04 de abril de 2019

Atualmente, fica difícil imaginar que uma empresa possa competir em um mercado tão dinâmico sem estar plenamente adaptada às possibilidades que a tecnologia oferece. No entanto, via de regra, não existe uma cartilha definida para aderir a esse movimento de transformação digital – ainda que a segurança da informação seja ponto comum entre todas as organizações.

A consolidação de novas ferramentas tecnológicas trouxe reflexos em diferentes âmbitos da nossa vida. Dentro da esfera corporativa, a tecnologia provoca grande mudança na rotina e nos processos das organizações, o que afeta não só a gestão dos setores da empresa como também o domínio e a segurança da informação que é compartilhada.

Independentemente do tamanho ou do ramo de atividade em que atua, a adoção de soluções tecnológicas é essencial, mas exige um programa específico. Afinal, cada empresa tem suas características, exigindo um projeto de segurança da informação personalizado, adequado às necessidades e à capacidade de investimento,  para obter os melhores resultados.

Um programa de segurança da informação efetivo consiste em um conjunto abrangente de políticas e procedimentos, base para qualquer programa de proteção de dados.

A preocupação com a segurança da informação deve fazer parte da agenda de todo gestor

A empresa Robert Half, atuante no setor de recolação profissional, realizou uma pesquisa com 100 CIOs brasileiros e concluiu que os maiores receios desses executivos são: extorsão, fraudes e roubos de dados (73%), espionagem e ransomware (53%) e uso abusivo dos dados empresariais (52%).

Ao serem questionados sobre as ações que pretendem implantar para obter maior proteção contra ataques virtuais, 74% dos executivos querem introduzir recursos de autenticação e autorização para acesso à rede corporativa, 55% pretendem criar uma política de uso e proteção de informações e 53% se mostraram preocupados em ter proteção para dispositivos móveis.

Prosseguindo com as preocupações relativas à segurança da informação corporativa, 47% dos pesquisados mostraram interesse em treinamento dos colaboradores para utilização correta dos dispositivos pessoais, enquanto 25% afirmaram o desejo de proibir acesso aos dados corporativos através de dispositivos pessoais.

Os gestores que participaram do estudo demonstraram ter em mira profissionais com conhecimento em prevenção, identificação, controle e proteção de ameaças virtuais. Contudo, tal tarefa não é assim tão fácil, uma vez que 47% dos CIOs manifestaram dificuldade em encontrar candidatos com o perfil desejado e que possam fazer frente aos ataques, em constante evolução.

Para driblar essa constatação, é essencial pensar em treinamentos de colaboradores ou, ainda, a contratação de empresas que possuam soluções – e profissionais – de ponta para garantir a segurança da informação.

Nota-se que, com o avanço da tecnologia, a preocupação contra ataques cibernéticos saiu da agenda dos profissionais de TI para fazer parte da rotina de todos os gestores que reconhecem os grandes inconvenientes que invasões digitais podem acarretar aos negócios.

Planejando a segurança da informação

Computadores e outros dispositivos digitais são essenciais para as empresas, gerando benefícios inumeráveis, mas também abrindo as portas para ameaças virtuais.

Nesse contexto, é necessário criar proteção contra ataques, começando por um bom planejamento de segurança da informação que gire em torno dos objetivos descritos a seguir.

Confidencialidade

Deve garantir que apenas pessoas autorizadas tenham acesso às informações ou que sejam visualizadas e utilizadas somente com permissão dos responsáveis. E os acessos liberados devem ser monitorados e registrados para análises posteriores, se necessário.

É o caso de bancos que, pela lei, são obrigados a proteger os dados dos clientes e, em caso de vazamento, são responsabilizados pelos danos causados.

Disponibilidade

Significa que os dados podem ser acessados e modificados por qualquer pessoa autorizada, sempre que desejar ou precisar.

Os tempos modernos exigem essa possibilidade, uma vez que colaboradores executam suas funções dentro da empresa, em sua residência ou, ainda, acessam dados em ambientes externos em momento de reunião ou de uma viagem corporativa, por exemplo.

Autenticidade

Não basta restringir acesso apenas às pessoas autorizadas. Devem ser criados mecanismos para certificar-se de que ela é mesmo quem afirma ser. Um exemplo é o uso de token, que permite um rodízio de senhas enviadas ao celular da pessoa autorizada, sempre que ela solicitar permissão de acesso  às informações.

Existem outras formas de identificar as pessoas, como uso de ID (login) e senha; cartões de acesso; impressão digital ou globo ocular. Qual a solução ideal? Aquela que atende as necessidades da empresa, inclusive financeiramente.

Integridade

Toda informação disponível deve ser totalmente confiável, isto é, representar a verdade. Para isso, qualquer alteração deve ser documentada, aumentando o grau de confiabilidade e assegurando que apenas indivíduos devidamente autorizados poderão manipular e consultar os dados.

Vale lembrar que faz parte dessa integridade, seguir corretamente a legislação brasileira sobre o assunto.

Construindo um programa de segurança da informação eficiente

Construir um programa de segurança da informação significa projetar e implementar práticas de segurança que protejam processos críticos e ativos de TI e que possam amadurecer com o tempo. Esse programa ajudará a definir políticas e procedimentos para avaliar riscos, monitorar ameaças e mitigar ataques.

Ainda que cada empresa tenha suas próprias características, demandando um programa específico às suas necessidades, existem algumas regras básicas a serem observadas na busca pela segurança da informação eficiente. Vamos conhecê-las?

1. Ampla visão dos negócios

Uma estratégia de segurança digital eficaz precisa ter uma visão ampla sobre os ativos, falhas e oportunidades de melhoria de proteção. Isso porque ela impactará toda a empresa, necessitando estar alinhada com os objetivos de negócio e em conformidade com legislação vigente.

2. Ser proativo (e não “apagar incêndio”)

Esperar a violação ocorrer para buscar soluções não é uma atitude recomendável. Utilizar os dados disponíveis possibilita identificar riscos  iminentes e encontrar as melhores soluções de proteção.

A  gestão, avaliação e o monitoramento de riscos devem fazer parte de tarefas rotineiras, para que as estratégias de segurança possam evoluir continuamente.

3. A segurança como parte da cultura empresarial

A política de segurança da informação implantada deve ser seguida por todos, começando pela alta cúpula organizacional e chegando aos demais colaboradores.

Uma frase, de autor desconhecido, dá uma dimensão deste tópico ao afirmar que “a falta de vontade institucional é mais destrutiva do que qualquer outra tecnologia, pois qualquer sistema de segurança que ignore a natureza humana, falhará”.

É imprescindível que todas as pessoas tenham consciência dos perigos existentes no mundo virtual e que é dever de todos seguir a política de segurança da informação adotada pela instituição, visando a proteção de dados. Cabe à organização, obviamente, criar mecanismos para que todos conheçam as regras de proteção e se engajem em seu cumprimento – incluindo parceiros e outras pessoas que, de alguma forma, acessam os dados empresariais.

Empresas que levam a segurança da informação a sério, além de se preservar de ataques e prejuízos, passam maior confiança ajudando na construção de uma imagem positiva e de maior credibilidade.

Ataques de Phishing colocam em xeque a segurança da informação

O Brasil lidera o ranking dos países latino-americanos em ataques de Phishing, mensagens que parecem ser enviadas por organizações legítimas, como um banco ou agência governamental, mas que visam apenas efetuar um ataque virtual. De modo educado, os e-mails solicitam atualização, validação ou confirmação de dados pessoais como número de conta corrente ou documento.

Devido ao nível de sofisticação, os usuários caem na armadilha, colocando em risco suas informações e, também, abrindo caminho para que os cibercriminosos acessem dados da empresa – quando o colaborador sofre ataque de Phishing usando um equipamento do local de trabalho.

Um ataque desse tipo pode causar grandes prejuízos às empresas, e basta um alvo específico – como uma empresa de propriedade intelectual da Europa ou uma organização esportiva internacional – abrir um e-mail para contaminar todo o sistema. Por isso a melhor forma de evitar ataques é a prevenção, treinando os colaboradores para não serem alvo de crimes virtuais.

Algumas empresas oferecem até premiações para os colaboradores que, testados, não abram espaço para esse tipo de ataque.

A tecnologia em prol da segurança da informação

A construção de uma rede corporativa é uma ferramenta de trabalho valiosa quando ponderamos aspectos que tangem a segurança da informação. Além de impactar positivamente na integração da equipe de trabalho, revolucionando a forma com que a comunicação entre funcionários acontece, as redes sociais corporativas estimulam a produtividade e o engajamento da equipe ao aproximarem as pessoas envolvidas nos processos.

Essa horizontalidade, em termos de comunicação, representa um gerenciamento mais proativo por parte de todos os envolvidos no projeto. Nestes casos, a hierarquia e a divisão de responsabilidades se mantém, mas a gestão do negócio se torna, invariavelmente, mais participativa no aspecto da coletividade.

Por último, mas não menos importante, o uso de redes corporativas também pode reforçar a proteção da informação e do compartilhamento de dados, uma vez que elas fazem uso de sofisticados dispositivos de segurança. Sendo unificada e delimitada entre setores ou áreas da empresa, a plataforma cria um repositório de dados, que inclusive pode ser resguardado em nuvem, para garantir a total privacidade e segurança da informação.

Como garantir a segurança de dados com o uso cada vez maior de dispositivos móveis

Cada vez mais os dispositivos móveis têm sido utilizados como ferramentas para aumento da produtividade e lucratividade, mantendo a competitividade empresarial em um mercado mais e mais dinâmico.

Além disso, o novo cenário coloca colaboradores executando suas tarefas via home office, exigindo das organizações uma estrutura de rede que siga as políticas de segurança corporativa e minimize riscos, independentemente do acesso ser feito na empresa ou de local externo.

E já que toda máquina está sujeita a ataques, incluindo os dispositivos móveis – sejam os dos próprios empregados ou cedidos pela organização -, é preciso cuidado redobrado para proteção e privacidade dos dados corporativos, uma vez que o volume compartilhado e armazenado é muito grande.

Essa preocupação é tão grande que na comunidade europeia já existe uma lei (chamada GDPR) que determina o investimento em mecanismos de segurança como forma de prevenir eventuais ataques cibernéticos que levem prejuízo aos sistemas de informação das empresas. Uma das questões discutidas dessa nova lei, obriga as organizações a informarem, tanto o governo quanto a população, sobre o vazamento de dados.

Como podemos notar, à medida que há uma expansão das possibilidades de negócio dentro da empresa, ampliando o acesso à informação, o uso de dispositivos móveis pode tornar o sistema vulnerável.

Por essa razão, é fundamental cadastrar os equipamentos que terão liberdade de acessar o sistema da empresa e ter políticas claras sobre a utilização dos dispositivos.

Algumas práticas são recomendas para quem deseja minimizar problemas de ataques, entre elas:

  • Uso de software e geolocalização para ajudar a localizar dispositivo perdido ou roubado;
  • Ter um software que remova dados e senhas e que envie alerta em caso de perdas e roubos;
  • Configurar parâmetros de conexão automática com o Wi-Fi da empresa, garantindo uma conexão mais segura;
  • Ter regras claras para instalação de aplicativos;
  • Restringir uso de câmeras e gravação de áudio;
  • Ter logins e senhas fortes.

O que analisar antes de investir em soluções especializadas em segurança da informação?

Quando bem implementado, de acordo com as necessidades da empresa, o planejamento voltado à segurança da informação contribui para mitigar riscos e promover uma maior proteção.

A escolha das soluções especializadas para proteção de seus negócios devem considerar alguns aspectos, entre eles: se tem capacidade de integração com as soluções já existentes na organização; se oferece a possibilidade de adaptação aos fluxos de trabalho, ou seja, que tenha escalabilidade; quais medidas de segurança ela oferece no caso de ataques.

Uma solução que só notifica o problema é inferior àquela que detecta e oferece recursos para solucioná-lo rapidamente ou até uma solução preditiva.

A construção da solução deve ser feita com cuidado, para não permitir falhas em todo o sistema – e, em caso de ocorrência, poder detectar e eliminar a ameaça o mais rapidamente possível.

Deve-se prezar por um sistema que seja compatível com o perfil da empresa. Isso não só melhora o custo do investimento, mas também o torna mais escalável e dinâmico. Afinal, um sistema de proteção incompatível com as necessidades pode gerar dores de cabeça e eventuais prejuízos.

Segurança da informação: o papel das equipes de trabalho

Já foi abordado neste artigo que segurança da informação tem relação direta com a cultura da empresa. Diante de uma comunicação horizontal e transparente, com um repositório único de dados, garantir proteção aos dados empresarias passa a fazer parte das responsabilidades de toda equipe de trabalho.

O engajamento real dos funcionários, não só com as políticas de privacidade e conduta da empresa, mas também com o domínio da informação, é fundamental para garantir a segurança da informação dentro da empresa, evitando inconvenientes que possam comprometer o resultado e os objetivos planejados a longo prazo.

Já está claro que para minimizar os riscos e preservar os dados da sua organização, é necessário sinergia entre diferentes setores. Trata-se de uma combinação entre a perfeita aplicação da solução personalizada, o engajamento da equipe com o novo modelo e o suporte de uma empresa especializada para a realização de manutenções ou atualizações.

Segurança da Informação é um tema complexo e urgente, sendo que todas as empresas – independente de porte e segmento – estão sujeitas a sofrerem ataques cibernéticos.  Nesse sentido, a prevenção é mesmo o melhor caminho, por isso conte com o apoio do time de especialista da Compugraf e conheça nossos serviços!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?