De acordo com a pesquisa TIC Saúde 2022, apenas 31% dos estabelecimentos de saúde do Brasil implementaram um plano de resposta a incidentes de segurança da informação relacionado a dados pessoais. Por isso, é necessário redobrar a atenção com a proteção das informações que circulam no dia a dia das instituições. Para estabelecer uma política adequada aos padrões atuais, cinco pilares são essenciais para tornar a gestão dos dados segura.
A confidencialidade, a integridade, a disponibilidade, a autenticidade e a legalidade fornecem uma espinha dorsal para as operações de cada instituição e garantem que tudo funcione bem ao longo do tempo. Apesar de diferentes em conceitos, trabalham em conjunto, apoiando-se mutuamente para que o sistema inteiro não entre em colapso. Sem exagero, eles são a base sobre a qual uma empresa constrói seu programa de segurança e podem ser usados para medir a eficácia da estratégia de cibersegurança de qualquer organização, além de ajudar a determinar se há ou não um problema com o sistema existente.
“Se um destes pilares estiver ausente ou comprometido, já não existe mais segurança dentro da empresa. Eles precisam estar muito bem estruturados, não importa o nível de maturidade em que a organização se encontra”, alerta Filipe Luiz Antonio, Líder Técnico da Plataforma de Segurança e Analista de Infraestrutura Senior da Flowti.
Veja um pouco mais sobre cada pilar:
Confidencialidade
O princípio da confidencialidade é a garantia de que os dados estejam acessíveis a determinados usuários e protegidos contra pessoas não autorizadas a acessá-los. E como fazer isso? “Para garantir que este pilar não seja rompido, a área de TI deve incluir medidas de proteção, como controle de acesso, criptografia, senhas fortes ou até mesmo soluções passwordless. Tanto a lei europeia (GDPR), quanto a brasileira (LGPD), têm regulamentação específica para isso”, conta Filipe.
Integridade
Existe para preservar o dado, que deve ter consistência e precisão. “Para a empresa erguer este pilar, ela tem que implementar mecanismos de controle a fim de evitar que a informação seja alterada ou deletada por pessoas que não são autorizadas. Já nos deparamos várias vezes com casos em que a integridade dos dados foi afetada por erro humano. Ou seja, políticas de segurança inadequadas e processos falhos contra ciberataques”, explica Filipe.
Disponibilidade
Para que um sistema seja útil e funcional, ele deve ter disponibilidade. Por isso, este é considerado o pilar mais importante da segurança da informação, segundo Filipe. Afinal, é preciso garantir que o dado esteja acessível 24 horas por dia, sete dias por semana, 365 dias no ano. Para que a empresa cumpra esse requisito e garanta a estabilidade desse dado, a TI deve ter processos e manutenções rápidas, que eliminem falhas de softwares, além de planos para administração de crise. “Se o dado não estiver disponível, você simplesmente não consegue trabalhar”, lembra Filipe. Ele também conta que é importante ter algum sistema de proteção contra desastres naturais, como alagamentos ou incêndios. O armazenamento na nuvem, portanto, é uma das saídas para garantir o pilar da disponibilidade.
Autenticidade
Este é um pilar de validação da autorização do usuário para acessar, transmitir e receber determinadas informações. Para garantir a autenticidade, as empresas podem usar os mecanismos básicos, como login e senha. Mas também existem outros recursos, como a biometria e a leitura de QR Code, em que não é necessária nenhuma senha, tornando o acesso ainda mais seguro. “Com essa ferramenta de leitura de QR Code, não existe a possibilidade de vazamento de senha, porque é via web e essa conexão é criptografada, desde a hora da origem até o destino, ou seja, do momento em que eu fiz a leitura do dado até a abertura do portal. Então, se eu tiver uma infecção na minha máquina, por exemplo, não tem como gravar a senha, porque não fiz nenhum input no teclado, não digitei nada”, conta o especialista da Flowti.
Legalidade
A política de segurança da informação de uma empresa deve ser feita em conformidade com a lei vigente no país. No caso do Brasil, estamos falando da Lei Geral de Proteção de Dados (LGPD). “Todo o conteúdo dos ativos de uma organização precisa estar de acordo com a lei, não há outro caminho”, conta Filipe. Ele dá um exemplo:
“Há um tempo, atendemos uma empresa que foi atacada por ransomware. Quando fomos fazer a instalação de antivírus, descobrimos que a instituição não usava Windows e Office original em todas as máquinas, só em algumas. Era o famoso software pirata, que além de não ter como atualizar – a não ser por métodos arriscados – é ilegal. A alta direção da empresa tinha quebrado este pilar e precisou se reajustar, investindo no sistema operacional original para toda a companhia. Porém, isso só aconteceu, após o dano já ter sido feito”.
