FUGA DE INFORMAÇÃO – Você sabe se acontece com a sua Organização?
Fuga de Informação é qualquer cópia de informação para fora do ambiente organizacional controlado.
Não conheço detalhes sobre a sua organização, mas existe uma grande possibilidade da ocorrência de fuga de informação. Simples e verdadeiro!
Fuga de Informação é qualquer cópia de informação para fora do ambiente organizacional controlado. Seja por uma ação criminosa, seja por erro, seja por falta de conhecimento ou qualquer motivo.
O que mais impacta negativamente a organização são ações de vazamento ou de roubo das seguintes informações ou tipos de informações:
1. Dados Pessoais.
A legislação e as ações no judiciário acarretarão altos valores de multas e indenizações. Agravante: é um tipo de tratamento legal, recente. As organizações estão aprendendo a lidar com este tipo de proteção.
2. Dados organizacionais de valor para a concorrência e para criminosos.
Finanças, planejamento, estratégias, valores comerciais, similar.
3. Dados de Credenciais de Acesso.
Joia da Coroa. Permite acessos de maneira fácil, rápida e com custo baixo.
4. Dados de códigos de programas ou equivalente.
Permite infiltrar códigos maliciosos e acessos poderosos.
5. Dados de Gestão de Conhecimento.
Conhecimento tácito dos colaboradores que podemos ser transformados em valores para os concorrentes.
6. Informações de comunicação interna e externa com clientes, fornecedores, Governo e demais autoridades.
Tipo de informação que deve ter um alto nível de sigilo. Utilizado pelos criminosos ou concorrentes afetam negativamente a reputação da organização e a sus credibilidade. Além de possibilitar ações no judiciário com altas multas ou indenizações.
7. Informações específicas do negócio e dos sócios (acionistas).
Outro tipo de informação que necessita alto nível de sigilo. Em mãos de criminosos ou concorrentes podem impactar negativamente a organização seja em ações no judiciário como na reputação e credibilidade no mercado.
Mas como evitar ou minimizar o risco da ocorrência da Fuga de Informação tratadas e sob responsabilidade da Organização.
a. Defina uma Arquitetura de Segurança da Informação, Cibersegurança e Proteção da Privacidade.
Uma Arquitetura define responsabilidades, direcionadores estruturais, direcionadores obrigatórios, abordagem para a proteção, escopo do tratamento da informação, relacionamento com parte externa, implementação do processo de Gestão da Segurança da Informação, Cibersegurança e Proteção de Privacidade.
b. Defina uma Arquitetura de Políticas e Normas. Implemente os regulamentos
Os regulamentos são a maneira mais efetiva e evidente de definição de controles e do alinhamento da Gestão da Segurança da Informação com a Governança da Segurança da Informação, e com a Governança Corporativa.
Os regulamentos são a cristalização do desejo do Corpo Diretivo da Organização de qual proteção deseja para o seu ambiente. Eles também possibilitam que os colaboradores entendam as regras de tratamento da informação.
c. Defina os Gestores dos Recursos da Informação
Todo recurso de informação deve ter formalmente o seu Gestor, que autorizará (ou não) os acessos à informação, avaliará o valor da informação e quanto a organização deve investir na sua proteção e o mais importante, tomará a decisão sobre minimização de risco que for apresentado pelos profissionais de proteção da informação.
d. Treine a Responsabilidade dos seus Colaboradores internos e externos.
Toda pessoa humana que tiver acesso a informação sob responsabilidade da organização, precisa saber quais são as regras (controles) para o tratamento da informação e mais diretamente quais são as suas responsabilidades.
e. Implemente ações de Cibersegurança.
O ambiente de tecnologia é praticamente de uma variação infinita e de alta complexidade. Sua organização precisa de proteção técnica específica. Os Cibercriminosos estão rondando sempre a organização. E dependendo do tipo de negócio, estão tentando invadir constantemente. Invadir ou “ganhar” de graça com falhas, negligencias, erros e vulnerabilidade utilizando engenharia social.
f. Realize periodicamente a Gestão de Riscos e Identifique a verdadeira Maturidade em Segurança da Informação da Organização.
Este controle permite que o Corpo Diretivo da Organização e os seus Acionistas estejam cientes e possam validar os riscos (perigos) que a organização tem que que podem impactar negativamente a organização. Isto é pode impedir o alcance dos objetivos corporativos e as expectativas dos acionistas.
g. Monitore seu ambiente e faça Ciber Vigilância no ambiente externo.
Muitas informações da organização vazaram para ambientes externos. Quanto mais rápido a organização detectar esta situação, maior a possibilidade da minimização deste impacto negativo. A Ciber Vigilância monitora erros, negligencias e ações de criminosos.
Este assunto merece um debate mais amplo e se você precisa de apoio para estas ações, entre em contato para um tratamento específico para a sua organização.
Grande abraço.
Edison Fontes, CIMS, CISA, CRISC, Ms.
Autor do Livro Segurança da Informação: Gestão e Governança. Conformidade com a LGPD.
Expert CyberSecurity Consultant – NTT DATA Europe & LATAM