Nos últimos anos muito tem sido falado sobre Segurança da Informação e Privacidade. Estes temas sempre têm sido abordados de forma recorrente como requisitos para a contratação de sistemas e com a Track não seria diferente. Sendo assim, para atender às expectativas dos nossos clientes e estar em conformidade ao estabelecido por legislações como a Lei Geral de Proteção de Dados  e a Resolução 4.658  do Banco Central, a Track investe cada vez mais na proteção aos dados dos nossos clientes. 


A Segurança da Informação na Track é tratada com elevado grau de prioridade, por isso adotamos como referência para nortear nossos trabalhos a ISO 27001 - Sistema de Gestão da Segurança da Informação e o NIST (National Institute of Standards and Technology) que é um framework utilizado pelo governo estadunidense para elevar a segurança da informação de suas infraestruturas críticas. Além disso, contamos com uma consultoria especializada neste assunto que nos apoia na detecção de vulnerabilidades, prevenção e conscientização dos nossos colaboradores. 


Detecção de Vulnerabilidades


Para detectar possíveis vulnerabilidades são realizados scans de forma periódica em todo o nosso ambiente tecnológico. Quando uma vulnerabilidade é detectada, ela é classificada por um nível de criticidade de acordo com o que dano que ela pode causar caso seja explorada. Após a classificação, nosso time de segurança da informação é alertado para que possa tratá-la de acordo com a criticidade apontada. 


Além do ambiente tecnológico, nosso sistema também passa por teste de penetração, também conhecido como teste de intrusão, em que especialistas em invasão de sistemas, simulam uma tentativa de invasão ao nosso sistema, tentando explorar possíveis vulnerabilidades tecnológicas ou de regra de negócio. Se uma teste de penetração reportar uma vulnerabilidade, esta é imediatamente tratada pelo nosso time de desenvolvedores. 


Prevenção


A detecção de vulnerabilidades é realizada através de ações recorrentes. Já a prevenção consiste em sua maior parte em realizar controles previstos na ISO 27001, sendo um trabalho de implantação e configuração de ferramentas que nos auxiliam na obtenção de maior controle e segurança sobre o tratamento de dados, além de utilizar técnicas seguras de desenvolvimento, sempre orientados pela consultoria de experts em Segurança da Informação a fim de atender o determinado pela norma. 


Conscientização


Segurança da Informação começa com educação, pois de nada adianta a implantação de recursos tecnológicos para evitar ataques externos se as pessoas não tiverem consciência dos riscos aos quais estão expostas. Pensando nisso a Track executa um programa de conscientização de todos os colaboradores em temas relacionados a segurança da informação e privacidade. O programa se sustenta sobre três pilares que são: informação, conscientização e testes. 


informação parte de dicas rápidas sobre temas relacionados a Segurança da Informação. A conscientização é realizada através de dados reais sobre ataques e vazamento de dados expostos em infográficos e acompanhados de uma dica de como evitar aquele tipo de ataque. Os testes, por sua vez, tem por objetivo avaliar o grau de maturidade dos colaboradores quando o assunto é segurança. Enviamos para todos os colaboradores e-mails phishings que muitas vezes estão contextualizados à coisas realizadas pela empresa. Aqueles colaboradores que são capturados devem assistir a um vídeo e depois realizar uma prova que ateste o conhecimento adquirido sobre email phishing e vazamento de dados. 


Além disso, uma outra forma de atuarmos na disseminação da informação e conscientização dos colaboradores é a realização de treinamentos para todos. Os treinamentos ocorrem em periodicidade trimestral e visa reforçar os temas abordados ao longo dos meses.


Leia também


O que é a Lei Geral de Proteção de Dados Pessoais - LGPD