Gestão 19/03/19 Proteja seu negócio, invista em segurança da informação

Conheça os princípios básicos e as práticas recomendas para ter um ambiente mais seguro na sua empresa 

À medida que os computadores e outros dispositivos digitais passaram a ser essenciais para as operações comerciais, também se tornaram cada vez mais alvos de ataques cibernéticos. Dessa forma, para que a empresa use um dispositivo, ela deve primeiro ter certeza de que o equipamento está seguro para a comunicação online. Isso faz da segurança da informação uma estratégia primordial para as empresas modernas.

A segurança de TI é um trabalho desafiador que exige atenção aos detalhes ao mesmo tempo em que exige uma conscientização de nível superior. No entanto, como muitas tarefas que parecem complexas à primeira vista, a segurança de TI pode ser dividida por etapas, simplificando o processo. Isso não quer dizer que as coisas ficarão mais fáceis, mas mantém os profissionais de TI mais preparados.

Por isso, separamos os princípios básicos da segurança da informação nas empresas e as práticas recomendadas que os profissionais de TI podem aplicar para manter seus dados e sistemas sempre seguros. Acompanhe!

1. O que é segurança da informação?

Segurança da informação é um conjunto de métodos adotados estrategicamente para gerenciar e prevenir os riscos de roubo, perdas e danos dos dados, sistemas, redes, servidores e dispositivos. O objetivo é detectar, documentar e, principalmente, combater as ameaças digitais e não digitais.

As ações de segurança da informação incluem o estabelecimento de um conjunto de procedimentos executados de forma sincronizada para proteger os ativos físicos e digitais ligados à informação, independentemente de como elas são formatadas, transmitidas (enviadas e recebidas), processadas ou armazenadas.

Ou seja, é a prática de impedir o acesso, uso, divulgação, interrupção, modificação, inspeção, gravação ou destruição de informações sem devida autorização. Tudo isso sem prejudicar a produtividade da organização.

Esse feito só é amplamente alcançado por meio de um processo de gerenciamento de riscos em várias etapas que identifica ativos, fontes de ameaças, vulnerabilidades, possíveis impactos e formas de controles, seguido pela avaliação da eficácia do plano de gerenciamento de riscos.

2. Quais são os princípios da segurança da informação?

Os programas para segurança da informação são constituídos em torno de alguns objetivos centrais. Também conhecidos como os pilares da segurança de TI, fazem a força na hora de planejar e implementar uma estratégia de proteção eficiente. Conheça agora um pouco mais sobre cada um deles.

Confidencialidade

A confidencialidade garante que as informações sigilosas sejam acessíveis somente por pessoal devidamente autorizado. Isso significa que as informações só poderão ser visualizadas e utilizadas com a permissão dos responsáveis. Por meio de IDs de usuário, senhas, controle de níveis de acesso e outros meios, o acesso exclusivo deve ser garantido.

Além proteger as informações, restringindo o acesso somente ao pessoal autorizado, os que forem liberados devem ser monitorados e ter todas as ações executadas e documentadas para análises posteriores, se isso for necessário. Como exemplo, podemos citar os bancos e outras instituições financeiras que, por lei, são obrigadas a proteger os dados pessoais dos clientes. Se houver algum tipo de vazamento, são responsabilizados pelos danos causados.

Integridade

A integridade impede a modificação não autorizada dos dados. Isso significa que quaisquer alterações realizadas nas informações, independentemente do nível de permissão que o usuário tiver, são rigorosamente rastreadas, monitoradas e documentadas.

Ela aumenta o nível de confiabilidade do banco de dados e informações da empresa, pois assegura que eles sejam editados somente por pessoas autorizadas, mantendo o estado original quando armazenados. Sistemas de criptografia de dados são amplamente adotados para se conseguir bons níveis de integridade.

Assim como uma pessoa com integridade significa que o que ela diz pode ser confiável para representar a verdade, a integridade da informação significa que ela realmente representa o significado demonstrado.

Disponibilidade

A disponibilidade significa que as informações podem ser acessadas e modificadas por qualquer pessoa autorizada por um dispositivo, rede e período de tempo apropriado. Dependendo do tipo de informação, o prazo apropriado pode significar coisas diferentes.

Por exemplo, um negociador de ações da bolsa de valores precisa de acesso instantâneo às informações para analisar e tomar decisões de compra, retenção ou venda de ativos financeiros. Já um profissional de vendas pode se contentar em esperar por um relatório de desempenho na manhã do dia seguinte.

Empresas como a Amazon dependem que seus servidores estejam no ar 24 horas por dia, 7 dias por semana e nos 365 dias do ano, pois o negócio funciona inteiramente na web. Uma falha que os deixem fora do ar por algumas horas pode representar grandes prejuízos financeiros. Outras empresas, que não dependem tanto de infraestruturas de TI na nuvem, podem não sofrer danos se seus dados e sistemas ficarem inacessíveis por alguns minutos de vez em quando.

De modo geral, a disponibilidade significa ter acesso aos dados e sistemas sempre que precisar ou desejar e somente a manutenção e atualização de hardwares (servidores e redes) é que garantirão isso. Migrar Data Center para a nuvem pode ser uma solução para a boa disponibilidade.

Autenticidade

Na autenticidade, o objetivo é descobrir se a pessoa que está solicitando permissão de acesso é realmente quem ela diz ser. Nesse caso, ferramentas para autenticação são usadas para garantir que a pessoa que acessa as informações sejam mesmo as que se dizem representar. Por exemplo: o token (rodízio de senhas) pode ser utilizado para enviar uma senha diferente para o celular da pessoa toda vez que ela solicitar permissão de acesso.

Além do acesso, é feito um registro sobre o que o usuário está enviando ou modificando. Dessa forma, a autenticidade atua gerando uma documentação sobre qualquer manipulação de dados no sistema.

Legalidade

O uso de dispositivos, tecnologias, metodologias e certos dados são regidos pela legislação brasileira. Isso torna essencial uma política de segurança mais rígida no negócio para evitar investigações, auditorias e até possíveis impedimentos operacionais.

A segurança da informação lida com o gerenciamento de riscos e qualquer coisa externa ou interna pode representar uma ameaça às informações. Por isso, para não ter problemas com a justiça, os dados mais sensíveis (sigilosos) devem ser armazenados em local livre de alterações ou transferências sem permissão, principalmente quando envolvem informações sobre pessoas físicas e outras empresas.

Por exemplo, uma mensagem pode ser modificada durante a transmissão por alguém que a intercepte antes de chegar ao destinatário, mas uma boa ferramenta de criptografia pode ajudar a neutralizar esse tipo de ameaça. As assinaturas digitais também podem contribuir para reforçar a segurança das informações, aprimorando os processos de autenticidade e induzindo os indivíduos a provar sua identidade antes que possam obter acesso aos dados arquivados.

Então, armados com esses princípios de alto nível, os especialistas em segurança de TI criaram as melhores práticas para ajudar as organizações a garantirem que suas informações permaneçam seguras.

3. Por que é importante adotar a segurança da informação nas empresas?

Os programas para segurança da informação podem trazer uma série de benefícios para as empresas.

Fornece uma visão holística dos ativos de TI, riscos e ameaças

Não importa o quão grande ou pequena seja a infraestrutura de TI da sua empresa, você precisa ter um plano para garantir a segurança de seus ativos. Esse plano é chamado de programa de segurança e é estruturado por profissionais de segurança da informação. Os processos de planejamento, teste e implementação farão com que os gestores tenham uma visão 360° sobre os ativos, riscos, falhas e oportunidades de melhoria da segurança.

Essa visão ampliada, consequentemente, permitirá a criação de uma estrutura com nível de segurança mais elevado, podendo projetar e simular situações antes que elas ocorram realmente. Além disso, deixará a empresa à frente do mercado, ficando por dentro de tudo o que for novidade em relação às ferramentas e procedimentos inovadores de segurança.

Garante a proteção dos ativos mais valiosos da empresa

Se a sua empresa possui um sistema legado e/ou um banco de dados bem estruturado e altamente utilizável, deve saber que estes encabeçam a lista de ativos mais valiosos que o negócio pode ter. Afinal, sem eles a empresa praticamente ficaria impossibilitada de operar. Já imaginou o quanto isso seria desastroso? Com uma boa política de segurança da informação nas empresas isso pode ser evitado.

Identifica e corrige falhas e vulnerabilidades

Se a sua empresa trabalha com desenvolvimento de softwares para uso próprio ou para fornecimento, a identificação de falhas e vulnerabilidades, bem como suas correções, são primordiais para gerar confiabilidade aos clientes e colaboradores. Com uma política de segurança da informação bem estruturada, ações de rastreamento e correções de bugs podem ser executadas de forma automática, aplicando varreduras por intermédio de aplicações apropriadas.

Gera credibilidade e melhora a imagem do negócio

Empresas que levam a segurança da informação a sério passam mais confiança aos clientes, colaboradores, fornecedores e sócios, construindo uma imagem de alta credibilidade. Acredite, isso vai ser muito bom para os negócios, pois muitos profissionais consideram essa preocupação um requisito importante para a escolha.

Eleva o valor de mercado da empresa

Junto com a imagem de uma empresa segura, a credibilidade que o negócio constrói também influencia no valor que ela tem no mercado. Seja o valor percebido, seja o valor real de compra e venda, ambos sobem atraindo novos investidores e aumentando o grau de felicidade dos atuais.

4. Quais são os métodos de implantação desta estratégia?

Existem muitas práticas recomendadas para a segurança da informação nas empresas e vamos apresentar as principais para você a partir de agora.

Nomeie os profissionais responsáveis

O ponto de partida é escolher profissionais capacitados e com experiências em segurança da informação para assumirem o posto de planejadores e coordenadores do projeto. São eles que vão estruturar o programa de segurança, bem como testar, implementar e monitorar o funcionamento dele.

Normalmente, esses profissionais são liderados por um diretor especialista em segurança da informação. Ele organizará os profissionais em grupos por tarefas distintas, conduzindo-os a um objetivo principal: o de proteger os ativos físicos e virtuais de TI.

Estabeleça uma política de segurança

Os procedimentos para a proteção das informações geralmente envolvem medidas de segurança física e digital para impedir que os dados e sistemas sejam acessados, utilizados, replicados ou destruídos sem autorização. Essas medidas devem incluir o gerenciamento de chaves de criptografia, sistemas de detecção para as invasões de rede e dispositivos, logins com senhas e conformidades regulatórias.

Além disso, uma auditoria de segurança pode ser conduzida internamente para avaliar a capacidade que a organização tem de manter sistemas e dados seguros contra um conjunto de critérios estabelecidos.

Use mecanismos de autenticação

• A maneira mais comum de identificar alguém é mediante sua aparência física, mas como identificamos um usuário virtual? A autenticação ajuda a realizar a identificação de alguém por meio de alguns fatores, tais como: algo que sabe, algo que tem ou algo que é. Entenda como isso funciona!
  

Algo que só o usuário sabe: a forma mais comum de autenticação hoje é o ID do usuário e a senha. Neste caso, a autenticação é feita confirmando algo que só o usuário conhece, como seu ID (login) e senha. Mas essa forma de autenticação pode ser fácil de ser corrompida e, às vezes, são necessários métodos complementares de autenticação;

• Algo que só o usuário tem: identificar alguém apenas por algo que ele tem, como uma chave ou um cartão de acesso (objetos físicos), também pode ser um problema, pois quando perdido ou roubado, a identidade do usuário pode ser facilmente revelada e utilizada por criminosos;

  Algo que só o usuário pode ser: por fim, identificar um usuário pelo que ele é, é muito mais difícil e caro, pois envolve a identificação por intermédio de recursos altamente tecnológicos. Aqui, o usuário é identificado de forma automática por meio da avaliação de suas características físicas, como impressões digitais e globo ocular.

A melhor solução é encontrar uma maneira de fazer a autenticação multifator, combinando dois ou mais dos fatores listados acima, tornando muito mais difícil a ação de alguém que se passe falsamente por outra pessoa.

Um exemplo disso seria o uso do token. Ele gerará um novo código a cada tentativa de acesso. Dessa forma, para efetuar o login em um recurso de informações usando o dispositivo, você combina algo que sabe (um PIN de quatro dígitos), com o código (token) gerado e enviado para o seu dispositivo.

Estabeleça níveis de acessos aos dados e sistemas

Depois de adotar meios para a autenticação dos usuários, a próxima etapa é garantir que eles tenham acesso somente aos dados e ferramentas que precisam, de acordo com o cargo e funções que exercem. Isso pode ser feito determinando limitações para cada login e senha especificamente. Esse controle de acessos determina quais usuários estão autorizados a visualizar, modificar, adicionar e remover informações do banco de dados.

Use ferramentas de criptografia de dados e senhas

Muitas vezes, uma organização precisa transmitir informações pela Internet ou transportá-las por meios externos (offline), usando dispositivos como um CD ou um HD removível. Nesses casos, mesmo com uma política de autenticação e controle de acessos eficientes, é possível que uma pessoa não autorizada tenha acesso aos dados.

A criptografia é um processo de codificação que atua permitindo o acesso somente aos indivíduos devidamente autorizados. Esse processo é realizado por um programa que converte conteúdos (textos, imagens e vídeos) em uma linguagem de caracteres variados e ilegíveis, mascarando o conteúdo original. Somente quem tem a senha consegue decodificá-lo (descriptografia).

Quando a empresa usa infraestruturas de nuvem, esse recurso é disponibilizado pelo provedor de cloud computing. Nesse caso, o acesso legítimo e a decodificação dos dados só acontecem após a confirmação do login e senha correta na plataforma de serviços.

Automatize a realização de backups

Outro método essencial para a segurança da informação nas empresas é a execução de um plano de backups abrangente. Não apenas os dados dos servidores corporativos devem ser copiados, mas também os códigos-fonte dos sistemas, configurações de rede e qualquer outra informação usada como estratégia de negócio. Um bom plano de backup deve seguir alguns passos. Veja-os a seguir!

• Os responsáveis devem ter uma compreensão ampla dos ativos de TI: quais informações a organização realmente possui? Onde são armazenadas? Alguns dados podem ser armazenados nos servidores da empresa, outros nos discos rígidos dos usuários e outros na nuvem. Por isso, é preciso fazer um inventário completo dos ativos e determinar quais precisam de backup, bem como a melhor maneira de realizá-los;

• Os backups devem ser regulares: a frequência dos backups deve se basear na importância dos dados, combinada com a capacidade que a empresa tem de recuperá-los em casos de perda. Os dados mais críticos devem ser copiados a cada hora, enquanto os dados menos críticos podem ser copiados uma vez por dia;

• O armazenamento dos backups deve ser feito em locais diferentes: se os backups forem armazenados no mesmo local que as cópias originais, um único evento, como inundação ou incêndio, poderá destruir qualquer possibilidade de recuperação. Por isso, é essencial que parte do plano de backup seja armazenar os dados em locais diferentes externamente;

• A recuperação deve ser testada: em uma base regular, as ações de restauração de dados e sistemas devem ser testadas para garantir que tudo funcione como o previsto quando realmente precisar.

• Executar um programa de backups por conta própria pode ser difícil e sujeito a falhas se não tiver conhecimentos e experiências. Nesse caso, a melhor solução é contar com um serviço de cloud para empresa. Um provedor de nuvem pode entregar soluções de cloud backup, o que permite automatizar o processo e torná-lo mais seguro.

Configure firewalls

O firewall é outro método que as organizações podem usar para aumentar a segurança da rede, protegendo os dados e sistemas. Geralmente, ele é fornecido junto com o sistema operacional, mas pode ser implementado como hardware ou software separadamente. O segredo é a forma como você os configura.

Se você fizer do jeito certo, o firewall protegerá todos os servidores e computadores da empresa, impedindo que todos os arquivos e pacotes de atualizações suspeitos não penetrem na rede. Ou seja, se os arquivos não atenderem a um conjunto estrito de critérios escolhidos por você, o firewall restringirá o fluxo de dados que entra e sai da empresa.

Controle o acesso móvel

À medida que o uso de dispositivos móveis, como smartphones e tablets, aumenta nas empresas, elas precisam se preparar para lidar com os riscos envolvidos. Uma das primeiras perguntas que os diretores devem fazer é se permitirão dispositivos móveis no local de trabalho.

Muitos colaboradores já usam seus próprios dispositivos para trabalhar. Então, a questão é: você deve permitir que eles continuem usando ou deve impedir, fornecendo os dispositivos necessários para ter maior controle? Se preferir a primeira opção, pode economizar muito com o investimento em equipamentos próprios e elevar a motivação dos profissionais. Mas terá que adotar uma política de BYOD (Bring Your Own Device).

Essa estratégia permite que somente os dispositivos cadastrados sejam autorizados a acessarem a rede e usarem os dados e sistemas da empresa. Na maioria dos casos, pode ser praticamente impossível impedir que as pessoas usem seus próprios aparelhos no local de trabalho, tornando o BYOD uma escolha mais inteligente.

Então, o que pode ser feito para impedir que esses dispositivos móveis atuem como porta de entrada para hackers, vírus e malwares? A política de BYOD pode incluir as seguintes práticas:

Implementar um software de geolocalização para ajudar a encontrar um dispositivo perdido ou roubado;

Utilizar um software de remoção completa dos dados e senhas em casos de perdas e roubos;

Adotar um sistema de envio de alertas para os casos de perda ou roubo dos dispositivos;

Configurar parâmetros de conexão automática com o Wi-Fi da empresa;

Bloquear a instalação de aplicativos não autorizados;

Usar técnicas de VPN (Virtual Private Network);

Configurar os acessos por meio de Bluetooth;

Usar ferramentas de criptografia;

Restringir o uso de câmeras;

Barrar a gravação de áudio;

Criar logins e senhas fortes.

Conte com o apoio de um profissional especializado

Deixamos o mais importante para o final. Mesmo que você tenha uma infraestrutura e equipe de TI próprias, pode não ter todos os recursos e especializações necessárias para implementar uma segurança da informação realmente eficiente. Por isso, recomendamos a contratação de um provedor de cloud broker.

Você terá profissionais sempre atualizados e preparados para ajudar a realizar a correta integração de sistemas, agregando um funcionamento harmonioso e mais fácil de ser monitorado. Afinal, uma política de segurança que use a metodologia lean no processo, torna as ações de detecção de falhas e ameaças mais rápidas e, muitas vezes, antecipadas. Isso só uma equipe altamente especializada pode fazer.

Como as tecnologias de computação e rede se tornaram recursos importantes nos processos de negócios, passaram a sofrer ataques constantes dos cibercriminosos. Isso não deve impedir o uso das tecnologias, mas exige que as organizações fiquem mais atentas quanto ao uso e proteção dos ativos de TI. 

Tags

segurança da informação Gestão segurança de TIConfidencialidadeempresas riscos ameaçasestratégia

Compartilhe