A Segurança Cibernética da sua Empresa não deve tirar férias, e se o fizer, será um problema para si!
Ao ler de alguns cartazes pendurados na sede da NSA, um artigo sobre a desclassificação, reparei num que dizia:
A segurança não tira férias
E em comparação com o tipo de segurança cibernética apregoada pelas forças de segurança, que dizem estar disponível 24 horas por dia, 365 dias por ano, penso eu:
A segurança da informação não deveria estar presente 24x7x365?
Vivemos num mundo ‘hiper-conectado’, onde a primeira coisa que se pensa é conectar TUDO. Desde computadores, laptops, celulares, até geladeiras, televisores, máquinas de café, portas... e só então, tentaram aplicar a segurança relevante.
Explicados de outra forma, construímos a casa junto ao telhado. Ou, para não repetir sempre a mesma frase: construímos a casa sem portas nem janelas, nos mudamos e uma vez dentro, com todas as nossas coisas, é quando paramos para pensar que talvez teria sido uma boa ideia colocar portas e janelas!
E agora, o que faço para a segurança dos meus dados?
Bem, podemos fazer muitos pequenos gestos que serão bastante eficazes. Proponho os seguintes pontos:
✔ Transmissão das preocupações para o endereço que delimita as fronteiras dos nossos sistemas de informação.
✔ Fazer um planejamento correto dos serviços críticos e ter backups bem definidos e sempre disponíveis perante qualquer desastre.
✔ Dispor de um plano de continuidade de negócios. E não apenas um, mas um plano B, C... até ao Z! Se algo acontecer, ativar planos de contingência, para que o serviço possa continuar a ser prestado.
✔ Fazer entender isso: O dinheiro investido em segurança nunca é em vão.
✔ Formar pessoal em segurança da informação. Devem possuir uma série de conhecimentos mínimos adequados.
✔ Partilhar notícias com colegas sobre o que está a acontecer no domínio da segurança da informação. Estar sempre atualizados!
✔ Definir e distribuir uma política de segurança por toda a empresa e mantê-la constantemente atualizada.
✔ Cercar-se de provedores de serviços e soluções de segurança que façam suas preocupações/problemas deles. Mostrar-nos-á que oferecem um serviço personalizado e próximo, e que provavelmente estarão sempre connosco, para melhor ou para pior.
Ciclo de Deming
Quando se está certificado numa ISO 27001 ou Esquema Nacional de Segurança, como é o caso da MHP, enfatiza-se em estabelecer, implementar, manter e melhorar um Sistema de Gestão da Segurança da Informação (SGSI), de acordo com o conhecido "Ciclo de Deming”:
PDCA – Plan, Do, Check, Act
Planear, Fazer, Verificar, Agir
Sendo esta uma abordagem de melhoria contínua:
Plan (plano): é uma fase de projeto do SGSI de avaliação dos riscos de segurança da informação e a seleção de controlos adequados para mitigar os riscos existentes ou mesmo novos que surjam.
Do (fazer): é uma fase que envolve a implementação e operação dos controlos para proteger os nossos sistemas.
Check (controlar): é uma fase que visa rever e avaliar o desempenho dos nossos sistemas de informação, em termos de eficiência e eficácia do SGSI.
Act (agir): nesta fase são feitas alterações quando necessário para devolver o SGSI ao desempenho máximo.
Como podemos ver, a segurança não é um jogo, nem um capricho dos administradores de sistemas, é algo mais do que isso e sua repercussão pode afetar, desde uma empresa, um coletivo, um banco ou mesmo um país inteiro.
As orelhas do lobo estão a ser vistas e estamos a ficar cada vez mais conscientes, embora muito lentamente. Temos de acelerar o processo, porque os maus da fita estarão sempre à frente se não formos pró-ativos!
Quando se trata de segurança da informação, deve-se recompensar a segurança em vez do conforto, e nunca se deve baixar a guarda, seja qual for a época, instante ou altura do ano, e não, também não se deve parar nas férias.
Assim, para todos os amantes e profissionais da segurança da informação e também para aqueles que nos vêem como o Cão Cérbero, partilhem a próxima citação de Frank E. Bird:
O profissional de segurança é aquele que aconselha, avalia, ajuda, facilita, ensina... mas não é aquele que se deteriora, acusa, deprime, obstrui, incomoda, desmoraliza.