A segurança da informação é agora prioridade em muitas empresas. A quantidade de dados e informações sigilosas que circulam pelos meios digitais é cada vez maior, há necessidade de seguir a legislação, e os profissionais disponíveis no mercado não são muitos. Com as empresas precisando montar um time especializado, a demanda por profissionais se tornou grande.

Quem trabalha com segurança da informação, entretanto, não pode se limitar a ter conhecimento apenas sobre tecnologia. Também é preciso saber sobre legislação, elaboração de políticas internas e até gestão de pessoas: tudo com o objetivo de manter seguras as informações pessoais ou empresariais.

Quer entender por que essa área é tão importante e sobram vagas no mercado de trabalho? Leia os tópicos a seguir.

Risco aos dados

A expansão dos sistemas tecnológicos fez crescer os ataques e golpes que usam esses meios. De acordo com Apostolos Antonopoulos, especialista em Gestão de E-commerce e Business Intelligence, “conforme aumenta a presença digital de negócios e pessoas, isso impulsiona também os ataques cibernéticos”.

Atualmente, os spywares (softwares espiões) causam risco de roubo de senhas, que podem acabar em golpes virtuais, e um dos métodos mais utilizados para invadir computadores é o phishing – o envio de e-mail ou SMS com formato muito parecido com o de mensagens comuns. O golpista finge ser membro de uma instituição de confiança e induz a pessoa a clicar em um link ou fazer download de um arquivo infectado com o spyware. Com esse arquivo instalado no aparelho da vítima, o criminoso rouba dados financeiros e pessoais.

O surgimento de crimes mais sofisticados nessa área tem chamado atenção para a necessidade de investimento em segurança e regulamentação.

Lei Geral de Proteção de Dados

Em 2018, foi sancionada no Brasil a Lei Geral de Proteção de Dados (LGPD), que define e regulamenta o uso dos dados de todos os brasileiros nos meios digitais. Com a chegada da LGPD, empresas de todo o país terão que se adequar, elaborando termos e adotando políticas em torno dos dados que solicitam para os seus clientes.

A LGPD dá algumas diretrizes de como as empresas devem guardar informações como CPF, CNPJ, endereço, números de telefone e outros dados pessoais e empresariais fornecidos na hora de preencher um cadastro, por exemplo.

A regulamentação até impulsionou práticas de segurança, como a criptografia de dados, o planejamento de backups, a definição de um responsável pelo tratamento das informações (chamado data protection officer) e a conscientização de colaboradores sobre o assunto. Contudo, ainda existem muitos desafios.

De acordo com uma pesquisa da ICTS Protiviti, no final de 2020, 82% das empresas ainda não estavam preparadas para cumprir totalmente a LGPD. A ausência de estrutura e a falta de apoio especializado são fatores que explicam a demora na adequação.

Adequação à LGPD

Um dos passos para se ajustar à LGPD é mapear e descrever o que será feito com as informações coletadas de terceiros, onde elas serão armazenadas e se haverá compartilhamento com instituições parceiras ou afins. Também é necessário esclarecer o consumidor sobre as condições em que seus dados serão utilizados e dar a ele meios para autorizar ou não esse uso.

Outra medida é a criação de um canal de comunicação em que exista uma pessoa responsável por atuar entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), como explica um documento orientador publicado pelo governo federal.

O capítulo VII da LGPD também determina que os dados pessoais estejam protegidos do acesso de pessoas não autorizadas e de situações acidentais, como perda ou destruição.

As empresas deverão prestar contas à ANPD sobre as adequações previstas, e as penalidades para quem não cumprir as regras incluem bloqueio da base de dados, multas equivalentes a até 2% do faturamento e até suspensão das atividades.

Formação na área de segurança da informação

Para o especialista Apostolos Antonopoulos, muitas empresas não possuem estrutura para lidar com as mudanças, o que se agrava pela falta de profissionais de tecnologia. “Na área de segurança da informação, existe um vão gigantesco de profissionais em relação à demanda”, relata. Assim, há espaço para novos trabalhadores atuarem nas adequações.

Para quem quer ingressar no mercado, um dos caminhos é buscar um curso superior em segurança da informação. A modalidade tecnólogo possui aproximadamente dois anos e meio de duração. Aqueles que já são formados em outras áreas de tecnologia da informação, como desenvolvimento web, análise de sistemas e ciência da computação, podem fazer uma pós-graduação na área. Também é possível buscar instituições credenciadas e fazer cursos livres de certificação ISO 27001, o conjunto de normas internacionais para segurança da informação.

Para além das ferramentas

Como dissemos, a segurança da informação não trabalha somente com ferramentas tecnológicas. Por isso, nas grades dos cursos há disciplinas diversas, que vão desde políticas sobre privacidade até gestão e fatores humanos.

“Entenda como ameaça [cibernética] não só a questão de software malicioso. Existe a engenharia social, por exemplo, que atua nas pessoas. Como controlar isso? Criando políticas e diretrizes de conduta”, explica o especialista Apostolos Antonopoulos.

A engenharia social utilizada em crimes virtuais é a tática de criar uma identidade supostamente confiável e manipular a vítima para induzi-la a passar informações bancárias, pessoais e empresariais ou para infectar o aparelho por meio de um download. A ação dos criminosos pode ser direcionada, por exemplo, para um funcionário de uma empresa, na intenção de acessar o sistema da instituição. Portanto, muitas vezes, os crimes virtuais dependem de fator humano.

Cabe ao profissional da segurança da informação avaliar soluções como programas de conscientização dos colaboradores; medidas para restrição de download e acesso a sites em máquinas de trabalho; planejamento de backups; atualizações periódicas de senhas; definição de níveis de acesso a informações internas.

A conscientização deve envolver todos os níveis da empresa: funcionários, colaboradores e cargos de chefia. “É função de um departamento de segurança da informação cuidar disso, através de treinamento e orientação”, completa Apostolos.

Entretanto, a conscientização não serve só para as empresas. Ela é um caminho para todos os consumidores que querem proteger seus dados pessoais. A Autoridade Nacional de Proteção de Dados (ANPD) e a Secretaria Nacional do Consumidor do Ministério da Justiça e Segurança Pública (Senacon/MJSP) lançaram, em setembro de 2021, um guia completo de como proteger os dados pessoais. A publicação apresenta algumas ações bem simples para a rotina de todas as pessoas, como criar senhas fortes (combinar caracteres especiais, letras maiúsculas, minúsculas e números), ter cuidado antes de clicar em links ou fazer downloads e usar verificação de senha em duas etapas.

Percebeu como a segurança da informação é diversa e trata de assuntos bem presentes no dia a dia? A tendência é que a área continue em alta! Se você gostou desses aprendizados, compartilhe com todos os amigos amantes de tecnologia. Até a próxima!