Ariosto Farias Jr.
Ao participar da 25ª reunião Internacional do Comitê da ISO que elabora as normas de Sistemas de Gestão da Segurança da Informação (ISO IEC SC 27), percebi o quanto as organizações estão, cada vez mais, vulneráveis e expostas a ações de pessoas, tanto internas como externas, que vêm causando grandes prejuízos de ordem financeira, operacional e de imagem perante as partes interessadas, a exemplo dos clientes e acionistas. O evento foi realizado em Kuching, na Malásia, em maio de 2015, onde participaram 200 experts de 30 países em Sistemas de Informação e Tecnologia da Informação.
Os criminosos cibernéticos, serviços estrangeiros de inteligência, hackers, competidores internacionais, funcionários da própria organização e prestadores de serviços, são exemplos de pessoas que colocam em risco os ativos de informação críticos e sensíveis de uma organização. A verdade é que todos os dias nos quatro cantos do mundo, milhares de sistemas de informação e de dados confidenciais são acessados por pessoas não autorizadas, sejam por motivos monetários, roubo de segredos industriais, políticos ou outros, comprometendo seriamente a confidencialidade, a integridade ou a disponibilidade das informações.
O Information Security Breaches Survey 2013, publicado pelo Department of Innovation, Business & Skill da Inglaterra, revela casos de comprometimento das informações críticas e sensíveis das organizações, como os exemplos citados a seguir. Um grupo de hackers acessou o site de uma grande empresa de tecnologia que, como consequência, teve repercussões negativas na mídia, após demorar um mês para regularizar os seus negócios.
Por conta de uma configuração técnica executada de forma inadequada, e por não ter um plano de contingência, uma grande indústria farmacêutica teve um prejuízo de cem mil libras esterlinas depois que a empresa teve o seu sistema de informações invadido por hackers. Uma empresa de porte médio teve o seu disco de armazenamento de dados corrompido. Como não havia redundância, recomendação que é definida na norma NBR ISO 27002, levou-se cerca de um mês para que as atividades voltassem ao normal, além de dezenas de milhares de libras esterlinas que foram gastas.
Um funcionário insatisfeito de uma grande empresa furtou alguns documentos confidenciais aos quais ele tinha acesso como parte do seu trabalho, e começou a vender esses documentos. Esta violação da segurança da informação foi descoberta, por acaso, semanas depois. O valor da perda dos dados e o impacto aos negócios, foi muito grande.
Um banco teve o seu sistema de informações seriamente comprometido porque um funcionário conectou no computador um dispositivo tipo pen drive, sem autorização. Isto causou a interrupção dos negócios por vários dias. Outros exemplos também são conhecidos.
Talvez o caso mais importante a relatar seja o do World Trade Center onde em 1993 um carro bomba entrou na garagem e explodiu causando grandes estragos. 43% das empresas afetadas pela bomba já não existem mais hoje. O ataque terrorista de setembro de 2001 também causou estragos irreparáveis, pois muitas das empresas que funcionavam no WTC não estão mais em atividades.
Um dos motivos pode ser pelo fato de que essas empresas funcionavam em uma das torres e colocavam os seus back ups, ou seja, as cópias de segurança, na outra torre, contrariando completamente o controle 12.3.1-Cópias de segurança das informações da NBR ISO 27002, que recomenda que “as cópias de segurança sejam armazenadas em uma localidade remota, a uma distância suficiente para escapar dos danos de um desastre no local principal”.
Já os clientes de um banco alemão que tinha dois escritórios no WTC podiam, no dia seguinte ao atentado, utilizar um ATM para sacar o seu dinheiro, ver o saldo ou fazer os pagamentos como se, virtualmente, os dois escritórios ainda ali estivessem. Isto porque, bem longe de Nova York, o banco tinha todo um sistema de informações preparado para operar em situações de crise, que é uma recomendação da norma.
Vale também citar casos de empresas brasileiras que tiveram alguns dos seus computadores acessados por hackers, que bloquearam totalmente o uso do equipamento e pediram alguns milhares de dólares para liberar as informações. Sabemos que organizações de todos os tipos e tamanhos, incluindo o setor privado e público, organizações comerciais e sem fins lucrativos, coletam, processam, armazenam e transmitem informações em diferentes formatos, incluindo o eletrônico, físico e o verbal, como conversações e apresentações.
Em um mundo interconectado, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operações são ativos importantes, que têm valor para os negócios e, consequentemente, requerem proteção contra vários tipos de riscos. A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, que inclui políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware.
Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, para assegurar que os objetivos do negócio e a segurança da informação da organização sejam atendidos. As normas de segurança da informação ISO/IEC 27001 e ISO/IEC 27002, já adotadas no Brasil pela ABNT, representam hoje um importante componente para os negócios, pois é sabido que uma gestão proativa dos riscos é uma das maneiras de proteger os principais ativos de informação de uma organização.
Ariosto Farias Jr. é membro da Academia Brasileira da Qualidade, consultor de Sistemas de Gestão da Qualidade e de Segurança da Informação, líder da delegação do Brasil no Comitê ISO que elabora as normas de Segurança da Informação e um dos editores da norma ISO/IEC 27023:2014- Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002.