Manter nossa casa segura e livre de ameaças externas é algo rotineiro em nossas vidas e sempre nos certificamos de que tudo de fato esteja funcionando, para que uma invasão, que ocasionaria a perda de bens tão importantes para nós, não ocorra.
Por isso mantemos as portas sempre trancadas com chaves, cadeados, maçanetas de acionamento por senhas ou biometria, além de grades, câmeras de segurança e muitos outros itens que nos fazem sentir um pouco mais seguros no mundo violento que vivemos atualmente.
Mas já parou para pensar se você pratica todo este empenho com suas informações, dados, dispositivos, servidores, sistemas e redes, utilizadas no ambiente virtual?
Pois é, vivemos em uma era em que tudo é tecnologia, o mundo se tornou virtual, mas, muitas das vezes, sequer sabemos como manter seguro bens tão preciosos como nossos bens materiais, que são as informações, dados etc, alocados no ambiente virtual, que, inclusive, se vazados, roubados ou perdidos, poderia trazer um prejuízo muito maior do que a perda de um bem material.
Já parou para pensar nisso? Aliás, você sabe exatamente o que é a chamada Segurança da Informação? Ou como aplicá-la na sua empresa ou no seu dia a dia?
Até o final deste artigo você vai perceber que tão importante quanto proteger e manter seguro seu ambiente físico, é manter seguro o ambiente virtual e todas as informações que ali circulam.
Para que entenda melhor sobre o que estamos falando, é importante definirmos exatamente o que seria essa tal “Segurança da Informação”.
Pode-se dizer que a segurança da informação é um dos pilares fundamentais na era digital. Isto porque, com a crescente quantidade de dados gerados (Big Datas), armazenados e compartilhados, a proteção dessas informações torna-se essencial para a preservação da privacidade, integridade e confidencialidade dos dados.
A segurança da informação envolve a proteção de dados e sistemas contra ameaças que possam comprometer sua confidencialidade, integridade e disponibilidade, ou seja, são ações adotadas para controlar e evitar os riscos de roubo, danos e até mesmo a perda destes dados, dispositivos, servidores, sistemas e redes.
Isso inclui a prevenção de acesso não autorizado, modificação não autorizada, divulgação não autorizada e indisponibilidade de informações críticas dos dados. O objetivo principal da segurança da informação é garantir que apenas pessoas autorizadas tenham acesso aos dados e que esses dados permaneçam íntegros e disponíveis quando necessário, não permitindo que sejam corrompidos, deletados ou modificados, sem a devida autorização e ciência de quem legitimamente o detenha ou, eventualmente, seja responsável por sua guarda e segurança.
Como dito anteriormente, podemos dizer que a Segurança da Informação se fundamenta em três pilares: Confidencialidade; Integridade; e Disponibilidade.
Melhor explicando, a confidencialidade, basicamente, objetiva que o sigilo seja aplicado a uma determinada informação, assegurando que o nível necessário de sigilo seja aplicado em cada elemento de processamento de dados, impedindo a divulgação não autorizada.
Como exemplos de medidas de confidencialidade, podemos citar:
🔐 Princípio da Necessidade de Conhecer (Need to know): apenas pessoas que precisam saber daquela informação devem saber sobre ela.
🔐 Política de Mesa Limpa: não deixar documentos importantes ou sigilosos em cima da mesa, com fácil acesso, menos ainda a tela do computador desbloqueada quando estiver ausente.
🔐 Gerenciamento de Acesso Lógico: atribuição de acessos à arquivos dentro de ambientes virtuais, com a autenticação do usuário, por meio de login, senhas seguras ou biometria. Com isso, é possível a identificação e autenticação do usuário; alocação, gerência e monitoramento de privilégios; limitação, monitoramento e desabilitação de acessos; e prevenção de acessos não autorizados.
🔐 Separação de ambientes de testes e produção: não se deve aplicar dados e informações verdadeiras em testes (ambientes virtuais de teste), porque tais ambientes possuem um nível de segurança menor.
A integridade, por sua vez, refere-se a ser correto e consistente com o estado ou a informação pretendida. A informação é íntegra quando não há nela qualquer alteração não autorizada.
Um ponto importante a se destacar, para que não haja confusão, é que uma informação íntegra não significa que ela é verdadeira, mas sim que ela não foi “corrompida”.
Como exemplo de medida que assegura a integridade é a Função Hash, que é uma função de criptografia feita por meio de código matemático de tamanho fixo, que se altera completamente caso se realize qualquer modificação no documento, por mínima que seja, possibilitando assim verificar ou não sua integridade.
Já a disponibilidade garante que uma informação poderá ser acessada sempre que necessário. Sendo destacadas três características:
- Oportunidade: significa dizer que a informação estará disponível sempre que necessário;
- Continuidade: é possível a manutenção do trabalho, ainda que em caso de falha; e
- Robustez: existe capacidade suficiente no sistema para permitir que diversas pessoas utilizem aqueles dados ou trabalhem ao mesmo tempo.,
Para que isso aconteça, é importante a realização de testes periódicos nos backups, a gestão de armazenamento de dados, a utilização de armazenamento em nuvem, além do já mencionado controle de acesso à informação.
Todas estas medidas são de extrema importância no mundo atual, especialmente pelo fato da engenharia social ter se tornado cada vez mais presentes e em igual crescente à tecnologia.
São diversas as técnicas utilizadas pelos criminosos virtuais para ludibriar suas vítimas, induzindo-a a acreditar nas informações prestadas, convencendo-a a fornecer dados/informações pessoais, possibilitando ao criminoso um ganho econômico ao executar alguma tarefa e/ou aplicativo.
Os criminosos podem se passar por colegas de trabalho, autoridades legítimas ou até mesmo amigos, e enganar as vítimas para que revelem informações importantes, sensíveis ou até mesmo confidenciais, como senhas de acessos, números de cartão de crédito ou segredos comerciais.
Aliás, com a proliferação das mídias sociais e o fácil acesso às informações pessoais online, os atacantes de engenharia social têm mais munição do que nunca. Eles podem criar perfis falsos, conhecer os interesses e as atividades das vítimas e usar isso a seu favor. Portanto, a engenharia social tornou-se uma ameaça séria e persistente.
Por isso, conscientizar-se disso é a primeira linha de defesa. Não apenas os indivíduos, mas também as empresas devem estar cientes dos riscos e aprender a identificar sinais de possíveis ataques e ameaças.
Além da conscientização, é fundamental adotar práticas de segurança da informação robustas. A desconfiança de solicitações de informações por meios não verificados, a verificação da autenticidade de mensagens e a prática de princípios de segurança, como as citadas acima, são a principal forma de combate a eventuais criminosos virtuais.
Concluímos, assim, que adotar medidas que possibilitem a Segurança da Informação é crucial para a atual era vivida, a era digital. Já que a engenharia social representa uma ameaça persistente e sofisticada.
A conscientização e a adoção de boas práticas de Segurança da Informação são essenciais para proteger informações pessoais e comerciais contra ataques de engenharia social. À medida que a tecnologia continua a evoluir, a proteção de dados e informações se torna uma prioridade incontestável para garantir a confidencialidade e a integridade das informações em um mundo cada vez mais digital.
Para saber mais sobre este e outros temas relacionados ao Direito digital, a equipe do Assis e Mendes possui especialistas prontos para atender as necessidades de sua empresa. Entre em contato conosco pelo site www.assisemendes.com.br.
FERNANDA MIRANDA é advogada da equipe Contenciosa e Métodos Resolutivos de controvérsias do Assis e Mendes Sociedade de Advogados.
