7 dicas para adequar sua empresa à LGPD

A LGPD vem sendo tema de grande discussão atualmente. Muito se fala sobre o que está envolvido, porém os assuntos são dispersos e o resultado desse conjunto de informações é que as pessoas acabam ficando confusas sobre o que realmente deve ser feito.

Se você tem dúvidas sobre esse tema, segue um conjunto de 7 dicas que vão te fazer enxergar uma luz no fim do túnel.

Entendendo um pouco a lei

Obviamente que o assunto é extenso e requer análise profunda, mas de  forma geral a lei prevê os itens a seguir:

  1. Toda empresa precisa ter uma base legal para manter dados pessoais e a lei prevê 10 bases legais possíveis;
  2. Os dados que sua empresa possui devem se resumir ao mínimo necessário para que estejam adequados às bases definidas;
  3. Sua empresa terá de disponibilizar meios de comunicação para que os titulares dos dados (as pessoas físicas) possam consultar seus dados. Em alguns casos (conforme a base legal), sua empresa terá de fornecer mecanismos para que o titular possa solicitar a revogação do uso dos dados, da portabilidade e até a sua exclusão;
  4. Devem ser definidas medidas de segurança para que os dados sejam protegidos contra o uso indevido;
  5. Sua empresa deve ser capaz de demonstrar que está atendendo aos princípios estabelecidos.

Acompanhe n​​​​o próximo tópico como adequar sua empresa à Lei Geral de Proteção de Dados e manter a privacidade de dados corporativos.

Trilhando a jornada

Dado esse conjunto de requisitos que a lei demanda, percebe-se que o processo de implementação permeia toda a empresa e provavelmente deve endereçar mudanças em vários aspectos: você terá de trilhar uma verdadeira jornada para se tornar e depois se manter aderente.   

Mas com tantas mudanças, por onde começar?

Aqui vão 7 dicas para você implementar a LGPD na sua empresa e ter bons resultados em pouco tempo.

Dica 1: Processo incremental

Você não tem experiência nisso, então não pense que sua primeira ideia será a melhor. Faça o trabalho de forma incremental e interativa, passando por todas as fases necessárias. Isso vai fazer você aprender com o processo, trazer resultados rápidos e indicar para a empresa que está no caminho certo.

Dica 2: Crie um inventário dos seus sistemas e processos

É preciso descobrir onde, de fato, estão os dados pessoais na sua empresa. Em geral estão espalhados em sistemas e documentos diversos – você vai ter muitas surpresas ao fazer isso, mas vai encontrar inúmeras oportunidades de “jogar lixo fora”, aproveite!

Dica 3: Monte um time

Para que você possa seguir com o trabalho de levantamento de dados, será muito importante contar com as pessoas que mais entendem do assunto e estas estão espalhadas pela sua empresa. Você terá de escolher as pessoas fundamentais (de cada processo/sistema) para que elas te ajudem a montar esse inventário.

Dica 4: Recorra a parceiros quando necessário

Se você não conta com especialistas em LGPD, então vale a pena abreviar sua jornada contando com ajuda de pessoas que fazem isso com maestria. Faça uma aliança com um parceiro que possa lhe ajudar nesse assunto, isso mantém o seu foco no que você mais conhece: o seu negócio.

Dica 5: Monte planos de ação

Com ajuda dos parceiros e do time, monte planos de implementação indicando o que será alterado, como, até quando e quem será o responsável. Ao final de cada plano, é preciso deixar claro qual item passará a estar em compliance com a lei.

ALERTA: se você está montando um plano e o resultado dele não ajuda no compliance, então é possível que o esforço seja para outro fim, que não a adequação à LGPD.

Dica 6: Monitore sua operação

Após a implementação dos planos, continue monitorando sua organização para garantir que o resultado possa ser mantido ao longo do tempo. No trabalho de monitoração, você vai gerar novas adequações.

Dica 7: Escolha uma ferramenta

Como gerenciar tudo isso ao mesmo tempo? Essa tarefa pode ser feita com várias ferramentas caseiras (que podem lhe gerar mais dor de cabeça!) ou você pode usar uma plataforma que foi feita exclusivamente para isso: a OneTrust!

Se você quer acertar de primeira, então experimente a ferramenta, faça um piloto e veja como um sistema de privacidade vai definitivamente ser peça central em todo o processo. Veja mais sobre a jornada de implementação e sobre o OneTrust no artigo “A Jornada LGPD”.

É possível implementar a LGPD e o caminho mais ou menos longo para isso está ligado a como sua empresa vai escolher trilhar essa jornada. Siga as 7 dicas para implementação e entre em contato com a Compugraf. Vai ser um grande prazer lhe ajudar nessa transformação.

LGPD é com a Compugraf
Tel: (11) 3323.3200
Email: lgpd@compugraf.com.br

Read more
No Comments

A Compugraf e a Privacidade de Dados

A Compugraf é uma integradora com foco em segurança da informação no mercado há mais de 35 anos e uma das suas maiores preocupações é sempre estar a frente das novas tendências do mercado podendo ofertar aos seus clientes a mais alta tecnologia amparada pelos maiores e melhores fabricantes do mercado.

Com o avanço tecnológico dos últimos anos, o uso desenfreado das informações pessoais e os inúmeros eventos de vazamento de dados, fizeram com que a União Europeia criasse a GDPR – General Data Protection Regulation que está em vigor desde maio de 2018.

No cenário brasileiro ainda não havia sido criado uma norma especifica para proteção de dados. O titular dos dados podia se apoiar nas legislações já existentes, como Código de Defesa do Consumidor, Código Civil e Lei do Marco Civil da Internet.

Nesse sentido, em 2018 foi promulgada e sancionada no Brasil a versão tropicalizada da GDPR, a LGPD – Lei Geral de Proteção de Dados – que entrará em vigor em agosto de 2020.

Os três pilares da LGPD

A referida Lei Geral de Proteção de Dados (LGPD) é pautada basicamente em três pilares:

  1. Jurídico/Documentos
  2. Ferramentas
  3. Processos/Pessoas

Para que os clientes possam estar aderentes à LGPD, a Compugraf apresenta sua parceria com a empresa americana OneTrust: um produto (como o nome já diz), que vai proporcionar uma implementação segura e consistente.

A OneTrust é uma plataforma que visa proporcionar um SaaS de privacidade de dados. Por meio da utilização desta ferramenta será possível gerenciar todo o processo de adequação à lei, bem como monitorar continuamente a aderência aos requisitos.

O papel da Compugraf nesse contexto é agregar valor à plataforma, gerando conteúdo adequado ao Brasil e assessorando todo processo de implantação.

Como a lei não é uma simples questão de implantação de uma ferramenta, mas sim de grandes mudanças em seus processos, documentos, cultura e sistemas, as empresas terão de mudar sua forma de pensar, colocando a privacidade como um elemento a ser discutido desde a concepção de seus produtos e serviços. Ou seja, um novo tipo de comportamento terá de ser adotado para estar aderente à lei.

Portanto, estar em conformidade com a LGPD será um desafio no qual cada empresa deverá passar por um processo de reengenharia e para tal terá de reunir suas principais áreas (Jurídico, TI, RH, Marketing, Segurança da Informação, dentre outras), além de contar com parceiros e ferramentas que lhe apoiem devidamente nessa jornada.

A Compugraf apoia a Lei Geral de Proteção de Dados e entende que os dados pessoais são um ativo econômico valioso, por essa razão passou a representar a OneTrust no Brasil, oferecendo um pacote de produtos e serviços para que as empresas possam atender a LGPD.

Pensando em tudo isso é que a Compugraf traz ao mercado uma solução com conteúdo e assessoria adequados a cada cliente. Converse com nossos especialistas, eles ajudarão sua empresa a estar em total conformidade com a LGPD, garantindo a segurança da informação em seu ambiente.

LGPD é com a Compugraf
Tel: (11) 3323.3200
Email: lgpd@compugraf.com.br

Read more
No Comments

A Jornada LGPD

A LGPD, Lei Geral de Proteção de Dados, entrará vigor em agosto de 2020.  Esta lei representa o mais significativo marco em termos de conquista de direitos de privacidade do cidadão brasileiro.

Fortemente baseada na legislação europeia, a GDPR em vigor desde maio de 2018, a LGPD representa uma quebra de paradigma em diversos aspectos, contemplando em seus capítulos e artigos desde a definição de forma inequívoca dos direitos da pessoa titular dos dados, do conceito de Privacy by design, das responsabilidades do controlador e operador dos dados até a criação da figura do encarregado pelos dados, sendo esta a pessoa (ou entidade jurídica) responsável por prestar contas junto aos órgãos de fiscalização.

A LGPD está baseada num tripé que se ampara em Jurídico/Documentos, Ferramentas e Processos/Pessoas.

A Jornada para implementação da LGPD

A implementação da LGPD nas organizações pressupõe uma campanha de adequações que contempla praticamente todos os aspectos corporativos, a saber:

  • Processos
  • Sistemas
  • Documentos
  • Cultura
  • Modelo de Negócios

Essa jornada requer um planejamento de forma a ser um processo racional e estruturado, otimizando o uso dos recursos humanos, materiais e sistêmicos da organização.

A definição dos Patrocinadores do projeto dentro da corporação e o estabelecimento de uma equipe multidisciplinar focada na implementação são condições essenciais e inaugurais para o sucesso desta jornada.

A Compugraf propõe uma jornada para aderência à lei baseada em um framework sustentado pela solução de Gerenciamento de Privacidade da OneTrust na qual consideramos 5 principais etapas: Avaliação, Desenho, Implementação, Operação e Monitoração.

Cada uma das etapas no framework contempla entregáveis bem definidos que, em linhas gerais, são explicadas a seguir.

1. Avaliação

O objetivo principal desta etapa é obter o “Gap” de ajustes, ou seja, o que precisa ser alterado, criado ou retirado dos processos/sistemas/documentos para estar em compliance com a lei.

As principais atividades dessa etapa são:

  • Pré-avaliação para definição do nível de maturidade em relação à norma
  • Treinamento dos multiplicadores dentro da organização
  • Definição dos itens de inventário de dados pessoais
    • Levantamento e detalhamento dos Ativos
    • Levantamento e detalhamento dos Processos de Negócios
    • Levantamento dos Sistemas e Terceiros
    • Levantamento dos riscos
    • Criação de Questionários e Avaliações
  • Análise de gap – Obtida com a conclusão do levantamento dos itens de inventário

2. Desenho

Essa fase tem por objetivo elaborar um plano (contendo: “o que”, “como”, “quem” e “quando”) para endereçar o GAP definido na etapa anterior. Neste plano, deve conter:

  • Mudanças necessárias em Processos
  • Mudanças necessárias em Sistemas
  • Adequações Legais e de Governança
  • Treinamentos requeridos

3. Implementação

Nessa etapa o objetivo é colocar o plano em prática. As principais atividades são:

  • Configuração de todo o inventário através do módulo de Registro de Tratamento de Dados (Data Mapping) com as informações coletadas na etapa de Desenho
  • Configuração do módulo de Direitos do Titular
  • Configuração dos módulos de Consentimento
  • Configuração do módulo de Resposta a Incidentes
  • Configuração do módulo de Gestão dos Riscos dos Fornecedores
  • Implementação das Integrações necessárias
  • Realização de treinamentos
  • Estabelecimento de políticas

4. Operação e Monitoração

A partir da etapa de operação, o incremento disponibilizado tem por objetivo trazer conformidade à lei, porém para manter aderência é preciso colocar em prática processos de monitoração constantes, a fim de obter evidências de que esses incrementos disponibilizados continuam em compliance com a lei.

5. Processo Iterativo

Ao invés de considerar um modelo Waterfall (Cascata), a Compugraf recomenda o modelo iterativo, permitindo que o resultado do trabalho possa ser percebido em pouco tempo por meio de entregas constantes e aprendizado (retroalimentação). A aderência à lei é obtida gradativamente.

Solução de Privacidade da OneTrust

A solução de Gerenciamento de Privacidade da OneTrust foi criada especificamente para atender normas de privacidade em todo o mundo. É uma plataforma na qual todas as fases da jornada à privacidade (desde avaliação até monitoração) são controladas e implementadas de forma consistente, gerenciando inclusive o acesso de parceiros que estejam apoiando o processo.

Esta solução chega com elevado grau de maturidade, uma vez que vem sendo utilizada por grandes empresas ao redor do mundo para implementação da GDPR na Europa, da CCPA na Califórnia e agora da LGPD no Brasil. É, portanto, considerada uma ferramenta referência no assunto.

Conforme o último relatório da Forrester, a solução OneTrust se destaca isoladamente como líder em Privacy Management Software.

Apresenta uma plataforma totalmente modular e configurável atendendo a todos os aspectos das legislações pertinentes. Os módulos são:

  • Automatização de Avaliações
  • Maturidade & Benchmarking
  • Registro do Tratamento dos Dados
  • Gestão de Consentimento de Cookies
  • Consentimento
  • Pedidos do Titular de Dados
  • Resposta ao Incidente
  • Gestão de Risco dos Fornecedores

Pelo exposto, depreende-se que a implementação irá permear praticamente todos os setores da organização, entretanto, com especial atenção àqueles que em algum aspecto tratam dados pessoais, tais como:

  • Tecnologia da Informação
    • Infraestrutura
    • Segurança
    • Governança
    • Privacidade
    • Sistemas Internos e Terceiros
  • Recursos Humanos
  • Marketing
  • Jurídico
  • Comercial e Vendas
  • Operações

Portanto como mostrado, a aderência à esta lei implica numa jornada que reúne aspectos processuais, ferramentais e adequado suporte jurídico. Enquanto de um lado há o risco inerente às penalidades devido a uma não conformidade, por outro lado, o aspecto positivo que toda corporação pode obter como produto dessa implementação é a fidelidade dos clientes, a transparência e governança associados à marca, melhores práticas de segurança e o uso mais efetivo dos dados permeando toda a corporação.

O tempo está correndo e sua empresa precisa se adequar às normas da LGPD o quanto antes, evitando prejuízos financeiros e de imagem. Fale com os especialistas da Compugraf e conheça a melhor solução para que sua política de segurança de dados fique totalmente regularizada.

LGPD é com a Compugraf
Tel: (11) 3323.3200
Email: lgpd@compugraf.com.br

 

Read more
No Comments

SaaS, PaaS e IaaS: formas de serviço em nuvem e o cuidado com a segurança digital

As estratégias em torno da infraestrutura e da operação dentro das empresas se modificou completamente com a incorporação das tecnologias digitais.

Essa transformação contínua, que envolve a digitalização ou virtualização dos negócios, é baseada, entre outros aspectos, na cloud computing – ou serviço em nuvemDe acordo com pesquisa do Gartner, o mercado de soluções cloud deve crescer em dobro, quando comparado àquele que não considera a nuvem.

Neste texto vamos falar sobre SaaS, PaaS e IaaS, as formas de serviço em nuvem, e a inerente preocupação com a segurança da informação nos ambientes cloud.

Cloud computing e suas aplicações

Quem pensa que a cloud computing é mais uma moda, está muito enganado. Previsões da consultoria IDC apontam que os investimentos globais em serviço em nuvem devem apresentar alta de 240% entre 2015 e 2020.

A aposta em cloud tem modificado, inclusive, a entrega das soluções. Com as novas possibilidades de serviço em nuvem, é possível atender os clientes oferecendo não apenas uma nova infraestrutura, mas também a possibilidade de lidar com aplicações e plataformas hospedadas na web – sempre levando em conta a segurança digital.

Vejamos algumas das principais formas de aplicação da cloud.

1. SaaS (Software as a Service)

Esse serviço em nuvem consiste na disponibilização de softwares e soluções ligadas à tecnologia através da internet. Basicamente, com esse modelo sua empresa não precisa se preocupar em operar e manter hardwares ou softwares.

A estrutura física dá lugar ao online. Normalmente, os aplicativos SaaS rodam no servidor das empresas provedoras, que têm como responsabilidade gerenciar toda a solução, garantindo a segurança dos dados e a conectividade.

Um dos principais benefícios do serviço em nuvem SaaS é que, ao aderir, você não arca com encargos regulares de manutenção, taxas e custos de licença. Uma vez que tudo está instalado, é possível começar a utilizar o recurso rapidamente no dia a dia da empresa.

2. PaaS (Platform as a Service)

A tecnologia PaaS, outro serviço em nuvem, permite executar aplicativos de modo tão rápido quanto um navegador da internet. É um modelo de cloud que disponibiliza plataformas de desenvolvimento de aplicação por meio da internet.

Trata-se de uma variação utilizada comumente por profissionais de TI que auxilia muito nas tarefas de desenvolvimento web. Soluções baseadas em PaaS são relativamente simples e contam com os recursos mais recentes em termos de ferramenta. Uma forma menos complexa de serviço em nuvem, inclusive, para executar a estrutura de aplicativos.

Em vez de construir uma infraestrutura própria, desde servidores locais até bancos de dados, a empresa elimina essas despesas e se concentra em investir em uma solução online, hospedada na web, e com todas as funcionalidades disponíveis.

3. IaaS (Infrastructure as a Service)

IaaS é a terceira modalidade de serviço em nuvem disponível no mercado. Infraestrutura como Serviço pressupõe maior autonomia e liberdade, uma vez que o cliente pode elaborar suas próprias plataformas voltadas ao setor de TI.

Com o uso de IaaS, torna-se possível criar soluções facilmente escaláveis no setor de TI, com os custos reduzidos e redirecionados para o provedor de serviços em nuvem. Aqui é o provedor quem está responsável por tarefas de manutenção.

A segurança da informação na “Era Cloud”

O Relatório de Ameaças à Segurança na Internet que analisa a segurança digital em 157 países, apontou o Brasil como o sétimo país vítima de mais ataques digitais em todo o planeta.

Entre serviço em nuvem, apps e criptomoedas, as ameaças crescem na mesma velocidade que as inovações. E vale lembrar que vazamentos de dados não causam prejuízos apenas aos ativos da empresa, como também à reputação perante o mercado. Por isso, os cuidados com a segurança digital devem ser prioridade a toda organização.

Por mais automatizada e preparada, todo tipo de serviço em nuvem ainda está suscetível a falhas na segurança digital. As maiores ameaças ao ambiente em nuvem podem acontecer por ataques hackers, uso de colaboradores mal-intencionados – que podem vazar dados -, logins compartilhados em mais de um dispositivo e falhas no servidor.

Ao mesmo tempo que supõe certo dinamismo e flexibilidade no compartilhamento de arquivos, e na própria lógica de trabalho dentro da empresa, a cloud, com essa mesma flexibilidade, pode abrir brechas para ataques em virtude das múltiplas conexões em diferentes dispositivos – celular, tablet, notebook, computador – ou seja, é preciso de preparar para que o ambiente tenha a devida segurança digital!

Todo serviço em nuvem exige uma estratégia de segurança apurada, já que as ameaças virtuais podem ter diferentes origens. Os cuidados com a segurança digital são fundamentais ao sucesso de qualquer empresa que lida com a manipulação de dados e ativos em bancos online.

O Dome9, da Check Point, é um novo produto oferecido pela Compugraf que visa proteger o ambiente de aplicativo ou nuvem em execução junto aos principais provedores de serviços em nuvem, como AWS e Google Cloud.

É usado por empresas em nuvens públicas para garantir a segurança digital, preservando aplicativos e dados que residem na nuvem. Também é aplicável a serviços nativos de plataforma e serviços de armazenamento em nuvem.

Veja alguns benefícios do Dome9:

  • Monitoramento contínuo e automático protege os aplicativos;
  • Visibilidade e controle para gerenciar o ambiente em cloud de forma prática;
  • Sistema automatizado que trabalha de forma alinhada às operações DevOps.

Fale com os especialistas da Compugraf  para conhecer todas as facilidades oferecidas pelo Dome9, a mais completa solução em segurança digital para serviço em nuvem. Sua empresa precisa estar devidamente protegida de ameaças para usufruir de todos os benefícios oferecidos pela cloud computing.

 

Read more
No Comments

O desafio de manter a segurança da informação diante de ataques em nuvem

Ataques digitais ocorrem diariamente, afetando empresas em todo o mundo – inclusive no Brasil, um dos países mais visados pelo cibercrime.

Com o uso da computação em nuvem esse cenário se tornou ainda mais ameaçador, porque ela passou a ser essencial para a rotina organizacional. Por outro lado, aumentou a necessidade de maior controle da segurança da informação em função do aumento de ataques em nuvem.

Dessa forma, lidar com as ameaças virtuais, especialmente quando a computação em nuvem passou a ser tão usada e essencial, é fundamental para evitar prejuízos financeiros, vazamentos de informações e manter a empresa em compliance com normas de segurança.

Neste artigo vamos mostrar que é possível ter a segurança da informação ideal, protegendo  as empresas dos terríveis ataques em nuvem. Acompanhe a leitura!

A nuvem e a segurança da informação

A computação em nuvem proporcionou uma forma mais fácil das empresas armazenarem e compartilharem dados na rede. Contudo, tal flexibilidade e facilidade limitou os olhares de parte dos gestores para as ameaças virtuais e a necessária segurança da informação voltada a proteger a organização de ataques em nuvem.

Não só na migração para a computação em nuvem, como na manutenção e gestão dos dados, riscos de vazamento e ataques cibernéticos ainda existem.

A multiconexão da nuvem, através de diferentes dispositivos, também pode ser um facilitador para a ação de hackers e cibercriminosos. Acessar a nuvem a partir de dispositivos móveis, por exemplo, pode ser um facilitador na ocorrência de ataques digitais.

No entanto, ao mesmo tempo que existem riscos, a nuvem pode ser um ambiente seguro para os ativos. Para isso, é fundamental ter alguns cuidados para proteger o ambiente de ataques em nuvem, evitando invasões ou vazamentos.

A seguir relacionamos algumas providências para ter maior segurança da informação no ambiente em cloud.

1. Cuidado com acessos

Como já falamos acima, a flexibilidade e multiconexão inerente à computação em nuvem é um grande benefício. Mas atenção ao realizar acessos em diferentes dispositivos. Certifique-se que as informações de acesso não foram salvas nem registradas em dispositivos que não são pessoais.

Crie senhas fortes e não se esqueça de mudar os acessos sempre que um turnover de funcionários na equipe coloque em risco o vazamento de algum dado.

2. Crie uma cultura da segurança

Cuidar da segurança da informação é também questão de mindset. Investir em informação e conscientização dos colaboradores em torno da segurança da informação é a melhor medida para evitar problemas e brechas internas.

Cursos sobre segurança e a criação de acervos de conteúdo sobre boas práticas de navegação, por exemplo, podem ser medidas para inibir práticas prejudiciais à segurança da informação dentro da empresa.

3. Rotina de Backup

Para prever qualquer incidente, sempre tenha um, dois ou até mais backups de seus arquivos. Atualizados constantemente evita que informações se percam e, caso algum problema aconteça, o pronto restabelecimento dos dados e sistemas pode salvar a produção da empresa até segunda ordem.

4. Ter uma solução específica contra ataques em nuvem

Não podemos nos iludir: os cibercriminosos são engenhosos e estão sempre se reinventando, exigindo das organizações cuidados específicos em segurança da informação.

Quando o assunto é computação em nuvem, é essencial que a solução adotada seja adaptável às maiores e mais importantes nuvens públicas (AWS, Microsoft Azure e Google Cloud Platform).

E esse é um dos benefícios oferecido pelo Dome9, da Check Point, uma solução inovadora que pode operar no modo read only manage. No primeiro, o contratante só tem direito de monitorar o ambiente e receber alertas. Já no segundo, é possível gerenciar os ambientes em nuvem a partir de uma única interface.

Solução comercializada pela Compugraf, o Dome9 oferece a possibilidade da empresa decidir suas regras de conformidade, protegendo aplicações e serviços em nuvem. Funciona em um sistema de continuos compliance, executando a checagem e monitoramento de segurança de hora em hora, e é 100% baseado em API’s, apresentando facilidade para se conectar às API’s nativas dos provedores.

Com Dome9 ficou fácil e seguro integrar sua cloud de forma simples e rápida. Consulte um dos especialistas para saber mais detalhes sobre essa solução que pode ajudar você a garantir a segurança da informação e proteger seu ambiente de ataques em nuvem!

Read more
No Comments

Como o Dome9, Plataforma de Segurança em Nuvem, gerencia tráfego de rede e analisa atividade dos usuários

 

CloudGuard Dome9 é um serviço inovador que permite às empresas gerenciar facilmente a segurança e a conformidade de seus ambientes de nuvem pública em qualquer escala entre Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP).

CloudGuard Dome9 oferece tecnologias para visualizar e avaliar a postura de segurança, detectar configurações incorretas, modelar e impor ativamente políticas padrão de excelência, proteger contra ataques e ameaças internas, inteligência de segurança da nuvem para detecção de intrusão na nuvem e manter conformidade com requisitos regulatórios e melhores práticas.

As empresas usam CloudGuard Dome9 para operações de segurança da nuvem mais rápidas e eficazes, conformidade e governança simplificadas e práticas de DevOps Robustas.

Confira a seguir as principais características do Dome9 e saiba o que ela pode fazer pela segurança de seu ambiente em nuvem.

Cloudguard Dome9 conta com recursos de produtos entre quatro áreas funcionais

Completo, Dome9 conta com recursos que envolvem operações de segurança, proteção de identidade, conformidade e detecção de intrusão.

1. Operações de Segurança
Visualize ativos, avalie postura de segurança, corrija configurações incorretas e ameaças, gerencie o firewall da nuvem e reforce a segurança a partir de uma única fonte de autoridade da rede.

2. Proteção de Identidade Privilegiada
Proteja-se contra credenciais comprometidas e identifique roubos usando os recursos de IAM nativos da nuvem para salvaguardar o acesso às ações que podem ter grandes impactos.

3. Conformidade e Governança
Gerencie o ciclo de vida da conformidade às normas, como PCI DSS, desde agregação e avaliação de dados automatizada até correções e relatórios.

4. Inteligência da Segurança da Nuvem
CloudGuard Dome9 Magellan é uma tecnologia de inteligência de segurança nativa da nuvem que entrega detecção de intrusões, visualização dos ativos em cloud.

Principais recursos do Dome9

O Dome9 é uma solução inovadora e que disponibiliza muitos recursos. Saiba mais.

Clarity
Poderosa visualização dos ativos de nuvem, incluindo topologia da rede e firewalls.

CloudBots
Soluções de autocorreção para AWS que aceleram a resolução de configurações incorretas perigosas e impõe conformidade.

Magellan
Inteligência de segurança que combina informações de inventário na nuvem e configurações com dados de monitoramento em tempo real a partir de uma variedade de recursos.

Proteção contra adulterações
Monitoramento contínuo e reversão de automação de modificações não autorizadas.

Proteção de identidade privilegiada
Elevação de privilégio Just-In-Time com autorização fora de banda para ações de IAM.

Mecanismo de Conformidade
Gestão de conformidade contínua, incluindo conformidade contínua automatizada para auxiliar na avaliação e impor requisitos regulatórios e melhores práticas de segurança.

Diferenciais do Dome9

Dome9 se destaca de outras soluções de segurança em nuvem porque possui vários diferenciais, que a tornam mais completa e eficaz. Confira.

  • Permite microsegmentação em ambiente de nuvem pública usando os controles de segurança nativos fornecidos pelos serviços de nuvem pública;
  • Oferece gerenciamento de ciclo de vida da segurança de ponta a ponta entre contas, regiões e nuvens;
  • Permite às empresas monitorar e detectar falhas de segurança, corrigi-las e permanecer com foco na aplicação contínua.

Dome9 oferece muitos benefícios

Sendo tão completo, Dome9 disponibiliza muitas vantagens.

Arquitetura de Nuvem Nativa sem Agentes para a Nuvem Atual

O serviço CloudGuard Dome9 usa os controles de segurança nativos fornecidos pelas nuvens públicas para proteger todos os recursos da nuvem, incluindo serviços integrados, como AWS RDS, instâncias de mecanismo de computação GCP e Azure LBs, atendendo às necessidades das nuvens públicas atuais cujas soluções baseadas em agentes não podem tratar.

CloudGuard Dome9 possibilita a proteção de múltiplos ambientes de nuvem, combinando automação de políticas agnósticas da nuvem com recursos de segurança nativos da nuvem. É possível especificar políticas de uma só vez em múltiplas nuvens e o sistema utiliza os controles de nuvem subjacentes para implementar a política em cada nuvem.

Tempo para Valorização Mais Rápido com CloudGuard Dome9

Sem nenhum software para instalar e nenhum agente para gerenciar, é possível proteger seu ambiente com o CloudGuard Dome9 em menos de cinco minutos. Nunca haverá preocupação com atualizações de software e problemas de escala. CloudGuard Dome9 se integra às contas do AWS, alavancando inovadoras políticas de confiança entre contas para reunir informações de segurança, em vez de compartilhar chaves e credenciais.

Correção no Local — Localize, Corrija e Mantenha o Foco

CloudGuard Dome9 não é apenas uma solução de monitoramento. Além dos poderosos recursos de que permitem revisar a postura de segurança em tempo real para descobrir quaisquer vulnerabilidades, cargas de trabalho comprometidas, portas abertas ou configurações incorretas, CloudGuar Dome9 também permite aos administradores executar as ações necessárias para rapidamente mitigar riscos com correções a partir de uma única plataforma.

Não há mais necessidade de uma multiplicidade de ferramentas para monitoramento, correção ou imposição, trazendo agilidade ao ciclo de vida de conformidade e segurança.

Quer conhecer todos os recursos do Dome9? Solicite aqui uma demonstração

Sobre a Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. é uma provedora líder de soluções de segurança cibernética para governos e empresas corporativas globalmente. Suas soluções protegem clientes contra ataques cibernéticos com uma taxa de captura de malware, ransomware e outros tipos de ameaças. A Check Point oferece uma arquitetura de segurança multinível que defende nuvens, redes e dispositivos móveis empresariais que armazenam informações, incluindo o mais abrangente e intuitivo sistema de gerenciamento de segurança de um ponto de controle. A Check Point protege mais de 100.000 organizações de todos os portes.

Sobre a Compugraf

Presente no mercado desde 1982, a Compugraf tem o objetivo de fornecer continuamente produtos e serviços voltados para a segurança da informação para os mais diversos segmentos, sempre em conformidade com as melhores práticas e padrões internacionais. Tudo isso é pensado para proporcionar sempre os melhores resultados para seus clientes.

Para isso, conta com parceiros reconhecidos mundialmente, como Check Point.

Se você busca segurança digital para seu ambiente em nuvem, entre em contato com a Compugraf e solicite uma demonstração da mais completa solução em segurança para cloud: o Dome9!

Read more
No Comments

Por que o varejo atrai cibercriminosos – e como se proteger?

A popularização dos dispositivos móveis e da IoT vem aumentando a vulnerabilidade do varejo por conta das brechas que estes dispositivos oferecem e, também, pelo volume e pelo tipo de informações – muito visadas pelos cibercriminosos – que o setor varejista manipula diariamente em suas operações.

Vale lembrar que os ataques cibernéticos no setor de varejo são duplamente prejudiciais, já que atingem dois grupos de vítimas: os clientes (cujos dados são hackeados) e os próprios varejistas.

É evidente que qualquer estratégia eficaz para combater o cibercrime deve ser ágil e deve envolver também uma forte cooperação entre empresas, especialistas do setor de segurança da informação e as autoridades.

Mas existem uma série de questões envolvidas nesse processo. Esse artigo vai ajudar a entender porque o varejo atrai tantos cibercriminosos – e o que é preciso fazer para manter empresas e clientes protegidos.

Como os cibercriminosos atacam o varejo?

Apenas nos últimos anos, o setor de varejo foi o principal alvo de inúmeros ataques cibernéticos – tanto no ponto de venda físico quanto nos e-commerces.

Os sistemas de ponto de venda (POS) têm sido particularmente vulneráveis, com leitores de cartão de crédito e débito sendo alvo de ataques para roubo de informações financeiras confidenciais. O varejo atrai cibercriminosos porque eles estão justamente procurando dados que podem facilmente gerar lucros – e, infelizmente, encontraram uma mina de ouro nos dados de cartão de crédito.

Um estudo do 2018 Security Report, da Check Point, apontou que mais de 90% do tráfego de login de varejistas online na verdade vem de hackers que usam dados de login roubados. Só em 2018, mais de 1,4 bilhão de senhas foram hackeadas, vazadas e descartadas em um documento online que distribuía as informações para os hackers reutilizarem.

Nesse caso, os hackers usam um método de ataque para violar um sistema e obter acesso a credenciais de usuário – que depois são usadas para violar outros sistemas online.

Os varejistas são cada vez mais vítimas de ransomware – ataque que sequestra informações e exige um resgate para liberá-las -, parando as operações de varejo e a geração de receita em suas operações.

Além do impacto imediato na receita e no lucro (pagamentos a autores de ransomware não são baratos e, mesmo com o envio do valor exigido, não é possível garantir o recebimento dos dados), um ataque de ransomware pode ter um efeito altamente negativo e de longo prazo na percepção dos clientes sobre os varejistas como negócios seguros para compras. Isso por si só pode ser fatal para pequenos e médios varejistas. Entenda melhor essa questão no tópico a seguir.

Impactos dos ataques cibernéticos nos varejistas

O desafio que os varejistas enfrentam não se limita só aos danos financeiros. Violações de dados de alto nível, como as enfrentadas pelos grandes varejistas Target e Netshoes, mostraram que os danos à reputação que podem ser causados ​​quando os criminosos cibernéticos são bem-sucedidos.

Já sabemos que o varejo atrai cibercriminosos. Um vazamento de dados – e a forma como a empresa lida com isso junto ao público e aos clientes afetados – pode ser particularmente catastrófico para a marca.

Em tempos onde a construção de relacionamento entre cliente e marcas é cada vez mais valorizada e multiplicada em diversos canais de atuação (como as redes sociais, onde as pessoas dividem suas impressões e experiências com a empresa), qualquer quebra de confiança pode se transformar em um prejuízo de milhões.

Aspectos legais de ciberataques no varejo

Promulgada no Brasil, em agosto de 2018, a  Lei nº 13.709 tem como premissa resguardar a segurança dos dados dos usuários e determinar a utilização destas informações por parte das empresas – não só na internet, mas em todos os seus canais de relacionamento.

Como o varejo atrai cibercriminosos, as empresas do setor devem redobrar sua atenção e suas políticas de proteção da segurança da informação para evitar penalidades além daquelas já causadas pelo ataque em si.

Essa lei possui também uma política de multas e advertências nos casos em que os dados sejam coletados ou utilizados de forma indevida. As multas podem variar entre 2% do valor do faturamento total da instituição e R$ 50 milhões!

As empresas têm 18 meses para se adequarem às novas normas, já que a lei passa a vigorar em caráter definitivo a partir do início de 2020 – mas o ideal é já se preparar para as mudanças.

O varejo atrai cibercriminosos – como se proteger?

Os varejistas precisam adotar soluções tecnológicas cada vez mais sofisticadas para se manterem seguros e continuarem competitivos.

Há uma série de práticas e ferramentas que podem ajudar os varejistas a construir um sistema de defesa mais forte. A maior demanda é a implementação de soluções que forneçam visibilidade em tempo real do que está acontecendo em sua rede para identificar e atenuar uma invasão antes que ela se torne uma violação.

As empresas também devem avaliar fornecedores terceirizados e parceiros de negócios que possam oferecer soluções eficazes em monitoramento e mitigação proativos de riscos cibernéticos.

Esperamos que este artigo tenha lhe ajudado a entender porque o varejo atrai cibercriminosos – e como as empresas podem se proteger. Acompanhe nosso blog para saber mais sobre segurança da informação e muito mais.

Read more
No Comments

Dispositivos móveis e os riscos para a segurança da informação no varejo

Segundo os especialistas, até 2025, cerca de 60% dos consumidores usará o seu smartphone – e não a sua carteira – para pagar suas compras nos pontos de venda do varejo. São números que mostram a profunda necessidade de se preparar para garantir a segurança da informação no varejo.

Os dispositivos móveis estão rapidamente se tornando a principal maneira pela qual as pessoas acessam produtos e serviços online. Toda essa movimentação atrai a atenção de hackers – obrigando as organizações a se anteciparem à uma eminente enxurrada de ataques cibernéticos.

Se você quer entender melhor o cenário atual da segurança da informação no varejo, este artigo é o lugar certo para isso. Siga na leitura e descubra como o setor do varejo deve agir no cenário atual.

Desafios da segurança da informação no varejo

Não importa em qual setor de varejo sua organização opere, você certamente está incorporando iniciativas em torno do uso de dispositivos móveis.

Os varejistas de alimentos e bebidas usam dispositivos de ponto de serviço conectados a smartphones e tablets – ou apps como o iFood. As lojas de roupas e artigos para casa monitoram seus estoques usando aplicativos móveis.

Pesquisas mostram que os varejistas vão investir cada vez mais no uso da nuvem, big data, Internet das Coisas (IoT) e containers nos próximos anos.

O uso desses recursos amplia as oportunidades de estabelecer relações no atendimento ao cliente, mas também traz riscos inerentes, como:

  • 50% dos varejistas já sofreram uma violação de dados;
  • 84% planejaram aumentar os gastos em segurança de TI;
  • 85% dos profissionais de segurança de TI de varejo afirmaram que sua organização usava armazenamento em nuvem para dados confidenciais.

Em resumo, os varejistas estão adicionando proteções de segurança cibernética e enfrentando menos violações de dados.

Em outras palavras, as tendências de segurança cibernética no varejo comprovam que o setor está trabalhando para encontrar as soluções de proteção digital que promovem a confiança do cliente.

Mas é importante ressaltar que os funcionários representam um dos maiores riscos de segurança em um ambiente de varejo. Ainda que os usuários finais também representem uma grande ameaça à segurança da informação no varejo, más condutas dos colaboradores são algumas das mais letais portas de entrada para ataques cibernéticos.

Por isso é importante investir não só em uma rede segura, criada por especialistas em segurança da informação, mas também estabelecer uma rotina de treinamentos dos funcionários e políticas que promovam boas práticas no ambiente digital.

Como garantir a segurança da informação no varejo

O Wi-Fi se tornou uma ferramenta importante de varejo nos últimos anos. Muitas organizações usam o Wi-Fi para conectar dispositivos de Ponto de Venda (PDV) e funcionários na loja, enquanto outras oferecem Wi-Fi gratuito para aumentar o tempo de permanência dos clientes no local.

Infelizmente, o Wi-Fi também é um alvo muito atraente para criminosos cibernéticos. Sem o nível de segurança adequado, um hacker pode acessar uma rede e monitorar o tráfego de dados, interromper transações e até mesmo lançar um ataque que afete os sistemas PDV, impedindo as transações de um dia de normal.

Um hacker também pode configurar um hotspot Wi-Fi falso no local, enganando a equipe e os clientes para que registrem e coletem dados pessoais, incluindo identidades e senhas.

Proteja a rede Wi-Fi – e o conforto dos clientes

Para seguir mantendo o serviço – que tem se tornado cada vez mais essencial para as empresas de varejo, as empresas precisam tomar alguns cuidados:

  • Vá além de senhas simples: a autenticação multifator, como tokens e notificações push enviadas para telefones celulares, é significativamente mais segura do que o acesso tradicional por senha a redes Wi-Fi;
  • Divida e proteja sua rede: dificulte a movimentação de hackers se eles violarem sua rede Wi-Fi;
  • Use o monitoramento automático: busque fornecedores com expertise em segurança da informação no varejo e implemente softwares que possam monitorar automaticamente uma rede e procurar por atividades suspeitas ou fluxos de dados estranhos.

O que os varejistas podem fazer para ajudar a se preparar para um ataque?

Adotar um programa de defesa cibernética ativa, envolvendo especialistas de segurança da informação no varejo e implementando medidas de proteção para fortalecer seus sistemas contra ataques é um primeiro passo fundamental.

Promover um treinamento direcionado aos funcionários, reduzir a complexidade dos sistemas de TI e investir em análises regulares e contínuas de segurança também são medidas preventivas fundamentais.

Se o pior acontecer e ocorrer um ataque, alguns passos simples podem ajudar a limitar seu impacto:

  • Envolva especialistas em segurança o mais rápido possível;
  • Altere as senhas para contas que tenham direitos de administração ou acesso a informações confidenciais;
  • Puxe o plug-in dos PCs afetados, quando o ataque assumir a forma de ransomware – isso ajuda a controlar a disseminação da violação de dados;
  • Obtenha amparo legal sobre os requisitos de notificação e envolva o suporte de Relações Públicas para gerenciar qualquer problema de mídia;
  • Por fim, em caso de violação de dados, seja transparente e tome as medidas necessárias para preservar a confiança do cliente.

Se você deseja se aprofundar e obter mais informações sobre segurança da informação no varejo, baixe nosso material exclusivo sobre o tema – clique aqui.

Read more
No Comments

Tecnologia na Educação: conciliando a troca de ideias e a segurança da informação

Tecnologia na Educação: conciliando a troca de ideias e a segurança da informação

A tecnologia já está transformando a maneira como ensinamos e aprendemos. Salas de aula digitais, colaborações online globais e aprendizado personalizado são apenas o começo. Aliado a isso, é preciso pensar também na segurança da informação em estabelecimentos de ensino.

Pois da mesma forma que a transformação digital está expandindo os horizontes das salas de aulas e ampliando o apoio pedagógico para os educadores, ela também abre espaço para ataques cibernéticos que ameaçam a segurança de dados essenciais às instituições educacionais.

Mas isso não deve ser impeditivo para a implantação dos recursos tecnológicos de ensino, já que o mercado  possui soluções e softwares que ajudam a garantir uma infraestrutura de TI eficaz e a segurança da informação em estabelecimentos de ensino.

Continue a leitura e saiba mais sobre o tema!

Vantagens de aplicar a tecnologia no ensino

Os avanços tecnológicos no setor da educação têm causado bastante impacto na sala de aula e na experiência de aprendizado como um todo.

Listamos abaixo algumas das mudanças positivas na forma como os alunos estão aprendendo graças à chegada da tecnologia.

Experiência de aprendizagem mais interativa e dinâmica

Os livros impressos agora dividem espaço com computadores e tablets – mais dinâmicos, dialogam melhor com as novas gerações.

Além disso, um dispositivo digital conectado ao wi-fi não limita mais o aprendizado do aluno à determinada localização. A tecnologia permite que os alunos se conectem, colaborem e criem globalmente, permitindo vivenciar o que estão aprendendo.

Alunos em igualdade de condições

As plataformas virtuais de aprendizado ampliam o acesso à educação – especialmente quando consideramos os cursos de ensino à distância (EAD).

Um dispositivo digital nas mãos de um aluno, conectado à internet, eleva as suas oportunidades de aprendizado e aprimoramento pessoal, nivelando melhor as chances de sucesso entre todos.

Abordagem individualizada

As escolas que adotam as plataformas de ensino e recursos tecnológicos pedagógicos também estão mudando a maneira como alunos e professores interagem durante a jornada de aprendizado.

Isso está quebrando o padrão antigo, onde todas as crianças da mesma idade aprendiam da mesma maneira com o mesmo professor. É possível pensar em abordagens personalizadas, que ajudem cada aluno a explorar suas potencialidades.

Melhora as taxas de retenção e graduação

Incorporar a tecnologia ao ensino permite que os professores personalizem a aprendizagem para seus alunos, gerando taxas de aproveitamento mais altas do que aqueles que não usam, segundo especialistas da educação.

Conexão mais efetiva entre educadores e alunos

As plataformas de ensino permitem aos professores acompanharem o que os alunos estão fazendo em tempo real e interagirem com eles de maneira mais eficaz.

Isso os tornará mais receptivos às necessidades dos alunos e lhes dará mais recursos na sala de aula.

Maior participação dos pais no processo de aprendizado

A tecnologia permite que os pais possam se envolver mais efetivamente, através da verificação das notas dos alunos, grade curricular e atividades diárias em aplicativos e plataformas da instituição de ensino.

Também permite aos responsáveis participarem mais e ajudar nos estudos de maneira mais interativa.

Tecnologia X segurança da informação em estabelecimentos de ensino

Devido à idade e os interesses da maioria dos usuários de redes educacionais, essas redes tendem a incorporar tecnologias e estratégias de ponta.

Ao mesmo tempo, esses alunos também tendem a forçar as restrições da rede, procurando soluções alternativas para acessar dados e aplicativos que os administradores de TI podem ter restringido.

Esse tipo de comportamento aumenta os riscos de ciberataques à estrutura de TI das instituições de ensino – expondo dados de segurança.

Um exemplo deste tipo de ação aqui no Brasil foi o ataque de ransomware sofrido pelo Centro Universitário Uninovafapi, de Teresina (PI), que expôs cerca de 30 mil dados pessoais de alunos e professores.

Isso pode ocorrer devido a uma série de fatores, como:

  • Ataques maliciosos externos e internos de segurança cibernética;
  • Engenharia social e ataques de phishing;
  • Acessos desprotegidos através de dispositivos móveis;
  • Entre outros.

Para evitar qualquer impacto negativo à segurança da informação em estabelecimentos de ensino é preciso ter alguns cuidados – veja os principais no próximo tópico.

Como garantir a segurança da informação em estabelecimentos de ensino

Como foi possível ver, a tecnologia traz diversos benefícios para a qualidade do aprendizado dos alunos. Mas é preciso preparar-se com soluções de segurança para prevenir e combater efetivamente a exposição aos riscos.

Um bom primeiro passo para garantir a segurança da informação em estabelecimentos de ensino é adicionar um plano de contenção a ataques cibernéticos, permitindo definir adequadamente os riscos.

É preciso também comunicar e instalar soluções de segurança cibernética em todos os departamentos.

Mas uma das etapas mais importantes neste processo é realizar treinamentos eficazes e constantes entre os funcionários. Eles precisam ter conhecimento sobre as ameaças e saber identificar, relatar e agir de acordo com elas.

É preciso dividir essas lições com os alunos e demais usuários das redes educacionais, criando apresentações educacionais e compartilhando-as com os educandos durante a orientação para ensinar sobre importantes riscos de segurança. Uma base sólida de procedimentos de segurança cibernética e um corpo docente e discente bem informado são as melhores ferramentas para mitigar as violações nos sistemas escolares.

Para conhecer as melhores ferramentas e práticas na hora de garantir a segurança da informação em estabelecimentos de ensino, fale com os especialistas Compugraf.

Read more
No Comments

Como proteger seus colaboradores de ataques de phishing

Como proteger seus colaboradores de ataques de phishing

Como proteger seus colaboradores de ataques de Phishing

Os ataques de phishing são uma das maiores ameaças à segurança da informação de empresas em todo o mundo.

Mas esta preocupação é ainda maior no Brasil, líder do ranking de países latino-americanos que mais sofrem ataques de phishing.

O País ainda é o terceiro em ataques cibernéticos na América Latina (64,4%) – com a Venezuela (70,4%) e a Bolívia (66,3%) ocupando primeiro e segundo lugares, respectivamente.

Os ataques de phishing ou de engenharia social estão se tornando mais frequentes e sofisticados. Quanto mais difíceis de localizar, maiores serão as chances de ver um de seus funcionários correndo o risco de revelar informações confidenciais – como uma senha ou informações bancárias.

Entenda melhor esta ameaça e veja algumas dicas a seguir que vão ajudar a proteger sua empresa e seus colaboradores de ataques de phishing, garantindo assim a segurança da informação.

Por que os ataques de phishing são tão efetivos?

A maioria dos e-mails de phishing hoje estão muito sofisticados, se comparados àquelas já conhecidas mensagens de spam óbvias.  Um exemplo bem clássico é a mensagem que pede ao usuário para atualizar os dados bancários para evitar que a conta seja desativada.

Agora estes criminosos aproveitam o volume de informações disponíveis na internet, nos sites da empresa e nas redes sociais dos usuários para criar ataques personalizados e altamente verossímeis.

Mas é importante ressaltar que os colaboradores de uma empresa não podem ser exclusivamente responsabilizados por ataques de phishing bem-sucedidos.

De acordo com uma pesquisa recente, realizada com profissionais de TI que tiveram que lidar com ataques de phishing bem-sucedidos, as soluções tradicionais de segurança nas quais a maioria das organizações confia também estão tendo dificuldades em garantir a segurança da informação:

  • 90% dos ataques de phishing bem-sucedidos ultrapassaram o antivírus e a filtragem de e-mails da vítima;
  • 83% ignoraram o(s) firewall(s) da vítima;
  • 55% foram bem-sucedidos, mesmo quando a vítima realizou algum tipo de treinamento sobre conscientização de segurança da informação.

Os ataques de phishing estão, claramente, capitalizando uma grande lacuna na segurança – e sua empresa precisa proteger-se o mais rápido e da forma mais eficaz possível.

O ideal é investir em uma solução que forneça uma camada adicional de proteção, baseada em comportamento, em tempo real. Os especialistas da Compugraf podem oferecer um suporte eficaz nesta questão.

Além da tecnologia, é preciso também abordar o problema do ponto de vista de gestão de pessoal. Como, por exemplo, em casos de ataques de phishing sob a forma de solicitações urgentes de um dos executivos de alto escalão de sua empresa. É difícil culpar usuários não treinados por serem enganados com ações deste tipo.

Descubra como resolver este tipo de problema no tópico a seguir.

Como preparar os funcionários para evitar ataques de phishing?

A melhor maneira de evitar um ataque por malware é garantir em primeiro lugar que ele não seja acionado. Para isso, sua empresa precisa treinar o olhar de seus colaboradores sobre seu nível de vulnerabilidade – e como eles devem proceder, de forma ativa, a respeito.

Listamos abaixo três dicas que vão fornecer aos seus funcionários algumas ferramentas e os conhecimentos necessários para se protegerem melhor – assim como a segurança da informação em sua empresa.

1) Exemplos reais de phishing

Pode parecer complicado pedir que seus colaboradores fiquem atento aos ataques de phishing se eles não souberem exatamente o que é e suas implicações para os negócios.

Promova treinamentos e divulgue informações sobre como os e-mails de phishing realmente se parecem, compartilhando exemplos da vida real e apontando os pontos de atenção.

Dessa forma é possível não só explicar táticas de phishing de uma maneira muito mais didática, fornecendo recursos visuais, mas também ajudar os usuários a reconhecerem as táticas em situações reais.

Um exemplo a ser citado é o da FACC, fabricante americana de peças de avião, que sofreu um prejuízo de mais de US$ 56 milhões. Um de seus diretores, Waltar Staphan, foi vítima de um ataque de phishing por e-mail e fez uma transferência secreta de US$ 56,79 milhões, supostamente em nome do presidente.

A empresa conseguiu recuperar apenas 1/5 do valor – mas a maior parte se perdeu em contas da Eslováquia e da Ásia, assim como o emprego do Waltar.

2) Testes ocultos

Muitas pessoas aprendem melhor através de experiências reais. Converse com a equipe de TI sobre a possibilidade de simular um ataque de phishing e testar como seus colaboradores reagem.

Só tenha cuidado com a forma de conduzir este teste: se os colaboradores se sentirem parte de uma “pegadinha”, isso pode afetar o engajamento e a motivação deles junto à empresa.

A mensagem neste tipo de ação não está em mostrar o que cada um fez de errado, mas sim nas melhorias que podem ser promovidas para proteger a segurança da informação na empresa.

3) Programa de recompensas contra e-mails suspeitos

Agora que os exemplos foram mostrados – e eles saberão reconhecer ataques de phishing – é importante também passar instruções claras sobre os procedimentos a serem realizados nestas situações.

É importante fornecer um procedimento (algo como: não clique em nenhum link ou faça o download de anexos, apenas encaminhe o e-mail para a TI e exclua-o da caixa de entrada).

Mas experimente complementar esta ação com algum tipo de recompensa sempre que reportarem ataques de phishing corretamente.

Os prêmios podem ser simples, como uma mensagem do CEO compartilhando o feito com para todo o time ou um convite para almoçar com o CEO em agradecimento.

Isso pode incentivar ainda mais a atenção necessária por parte de seus colaboradores e aumentar a barreira de proteção à sua empresa.

Procurando mais dicas para proteger sua empresa de ataques de phishing e colocar a segurança no radar da sua empresa? Acompanhe as publicações de nosso blog.

Read more
No Comments