O elo mais fraco e o investimento em segurança de informação

Rodrigo Bastos, Chief Information Security Officer da PDMFC

Notícias recentes apontam para a disponibilização na darkweb de listas de endereços de e-mail e respetivas passwords de diversos utilizadores de organismos públicos e de grandes organizações nacionais, retiradas de sites externos às mesmas. Face a este acontecimento, que não é virgem, é essencial que se torne consensual na nossa sociedade que a segurança de informação nas tecnologias de informação seja um tema que deve estar incorporado no dia-a-dia das empresas e instituições do setor público e privado.

Se o ser humano é o “elo mais fraco”, o investimento preventivo em sistemas, tecnologias e em processos de segurança de informação, a par da formação contínua dos colaboradores, deve ser visto como uma mais-valia para a manutenção da segurança dos sistemas.

As instituições públicas e privadas devem implementar medidas internas para a melhoria da cultura interna de segurança de informação. Podem-se suportar em normas de segurança de informação como o ISO/IEC 27001 e em boas práticas de gestão de serviço como o ITIL.

O alinhamento das organizações a estas normas e boas práticas, nem sempre é sinónimo de investimento financeiro avultado ou do gasto de muito tempo. É comum ter resultados práticos a curto prazo nos domínios de implementação de boas práticas, como por exemplo nas politicas de gestão de passwords, múltiplos fatores de autenticação, nas regras para a utilização de e-mails profissionais, na utilização e segurança de equipamentos físicos e no manuseamento da informação digital das empresas.

Estes investimentos devem ser efetuados em processos, sistemas e tecnologias, mas também no estabelecimento de parcerias com empresas especialistas em segurança de informação, focando-se desta forma a organização no seu negócio e nos seus clientes.

A cultura da nossa sociedade em segurança de informação, é efetivamente uma necessidade que temos de defender e não uma opção.

---