Conheça os
princípios básicos e as práticas recomendas para ter um ambiente mais seguro na
sua empresa
À medida que os computadores e outros
dispositivos digitais passaram a ser essenciais para as operações comerciais,
também se tornaram cada vez mais alvos de ataques cibernéticos. Dessa forma,
para que a empresa use um dispositivo, ela deve primeiro ter certeza de que o
equipamento está seguro para a comunicação online. Isso faz da segurança da informação uma estratégia primordial para
as empresas modernas.
A segurança de TI é um trabalho desafiador que
exige atenção aos detalhes ao mesmo tempo em que exige uma conscientização de
nível superior. No entanto, como muitas tarefas que parecem complexas à
primeira vista, a segurança de TI pode ser dividida por etapas, simplificando o
processo. Isso não quer dizer que as coisas ficarão mais fáceis, mas mantém os
profissionais de TI mais preparados.
Por isso, separamos os princípios básicos da
segurança da informação nas empresas e as práticas recomendadas que os
profissionais de TI podem aplicar para manter seus dados e sistemas sempre
seguros. Acompanhe!
1. O que é segurança da informação?
Segurança da informação é um conjunto de
métodos adotados estrategicamente para gerenciar e prevenir os riscos de roubo,
perdas e danos dos dados, sistemas, redes, servidores e dispositivos. O
objetivo é detectar, documentar e, principalmente, combater as ameaças digitais
e não digitais.
As ações de segurança da informação incluem o
estabelecimento de um conjunto de procedimentos executados de forma
sincronizada para proteger os ativos físicos e digitais ligados
à informação, independentemente de como elas são formatadas, transmitidas
(enviadas e recebidas), processadas ou armazenadas.
Ou seja, é a prática de impedir o acesso, uso,
divulgação, interrupção, modificação, inspeção, gravação ou destruição de
informações sem devida autorização. Tudo isso sem prejudicar a produtividade da
organização.
Esse feito só é amplamente alcançado por meio
de um processo de gerenciamento de riscos em várias etapas que identifica
ativos, fontes de ameaças, vulnerabilidades, possíveis impactos e formas de
controles, seguido pela avaliação da eficácia do plano de gerenciamento de riscos.
2. Quais são os princípios da segurança da informação?
Os programas para segurança da informação são
constituídos em torno de alguns objetivos centrais. Também conhecidos como os
pilares da segurança de TI, fazem a força na hora de planejar e implementar uma
estratégia de proteção eficiente. Conheça agora um pouco mais sobre cada um
deles.
Confidencialidade
A confidencialidade garante que as informações
sigilosas sejam acessíveis somente por pessoal devidamente autorizado. Isso
significa que as informações só poderão ser visualizadas e utilizadas com a
permissão dos responsáveis. Por meio de IDs de usuário, senhas, controle de
níveis de acesso e outros meios, o acesso exclusivo deve ser garantido.
Além proteger as informações, restringindo o
acesso somente ao pessoal autorizado, os que forem liberados devem ser
monitorados e ter todas as ações executadas e documentadas para análises
posteriores, se isso for necessário. Como exemplo, podemos citar os bancos e outras
instituições financeiras que, por lei, são obrigadas a proteger os dados
pessoais dos clientes. Se houver algum tipo de vazamento, são responsabilizados
pelos danos causados.
Integridade
A integridade impede a modificação não
autorizada dos dados. Isso significa que quaisquer alterações realizadas nas
informações, independentemente do nível de permissão que o usuário tiver, são
rigorosamente rastreadas, monitoradas e documentadas.
Ela aumenta o nível de confiabilidade do banco
de dados e informações da empresa, pois assegura que eles sejam editados
somente por pessoas autorizadas, mantendo o estado original quando armazenados.
Sistemas de criptografia de dados são amplamente adotados para se conseguir
bons níveis de integridade.
Assim como uma pessoa com integridade significa
que o que ela diz pode ser confiável para representar a verdade, a integridade
da informação significa que ela realmente representa o significado demonstrado.
Disponibilidade
A disponibilidade significa que as informações
podem ser acessadas e modificadas por qualquer pessoa autorizada por um
dispositivo, rede e período de tempo apropriado. Dependendo do tipo de
informação, o prazo apropriado pode significar coisas diferentes.
Por exemplo, um negociador de ações da bolsa de
valores precisa de acesso instantâneo às informações para analisar e tomar
decisões de compra, retenção ou venda de ativos financeiros. Já um profissional
de vendas pode se contentar em esperar por um relatório de desempenho na manhã
do dia seguinte.
Empresas como a Amazon dependem que seus
servidores estejam no ar 24 horas por dia, 7 dias por semana e nos 365 dias do
ano, pois o negócio funciona inteiramente na web. Uma falha que os deixem fora
do ar por algumas horas pode representar grandes prejuízos financeiros. Outras
empresas, que não dependem tanto de infraestruturas de TI na nuvem, podem não
sofrer danos se seus dados e sistemas ficarem inacessíveis por alguns minutos
de vez em quando.
De modo geral, a disponibilidade significa ter
acesso aos dados e sistemas sempre que precisar ou desejar e somente a
manutenção e atualização de hardwares (servidores e redes) é que garantirão
isso. Migrar Data Center para a nuvem pode ser uma
solução para a boa disponibilidade.
Autenticidade
Na autenticidade, o objetivo é descobrir se a
pessoa que está solicitando permissão de acesso é realmente quem ela diz ser.
Nesse caso, ferramentas para autenticação são usadas para garantir que a pessoa
que acessa as informações sejam mesmo as que se dizem representar. Por exemplo:
o token (rodízio de senhas) pode ser utilizado para enviar uma senha diferente
para o celular da pessoa toda vez que ela solicitar permissão de acesso.
Além do acesso, é feito um registro sobre o que
o usuário está enviando ou modificando. Dessa forma, a autenticidade atua
gerando uma documentação sobre qualquer manipulação de dados no sistema.
Legalidade
O uso de dispositivos, tecnologias,
metodologias e certos dados são regidos pela legislação brasileira. Isso torna
essencial uma política de segurança mais rígida no negócio para evitar
investigações, auditorias e até possíveis impedimentos operacionais.
A segurança da informação lida com o
gerenciamento de riscos e qualquer coisa externa ou interna pode representar
uma ameaça às informações. Por isso, para não ter problemas com a justiça, os
dados mais sensíveis (sigilosos) devem ser armazenados em local livre de
alterações ou transferências sem permissão, principalmente quando envolvem
informações sobre pessoas físicas e outras empresas.
Por exemplo, uma mensagem pode ser modificada
durante a transmissão por alguém que a intercepte antes de chegar ao
destinatário, mas uma boa ferramenta de criptografia pode ajudar a neutralizar
esse tipo de ameaça. As assinaturas digitais também podem contribuir para
reforçar a segurança das informações, aprimorando os processos de autenticidade
e induzindo os indivíduos a provar sua identidade antes que possam obter acesso
aos dados arquivados.
Então, armados com esses princípios de alto
nível, os especialistas em segurança de TI criaram as melhores práticas para
ajudar as organizações a garantirem que suas informações permaneçam seguras.
3. Por que é importante adotar a segurança da informação nas empresas?
Os programas para segurança da informação podem
trazer uma série de benefícios para as empresas.
Fornece uma visão holística dos ativos de TI, riscos
e ameaças
Não importa o quão grande ou pequena seja
a infraestrutura de TI da sua empresa, você precisa ter
um plano para garantir a segurança de seus ativos. Esse plano é chamado de
programa de segurança e é estruturado por profissionais de segurança da
informação. Os processos de planejamento, teste e implementação farão com que
os gestores tenham uma visão 360° sobre os ativos, riscos, falhas e
oportunidades de melhoria da segurança.
Essa visão ampliada, consequentemente, permitirá
a criação de uma estrutura com nível de segurança mais elevado, podendo
projetar e simular situações antes que elas ocorram realmente. Além disso,
deixará a empresa à frente do mercado, ficando por dentro de tudo o que
for novidade em relação às ferramentas e procedimentos inovadores de segurança.
Garante a proteção dos ativos mais valiosos da
empresa
Se a sua empresa possui um sistema legado e/ou
um banco de dados bem estruturado e altamente utilizável, deve saber que estes
encabeçam a lista de ativos mais valiosos que o negócio pode ter. Afinal, sem
eles a empresa praticamente ficaria impossibilitada de operar. Já imaginou o
quanto isso seria desastroso? Com uma boa política de segurança da informação
nas empresas isso pode ser evitado.
Identifica e corrige falhas e vulnerabilidades
Se a sua empresa trabalha com desenvolvimento de softwares para uso próprio ou para
fornecimento, a identificação de falhas e vulnerabilidades, bem como suas
correções, são primordiais para gerar confiabilidade aos clientes e
colaboradores. Com uma política de segurança da informação bem estruturada,
ações de rastreamento e correções de bugs podem ser executadas de forma
automática, aplicando varreduras por intermédio de aplicações apropriadas.
Gera credibilidade e melhora a imagem do negócio
Empresas que levam a segurança da informação a
sério passam mais confiança aos clientes, colaboradores, fornecedores e sócios,
construindo uma imagem de alta credibilidade. Acredite, isso vai ser muito bom
para os negócios, pois muitos profissionais consideram essa preocupação um
requisito importante para a escolha.
Eleva o valor de mercado da empresa
Junto com a imagem de uma empresa segura, a
credibilidade que o negócio constrói também influencia no valor que ela tem no
mercado. Seja o valor percebido, seja o valor real de compra e venda, ambos
sobem atraindo novos investidores e aumentando o grau de felicidade dos atuais.
4. Quais são os métodos de implantação desta estratégia?
Existem muitas práticas recomendadas para a
segurança da informação nas empresas e vamos apresentar as principais para você
a partir de agora.
Nomeie os profissionais responsáveis
O ponto de partida é escolher profissionais
capacitados e com experiências em segurança da informação para assumirem o
posto de planejadores e coordenadores do projeto. São eles que vão estruturar o
programa de segurança, bem como testar, implementar e monitorar o funcionamento
dele.
Normalmente, esses profissionais são liderados
por um diretor especialista em segurança da informação. Ele organizará os
profissionais em grupos por tarefas distintas, conduzindo-os a um objetivo
principal: o de proteger os ativos físicos e virtuais de TI.
Estabeleça uma política de segurança
Os procedimentos para a proteção das
informações geralmente envolvem medidas de segurança física e digital para impedir que
os dados e sistemas sejam acessados, utilizados, replicados ou destruídos sem
autorização. Essas medidas devem incluir o gerenciamento de chaves de
criptografia, sistemas de detecção para as invasões de rede e dispositivos,
logins com senhas e conformidades regulatórias.
Além disso, uma auditoria de segurança pode ser
conduzida internamente para avaliar a capacidade que a organização tem de
manter sistemas e dados seguros contra um conjunto de critérios estabelecidos.
Use mecanismos de autenticação
- A maneira mais comum de identificar alguém é
mediante sua aparência física, mas como identificamos um usuário virtual? A
autenticação ajuda a realizar a identificação de alguém por meio de alguns
fatores, tais como: algo que sabe, algo que tem ou algo que é. Entenda como
isso funciona!
Algo que só o usuário
sabe: a forma mais comum de autenticação hoje é o ID do usuário e a senha.
Neste caso, a autenticação é feita confirmando algo que só o usuário conhece,
como seu ID (login) e senha. Mas essa forma de autenticação pode ser fácil de
ser corrompida e, às vezes, são necessários métodos complementares de
autenticação;
-
Algo que só o usuário tem: identificar alguém apenas por algo que ele tem, como uma chave ou um cartão de acesso (objetos físicos), também pode ser um problema, pois quando perdido ou roubado, a identidade do usuário pode ser facilmente revelada e utilizada por criminosos;
Algo que só o usuário pode ser: por fim, identificar um usuário pelo que ele é, é muito mais difícil e caro, pois envolve a identificação por intermédio de recursos altamente tecnológicos. Aqui, o usuário é identificado de forma automática por meio da avaliação de suas características físicas, como impressões digitais e globo ocular.
A melhor solução é encontrar uma maneira de
fazer a autenticação multifator, combinando dois ou mais dos fatores listados
acima, tornando muito mais difícil a ação de alguém que se passe falsamente por
outra pessoa.
Um exemplo disso seria o uso do token. Ele
gerará um novo código a cada tentativa de acesso. Dessa forma, para efetuar o
login em um recurso de informações usando o dispositivo, você combina algo que
sabe (um PIN de quatro dígitos), com o código (token) gerado e enviado para o
seu dispositivo.
Estabeleça níveis de acessos aos dados e sistemas
Depois de adotar meios para a autenticação dos
usuários, a próxima etapa é garantir que eles tenham acesso somente aos dados e
ferramentas que precisam, de acordo com o cargo e funções que exercem. Isso
pode ser feito determinando limitações para cada login e senha especificamente.
Esse controle de acessos determina quais usuários estão autorizados a
visualizar, modificar, adicionar e remover informações do banco de dados.
Use ferramentas de criptografia de dados e senhas
Muitas vezes, uma organização precisa
transmitir informações pela Internet ou transportá-las por meios externos
(offline), usando dispositivos como um CD ou um HD removível. Nesses casos,
mesmo com uma política de autenticação e controle de acessos eficientes, é
possível que uma pessoa não autorizada tenha acesso aos dados.
A criptografia é um processo de codificação que
atua permitindo o acesso somente aos indivíduos devidamente autorizados. Esse
processo é realizado por um programa que converte conteúdos (textos, imagens e
vídeos) em uma linguagem de caracteres variados e ilegíveis, mascarando o
conteúdo original. Somente quem tem a senha consegue decodificá-lo
(descriptografia).
Quando a empresa usa infraestruturas de nuvem,
esse recurso é disponibilizado pelo provedor de cloud computing. Nesse caso, o acesso legítimo e a
decodificação dos dados só acontecem após a confirmação do login e senha
correta na plataforma de serviços.
Automatize a realização de backups
Outro método essencial para a segurança da
informação nas empresas é a execução de um plano de backups abrangente. Não
apenas os dados dos servidores corporativos devem ser copiados, mas também os
códigos-fonte dos sistemas, configurações de rede e qualquer outra informação
usada como estratégia de negócio. Um bom plano de backup deve seguir alguns
passos. Veja-os a seguir!
- Os responsáveis devem ter uma compreensão ampla dos ativos de TI: quais informações a organização realmente possui? Onde são armazenadas? Alguns dados podem ser armazenados nos servidores da empresa, outros nos discos rígidos dos usuários e outros na nuvem. Por isso, é preciso fazer um inventário completo dos ativos e determinar quais precisam de backup, bem como a melhor maneira de realizá-los;
- Os backups devem ser regulares: a frequência dos backups deve se basear na importância dos dados, combinada com a capacidade que a empresa tem de recuperá-los em casos de perda. Os dados mais críticos devem ser copiados a cada hora, enquanto os dados menos críticos podem ser copiados uma vez por dia;
- O armazenamento dos backups deve ser feito em locais diferentes: se os backups forem armazenados no mesmo local que as cópias originais, um único evento, como inundação ou incêndio, poderá destruir qualquer possibilidade de recuperação. Por isso, é essencial que parte do plano de backup seja armazenar os dados em locais diferentes externamente;
- A recuperação deve ser testada: em uma base regular, as ações de restauração de dados e sistemas devem ser testadas para garantir que tudo funcione como o previsto quando realmente precisar.
- Executar um programa de backups por conta própria pode ser difícil e sujeito a falhas se não tiver conhecimentos e experiências. Nesse caso, a melhor solução é contar com um serviço de cloud para empresa. Um provedor de nuvem pode entregar soluções de cloud backup, o que permite automatizar o processo e torná-lo mais seguro.
Configure firewalls
O firewall é outro método que as organizações
podem usar para aumentar a segurança da rede, protegendo os dados e sistemas.
Geralmente, ele é fornecido junto com o sistema operacional, mas pode ser
implementado como hardware ou software separadamente. O segredo é a forma como
você os configura.
Se você fizer do jeito certo, o firewall
protegerá todos os servidores e computadores da empresa, impedindo que todos os
arquivos e pacotes de atualizações suspeitos não penetrem na rede. Ou seja, se
os arquivos não atenderem a um conjunto estrito de critérios escolhidos por
você, o firewall restringirá o fluxo de dados que entra e sai da empresa.
Controle o acesso móvel
À medida que o uso de dispositivos móveis, como
smartphones e tablets, aumenta nas empresas, elas precisam se preparar para
lidar com os riscos envolvidos. Uma das primeiras perguntas que os diretores
devem fazer é se permitirão dispositivos móveis no local de trabalho.
Muitos colaboradores já usam seus próprios
dispositivos para trabalhar. Então, a questão é: você deve permitir que eles
continuem usando ou deve impedir, fornecendo os dispositivos necessários para
ter maior controle? Se preferir a primeira opção, pode economizar muito com o
investimento em equipamentos próprios e elevar a motivação dos profissionais.
Mas terá que adotar uma política de BYOD (Bring Your Own Device).
Essa estratégia permite que somente os
dispositivos cadastrados sejam autorizados a acessarem a rede e usarem os dados
e sistemas da empresa. Na maioria dos casos, pode ser praticamente impossível
impedir que as pessoas usem seus próprios aparelhos no local de trabalho,
tornando o BYOD uma escolha mais inteligente.
Então, o que pode ser feito para impedir que
esses dispositivos móveis atuem como porta de entrada para hackers, vírus e
malwares? A política de BYOD pode incluir as seguintes práticas:
Implementar um software de geolocalização para ajudar a encontrar um dispositivo perdido ou roubado;
Utilizar um software de remoção completa dos dados e senhas em casos de perdas e roubos;
Adotar um sistema de envio de alertas para os casos de perda ou roubo dos dispositivos;
Configurar parâmetros de conexão automática com o Wi-Fi da empresa;
Bloquear a instalação de aplicativos não autorizados;
Usar técnicas de VPN (Virtual Private Network);
Configurar os acessos por meio de Bluetooth;
Usar ferramentas de criptografia;
Restringir o uso de câmeras;
Barrar a gravação de áudio;
Criar logins e senhas fortes.
Conte com o apoio de um profissional especializado
Deixamos o mais importante para o final. Mesmo
que você tenha uma infraestrutura e equipe de TI próprias, pode não ter todos
os recursos e especializações necessárias para implementar uma segurança da
informação realmente eficiente. Por isso, recomendamos a contratação de um
provedor de cloud broker.
Você terá profissionais sempre atualizados e
preparados para ajudar a realizar a correta integração de sistemas, agregando um funcionamento
harmonioso e mais fácil de ser monitorado. Afinal, uma política de segurança
que use a metodologia lean no processo, torna as ações de
detecção de falhas e ameaças mais rápidas e, muitas vezes, antecipadas. Isso só
uma equipe altamente especializada pode fazer.
Como as tecnologias de computação e rede se
tornaram recursos importantes nos processos de negócios, passaram a sofrer
ataques constantes dos cibercriminosos. Isso não deve impedir o uso das
tecnologias, mas exige que as organizações fiquem mais atentas quanto ao uso e
proteção dos ativos de TI.
Tags
segurança da informação Gestão segurança de TIConfidencialidadeempresas riscos ameaçasestratégiaCompartilhe
Equipe Gaea Consulting
Empresa com mais de 10 anos de experiência em TI. Oferece consultoria especializada em automação de processos para otimizar e automatizar o ciclo de desenvolvimento e transformar a área de Tecnologia da Informação das companhias.