Segurança de informação não é algo que se tem, é algo que se faz

A segurança bem-sucedida depende de pessoas comprometidas, que apliquem consistentemente as ferramentas, tecnologias e processos mais confiáveis para reduzir o risco a um nível razoável. Nunca conseguirá reduzir o risco a zero, mas é possível reduzi-lo a um nível que corresponda à probabilidade e impacto de uma violação de segurança, a um custo razoável.

Nesse contexto, o debate sobre se a utilização da cloud é mais ou menos segura do que os dados on-premises, é uma abstração que erra o objetivo. Desde que o seu sistema esteja ligado à Internet pública, seja uma solução cloud ou local, corre sempre o risco de violar a segurança dos dados. A questão essencial é se implementou os controlos apropriados para minimizar os riscos à confidencialidade, integridade e disponibilidade dos seus dados.

Entender a ameaça 

A menos que a sua organização mantenha um ambiente que proíba qualquer acesso externo à Internet, é provável que o seu ambiente corporativo já tenha sofrido algum ataque bem-sucedido de algum tipo, mesmo que seja algo tão simples quanto a libertação não autorizada de alguns dados pessoais. Como afirmou o CEO da Cisco, John Chambers, "existem apenas dois tipos de empresas: aquelas que foram invadidas e as que ainda não sabem que foram invadidas".

Isto não é culpa da organização interna de IT. Qualquer ambiente de negócios atual exige um nível de agilidade e eficiência que obriga as organizações a abrir as suas redes de formas que seriam inimagináveis até recentemente. Esta abertura, embora essencial para manter um negócio competitivo, tornou ainda mais difícil o trabalho de manter uma rede segura.

O poder dos standards e "compliance" 

Os standards desempenham um papel vital na segurança da informação, garantindo que as práticas sejam completas, consistentes e eficazes. Indiscutivelmente, os padrões mundiais mais conhecidos que prescrevem um sistema eficaz de gestão de segurança da informação e o respetivo controlo detalhado são ISO / IEC 27001: 2013 e ISO / IEC 27002: 2013 - embora muitas organizações optem por confiar no NIST 800-53, o Cloud Security Alliance, SSAE 18, SOC 1, SOC 2 ou outros padrões que normalmente prescrevem controlos semelhantes. Estes standards descrevem detalhadamente o controlo, procedimentos e processos de segurança que uma organização deve seguir para se considerar compatível com as melhores práticas vigentes no momento.

Permanecer vigilante 

Se a segurança da informação fosse classificada com base no risco, a pontuação perfeita seria zero - e inatingível. Também muitas ameaças surgem todos os dias para esperar um momento sem exposição a riscos. Mas pode aspirar a um ideal semelhante, tomando algumas precauções essenciais:

• Adote uma estrutura de cloud segura. Coloque o máximo da sua capacidade de computação possível numa estrutura certificada quanto à conformidade com standards reconhecidos como ISO 27001, ITAR e FedRAMP;

• Verifique se a sua organização segue os standards de segurança atuais do seu setor. Standards como os regulamentos HIPAA, ITAR e FDA foram projetados para otimizar a segurança dos tipos de informações mais críticos em setores específicos. A cadeia de segurança é tão forte quanto o seu elo mais fraco. Os standards de segurança também evoluem com o tempo e fornecem uma referência que ajuda a avaliar se as práticas e procedimentos de segurança da sua organização são suficientes para manter os riscos tão baixos quanto razoavelmente podem ser a qualquer momento;

• Considere um serviço de consultoria de validação de conformidade.

A Infor, em conjunto com a AWS, assegura o máximo de segurança nos seus sistemas. Ao utilizar sistemas Infor, garantindo também a conformidade com os standards, pode reduzir a exposição da sua organização a riscos e estar preparado para resolver problemas rapidamente e com o menor custo possível.

Conteúdo co-produzido pela MediaNext e pela Infor