Quando falamos sobre segurança da informação e vazamento de dados, é comum pensarmos nos aspectos técnicos e no “hacker malvado” pronto para invadir o seu sistema, roubar os seus dados e pedir um resgate. Mas apesar de o fator técnico ser algo inerente ao tema, é errado pensar que “cibersegurança” é um assunto restrito à área de TI da empresa e de responsabilidade apenas dos “nerds” que configuram os servidores.  E quando se trabalha em um projeto de Brand Publishing, em que a reputação de uma grande marca está em jogo, qualquer tipo de falha pode ser desastrosa.

Outros profissionais e áreas da empresa devem ser envolvidos nos processos de segurança. Os setores Jurídico e de RH, por exemplo, possuem um papel fundamental na governança de segurança da informação e na elaboração de  um eventual plano de resposta a incidentes.

Mas afinal de contas, o que podemos considerar um incidente cibernético? 

Podemos definir como um incidente cibernético qualquer evento – de natureza digital –  que acarrete em vazamento de dados pessoais,  uso ou acesso não autorizado a sistemas, exploração de vulnerabilidade para execução de código não autorizado ou não conformidade legal de uso de dados de usuários. 

E  é aí que está o grande “X” da questão: o vazamento de dados sensíveis por um funcionário mal intencionado (oi, Snowden, tudo bem?) é um incidente cibernético que não está diretamente ligado a um aspecto técnico como configuração de firewalls e criptografia de dados. Um colaborador que perdeu as senhas de acesso a um sistema sensível ou esqueceu o notebook deslogado em um local público também são exemplos de ameaças cibernéticas, que vão além das questões técnicas. 

A conclusão a que podemos chegar é que não existe servidor blindado que resista à má e velha falha humana. 

Como se proteger desse tipo de ameaça? 

Grande parte dos vazamentos de informações sensíveis estão ligados à falta de uma cultura de segurança de informação e a uma não adequação a políticas básicas de segurança. 

Para mitigar isso, o direcionamento deve ser top-down. A liderança da empresa tem que ter a visão de que a cibersegurança  deve fazer parte da cultura corporativa da companhia, com treinamentos constantes, reciclagem e testes. 

O tema deve extrapolar a área de TI e envolver principalmente o Jurídico e o RH, para o mapeamento de possíveis riscos legais e compliances internos de segurança. 

Quanto maior o nível de consciência geral de todos os funcionários sobre segurança de dados, menores serão as brechas.

O CISO (Chief Information Security Officer)

É importante que exista um responsável pela segurança da informação. E geralmente esta tarefa é delegada a profissionais da área técnica. Conceitualmente, esta é uma decisão acertada, pois o aspecto técnico é crucial, mas não deve ser o único ponto em consideração, como já foi falado por aqui. 

Esse profissional deve ter uma visão um pouco mais ampla. Precisa reportar e conscientizar o board de executivos, além de liderar as rotinas de treinamentos e implementação da cultura de segurança. Também é crucial que o CISO conheça as minúcias da Lei Geral de Proteção de Dados (LGPD). Afinal, uma possível multa por descumprimento da legislação também pode ser considerado um incidente cibernético. 

Segurança de dados dos usuários

Em um projeto de Brand Publishing, por exemplo, a relação com o usuário é algo muito sensível. Afinal de contas, as plataformas são preparadas para captar dados de quem navega em um hub de conteúdo. São os chamados dados primários, que podem ser usados pela marca dona do portal em questão. 

Por esse motivo, é preciso que se tenha a garantia da segurança desses dados, tanto no que diz respeito ao armazenamento quanto no tratamento deles. 

Segurança também da equipe

Além da segurança da porta para fora, é preciso cuidar, também da segurança e da privacidade dos dados dos profissionais que trabalham diariamente na plataforma. 

Desde a equipe de desenvolvimento a editores, repórteres e redatores, são vários os profissionais que fazem um projeto de Brand Pubishing acontecer e que também têm seus dados inseridos em publicadores e diferentes ferramentas.

(Foto: Schutterstock)

Plano de resposta a incidentes

Algo que todo profissional de segurança deve ter em mente é que não importa o quanto você faça tudo certo, pois mesmo assim você pode ser invadido. Uma boa estratégia de cibersegurança deve sempre trabalhar com a hipótese de que em algum momento um invasor pode ter acesso a sua rede. E então, o que fazer? 

O ideal é ter um plano de resposta a incidentes bem documentado e fundamentado. Essa pode ser a diferença entre uma contenção rápida e um  desastre completo. 

O plano de resposta a incidentes deve ser específico e elaborado de acordo com as especificidades e necessidades da empresa. O documento deve ser detalhado e abordar aspectos  como a comunicação com a imprensa em caso de uma violação de dados sensíveis de usuários e possíveis impactos legais.

Um  plano completo e consistente  deve abordar as seguintes etapas:

  1. Prevenção
  2. Planejamento
  3. Preparação
  4. Detecção 
  5. Análise
  6. Contenção
  7. Comunicação
  8. Erradicação
  9. Recuperação
  10. Análise pós-evento

Cada um desses tópicos deve ser detalhado e conter um apontamento de responsáveis claros. Mas isso é um tema para outro artigo. 

Conclusão

Não existe ambiente seguro sem um processo de gestão eficiente. Para a cibersegurança, a excelência técnica é condição necessária, porém insuficiente. Os líderes da área de segurança de informação precisam ser gestores que, além do aspecto técnico, tenham a habilidade de engajar lideranças e outras áreas da empresa, desenvolvam documentações bem fundamentadas e sejam capazes de incutir uma consciência de segurança de dados na cultura corporativa da companhia. 

Sobre João Gabriel Pereira

João Gabriel Pereira, sócio-fundador e Diretor de Tecnologia da Barões Digital Publishing, fala sobre cibersegurança em artigo.

João Gabriel Pereira é sócio-fundador e Diretor de Tecnologia da Barões Digital Publishing, a primeira empresa brasileira especializada em Brand Publishing.

Com formação Gestão de Sistemas para Internet, tem pós-graduação em Ergodesign de Interfaces e Arquitetura da Informação pela PUC-Rio, com especialização em Cibersegurança e Gerenciamento de riscos (Harvard University, 2023)