Ativos críticos. Saiba como classificar e melhorar a segurança

Ativos críticos. Saiba como classificar e melhorar a segurança

17/08/2017 0 Por Adenilson Campos Guedes

[wp_ad_camp_1]

Dentro de uma organização, a gestão dos processos passa por diversas pessoas, conforme o seu departamento ou função. Cada área faz parte de uma grande engrenagem – a empresa. Todos atuando para o atingimento das metas da empresa. Dentro deste contexto, existem diversos ativos envolvidos, tais como: pessoas, materiais e equipamentos, reservas financeiras e informações sensíveis ou estratégicas. Obviamente que cada empresa possui o seu “tesouro”, logo, é mister protegê-lo sob pena de perdê-lo. Destarte, cabe a seguinte pergunta: Como proteger os ativos da empresa? Como separar os ativos estratégicos em relação aos menos sensíveis? Neste artigo vamos procurar esclarecer como classificar e melhorar a segurança dos ativos.

2. ATIVOS E AMEAÇAS

Para facilitar o entendimento do tema, citamos abaixo alguns esclarecimentos.

a) Ativos
É tudo aquilo que tem valor para a empresa; pode ser algo tangível ou intangível: instalações, máquinas, informações, etc.

b) Ameaça

As Ameaças têm duas origens:

  • Ambiental – Causada por fenômeno natural.
  • Humana – Causada por ação de pessoas que pode ser acidental e intencional.

3. VULNERABILIDADES MAIS COMUNS

a) Ambiente físico
Controle de acesso a locais onde contenham informações estratégicas guardadas em meio físico. Alguns exemplos: Um armário onde contém arquivos importantes e os responsáveis não possui o controle das chaves ou simplesmente deixa-o aberto.

b) Ambiente lógico
Ambiente ligado diretamente a TI. Cuidar para evitar que pessoas não autorizadas obtenham acesso esse ativo.

c) Questão comportamental
Trata-se do ativo diretamente relacionado às pessoas. Informações confidenciais ou reservadas da empresa. Muitas vezes, funcionários conversam no celular, nos corredores, em locais públicos sem o devido cuidado. Isso demanda um esforço maior por parte da equipe de Gestão de Riscos visando criar uma cultura de segurança dentro da organização. As pessoas são o elo mais fraco neste contexto. Por exemplo: o documento mais sigiloso da empresa foi trancado em um cofre super seguro. Será que a chave deste cofre está em segura? Será que não se esqueceram de trancar o cofre? Ou, mesmo que sejam tomados todos os cuidados com a tranca ou guarda das chaves, o engenheiro social sabe que o acesso a informação desejada deve ser através da pessoa que cuida destas informações; ele irá tentar (usando vários métodos persuasivos) para convencer a pessoa a abrir o cofre. Abrir um notebook durante o vôo ou em outro ambiente público com a tela mostrando informações reservadas, etc.

A informação é, portanto, um ativo difícil de ser controlado, pois depende exclusivamente das pessoas. As pessoas expõem a organização ou agem de forma a neutralizar as ameaças. Assim, adotar ações no sentido de desenvolver na empresa à cultura sobre a importância do cuidado com a segurança das informações é algo bastante eficaz.

4. ERROS CLÁSSICOS DE SEGURANÇA

Exemplos de erros clássicos de segurança que causam riscos à organização:

a) Erro de desingner (são erros de projetos).

b) Falta de procedimentos ou procedimentos inadequados.

c) Falta de cultura de segurança.

O Brasil, por exemplo, não possui em sua característica uma cultura de proteção das informações. Isso é um grande problema. Claro, há exceções. Na Petrobras, por exemplo, em época de pré-sal, deve priorizar os ativos críticos de modo a garantir a integridade das informações estratégicas sob pena do concorrente tirar proveito disso. O que pode potencializar o aumento da vulnerabilidade?

  • Ausência de Normas e Procedimentos.
  • Cultura inadequada de trabalho e falhas de profissionais. Um pequeno descuido pode deixar os ativos críticos vulneráveis e as ameaças com maior risco de se concretizarem.

5. MEDIDAS DE SEGURANÇA

a) Classificação das informações

A identificação dos ativos que necessitam de proteção é o passo fundamental para o estabelecimento de normas e procedimentos de segurança. Saber quais são os ativos considerados críticos para a organização é importante para garantir a integridade dos ativos críticos. O mapeamento dos Ativos Críticos deve ser realizado de acordo a relevância para o negócio da organização.

b) Ações que reduzem a vulnerabilidade

  • O cumprimento de Normas e Procedimentos.
  • O controle de Acesso de Pessoas e Veículos – apenas pessoas autorizadas e identificadas devem ter acesso à empresa.
  • O nível de segurança vai depender do tipo de negócio ou ativos protegidos por cada organização.
  • A Equipe de Gestão de Riscos deverá avaliar às necessidades de segurança da organização para, a partir daí, definir o nível de segurança.

6. ESTRUTURAÇÃO DA SEGURANÇA

  • CODINS: Acesso controlado às informações ou equipamentos controlados.
  • CFTV: Monitoramento por câmeras 24 horas.
  • Portas com alarmes e comunicação direta com a segurança.

As vulnerabilidades podem está na Segurança Física, Segurança Lógica e Segurança comportamental.

Um fator relevante para o funcionamento das ações voltadas à proteção dos ativos críticos é a socialização junto aos colaboradores sobre as normas e procedimentos da empresa. Neste sentido, tais informações podem ser socializadas através de:

  1. Criação de procedimentos disponíveis em banco de dados (intranets);
  2. Cursos internos (presencial ou EAD) direcionados para o público de interesse.
  3. Realização de palestras.4. Campanhas internas.

7. CONCLUSÃO

Em qualquer empresa, independente de seu porte ou nicho de mercado, a proteção dos seus ativos, sobretudo os classificados como Críticos é tão importante quando à própria sobrevivência da empresa. Logo, a equipe responsável pela gestão de riscos deve começar pela classificação dos ativos e adotar ações para a sua proteção. Uma tarefa complexa que deve ser traçada através de metodologias científicas e levar em conta que o ser humano, neste processo, é o mais difícil de controlar. Normas e procedimentos por si só, não bastam; é preciso que sejam cumpridos.

Ações no sentido de conscientizar os colaboradores para os cuidados necessários em relação à proteção dos ativos críticos da empresa é importante, pois a questão comportamental é algo que depende da consciência das pessoas; algo difícil de controlar.

Já parou para pensar como estão cuidando dos ativos de sua empresa? Conte-nos algo a respeito!

Junte-se ao nosso grupo exclusivo WhatsApp e tenha acesso a artigos, notícias e dicas sobre o universo da segurança.  ENTRAR NO GRUPO.

Assinar Newsletter Grátis

CategoriaArtigos Seg. Informação
Tagsativos críticos classificação de ativos informações Proteção de Dados segurança da informação

Sobre o Autor

Graduado em Gestão de Segurança Empresarial, possui Especialização em Consultoria Empresarial com Ênfase em Segurança Corporativa, MBA em Gestão Política e Planejamento Estratégico e MBA em Gestão da Inteligência Estratégica pela Associação dos Diplomados da Escola Superior de Guerra – ADESG-BA, certificado Six-Sigma Green Belt da Escola EDTI. É idealizador e responsável pelo site www.folhadaseguranca.com.br. Linkedin: https://www.linkedin.com/in/adenilsonguedes/ e Twitter: https://twitter.com/deseguranca Canal Instagram: https://www.instagram.com/folhadaseguranca.com.br/

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *