Desmascarando quatro mitos comuns sobre Cibersegurança

Por Michael Overly e coautoria de  James R. Kalyvas,

da Foley & Lardner LLP, para o Legal Executive Institue

Um dos maiores desafios das organizações, e também escritórios de advocacia, ao abordar os riscos em cibersegurança está no número de mitos sobre sua integridade fundamental, o que faz com que essas avaliem incorretamente ameaças, recursos mal alocados, além de traçar objetivos equivocados. Dissipar esses riscos é fundamental para o desenvolvimento de uma abordagem sofisticada e apropriada quando se trata da integridade da informação. Listamos abaixo quatro mitos sobre Cibersegurança. Confira:

 

Mito #1: “Tudo se deve à Privacidade”

Uma percepção errônea muito comum é que a segurança está relacionada apenas à proteção de informações pessoais identificáveis. Enquanto proteger dados pessoais é algo considerado de fundamental importância, outros tipos de informação também precisam ser protegidos. Informações adicionais incluem dados sigilosos e outras propriedades intelectuais (por exemplo, o código fonte de uma empresa de software), informações de competitividade (por exemplo, a lista de clientes ou fornecedores), dados de preço e marketing, além de informações financeiras, entre outras. 

Mito #2: “Tudo se deve à Confidencialidade”

Quando falamos de segurança, a tendência é focarmos no elemento mais óbvio: garantir que os dados sejam confidenciais (ou seja, dados que não podem ser usados por indivíduos não autorizados para fins impugnados). Para que dados estejam realmente seguros, eles precisam ser confidenciais, sua integridade precisa ser mantida e esses precisam estar disponíveis quando necessário. Traduzindo esses pilares para o Inglês, formamos o acrônimo de uma das mais importantes organizações de segurança de dados do mundo, a CIA (Confidentiality, Integrity, Availability).

·      Confidencialidade (Confidentiality) significa que os dados estão protegidos de acessos não autorizados e não disponíveis para divulgação.

·      Integridade (Integrity) significa que as informações são confiáveis e não estiveram sujeitas a nenhum tipo de modificação.

·      Disponibilidade (Availability) significa que os dados estão disponíveis para acesso e utilização quando necessário. Não adianta ter informações confidenciais mantidas integramente, sendo que não é possível tê-las disponíveis quando um usuário necessitar acessá-las. Por exemplo, ataques reasonware e DOS são especificamente projetados para prevenir a disponibilidade de sistemas e informações-chave. 

Mito #3: “Para ser um hacker, você precisa ser um expert tecnológico”

Esse é um erro comum para negócios que focam medidas de proteção para lidar apenas com hackers profissionais, ou ainda para se proteger contra indivíduos ou entidades altamente capacitadas em programação e tecnologia. Tais habilidades não são mais um pré-requisito para se “hackear”. Hoje, alguém com muito pouco, ou nenhum, conhecimento tecnológico pode facilmente encontrar ferramentas de fácil utilização para hackers na Internet, capazes de causar danos substanciais aos negócios de uma ou várias organizações. 

Mito #4: “Eu posso atingir 100% de proteção”

Finalmente, uma das mais tortuosas visões sobre cibersegurança é que a total proteção pode ser atingida e que essa pode, de fato, ser requisitada pela lei ou prática de mercado. Nenhuma está correta. Ambas as leis e práticas de mercado exigem que empresas façam “o possível”. Segurança total não é obrigatória e nem realista. 

Lições aprendidas

Toda informação sensível e proprietária, não apenas substratos de dados, devem ser levados em consideração na análise e mitigação de possíveis ameaças à cibersegurança. A proteção desses “assets” de dados deve ser aborda não apenas dentro da organização ou escritório de advocacia, mas também com seus parceiros, fornecedores e terceirizados externos. As manchetes estão cheias de empresas que confiaram seus dados a terceiros que não possuíam sistemas adequados de segurança da informação. 

Ao discutir medidas de segurança, o conceito de CIA deve ser um fundamento obrigatório. Especificamente, controles de segurança devem ser projetados para abranger não apenas a confidencialidade dos dados, mas, também a sua integridade e disponibilidade.

Leis e padrões aplicáveis exigem que empresas façam o possível para prevenir brechas na cibersegurança. Isso significa dedicar certo nível de investimento que equilibre usabilidade versus proteção. Acertar um equilíbrio adequado é fundamental para a formulação de uma abordagem de cibersegurança bem sucedida. 

> PARA QUEM PRECISA DE CONHECIMENTO ESTRATÉGICO > REVISTA DOS TRIBUNAIS 
O Selo Editorial Revista dos Tribunais reúne autores consagrados do meio Jurídico em obras aprofundadas para capacitar os profissionais do Direito, respaldando-os com respostas rápidas, precisas e confiáveis.

> SOBRE A THOMSON REUTERS  | LEGAL
Respaldamos os profissionais do Direito com respostas confiáveis para as suas decisões mais estratégicas, combinando inteligência, tecnologia e os melhores especialistas, oferecendo soluções digitais inovadoras para a gestão eficiente e gerando conteúdo relevante para as mais diversas áreas do mercado Jurídico.

Histórias relacionadas

Quais são as perspectivas das corporações e da economia mundial em relação à segurança da informação?

Soluções digitais, Reforma Trabalhista, Teses Jurídicas, e outras respostas confiáveis que marcaram o nosso2017

Como a organizações e governo estão se integrando de maneira digital por meio do eSocial.