投资信息安全(SI)是保护数据和内部系统免受未经授权访问和其他网络威胁的最有效方式。 通过一个稳固而有效的治理计划,组织可以确保信息安全的三个支柱——完整性、可用性和保密性——得到维护,确保企业免受未授权访问的威胁。
根据由Solo Network的网络安全部门Solo Iron进行的一项研究,仅在今年第二季度,巴西的网络攻击就增加了70%。 更糟的是,整个拉丁美洲也伴随着这种局面,在同一分析期间,该地区此类行动的数量增加了约53%,根据Check Point Research发布的另一份报告。
无论规模或行业,任何企业都可能成为这些攻击的目标,从仅有两台连接互联网的小型市场到具有全球影响力的大型工业企业。 在解释这一现象的主要原因中,值得强调的是,许多管理者,尤其是中小企业的管理者,低估了投资信息安全的重要性,认为自己不在攻击者的关注范围内。
然而,反驳这种观点,根据卡巴斯基的数据显示,巴西的中小企业每分钟面临365次攻击尝试——但它们是最少采用某种网络保险来保护自己免受这些犯罪行为的。 对这项投资持犹豫不决已不再是一个选择,尤其是在一个日益全球化的市场中,信息是决策的宝贵资产。 在这种情况下,敏感数据的盗窃可能导致重大财务损失和其他重大损害。
面对如此大的风险,投资信息安全(SI)并建立数据治理计划是保护内部数据和系统免受攻击和其他网络威胁的最有效方式。 实施良好的实践以减少计算环境中的漏洞、保护资产,从而维护组织的声誉,是至关重要的。
实际上,这一指导方针不应仅限于引入有助于安全的技术资源,例如人工智能(AI),它能够分析大量数据,识别行为模式并检测可能构成安全风险的可疑活动。 一个结构完善的治理程序包括明确具体的信息安全政策,定期(至少每年一次)为所有员工进行培训,制定强大的密码政策,以及实施对企业系统和文件的访问控制。
除了上述事项之外,至关重要的是,组织必须拥有基本的保护机制,例如防火墙、防病毒软件、VPN,以及专用于接收不断更新的许可软件,以防范最新威胁。
还值得注意的是,必须定期由独立审计师对整个计划进行审计,以确保其有效性和持续发展。
在法律上,仍然存在2018年的通用数据保护法(LGPD)因素——违反该法可能导致每日或单次罚款,金额从营业额的2%到每次违规5000万雷亚尔不等,以及数据封锁和可能的企业活动暂停。 然而,除了经济处罚之外,不遵守这些规定的企业可能会被贴上“违法公告”的标签,这些公告可能会在其官方网站或其他媒体上公布,这无疑会对其声誉造成巨大负面影响。
遵守巴西的LGPD是组织的责任,但这最终是一个良好建立的治理计划、定期培训和独立审计的自然结果。 这样一来,企业遭受盗窃或数据丢失的风险就大大降低,无论是人为错误还是技术故障。 最终,任何小心都永远不为过。
拉蒙·席尔瓦是 ECOVIS® BSP 的网络分析师。
蒂亚戈·巴鲁奇是 ECOVIS® BSP 的合伙人和 IT 经理。
