai a camada física de uma infraestrutura de Tecnologia da Informação (servidores, storage, roteadores, sala refrigerada) e permite o uso como serviço, através da internet. 

A Amazon Web Services, ou AWS,  líder neste segmento há mais de 10 anos consecutivos, com um número de clientes que chega na casa dos milhões, desde pequenas empresas a instituições financeiras e militares, trabalha com o conceito de Segurança Compartilhada

No contexto da Segurança Compartilhada, a AWS garante a segurança dos serviços oferecidos, mas isso não significa que apenas utilizando a AWS você também estará seguro. Por exemplo: ela possui entre outras, as certificações PCIDSS e HIPAA, caso você tenha uma infraestrutura de TI sendo executada na AWS, isso não significa que você possua essas certificações, automaticamente. 

Apesar de a AWS facilitar bastante a implementação e gerenciamento de tecnologia, atendendo a qualquer requisito das metodologias citadas e de outras como o COBIT ou ITIL, na parte de Segurança da Informação, é necessário que os controles sejam ativados, seja feita uma auditoria efetiva de acessos, seja utilizado o metódo do Privilégio Mínimo de Acesso, sejam aplicadas as melhores práticas entre outros. 

Utilizar a AWS não substitui a implementação do SGSI, ela é uma aliada nesta missão. Através dela é possível implementar as metodologias e os controles de maneira eficaz, que devem ser complementados com treinamento de pessoal e processos. 

 

Adiel Ribeiro

" Linkedin: https://www.linkedin.com/in/adiel-ribeiro-68a05174/"