Nunca se falou tanto em segurança da informação como nos dias atuais. Isso porque, ao mesmo tempo em que a tecnologia se desenvolve, também cresce a chamada “indústria hacker”.
Para entender o tom preocupante desse assunto, basta ver que o número de companhias que já entenderam que a segurança deve ser tratada com seriedade ainda está aquém do ideal: de acordo com o Relatório de Riscos de Segurança de TI de 2016, desenvolvido pela empresa de softwares de segurança Kaspersky Lab, apenas 36% das pequenas companhias dão atenção ao tema.
A desinformação das equipes e o uso impróprio dos recursos de TI estão entre as principais causas que colocam a proteção virtual das organizações em risco. O estudo da Kaspersky ainda aponta que ações de funcionários estão entre os 3 principais desafios de segurança que aumentam a vulnerabilidade dos negócios.
Cerca de 61% das companhias que viveram incidentes de segurança cibernética ao longo de 2016 admitiram que comportamentos negligentes e falta de conhecimento dos seus colaboradores foram cruciais para os prejuízos registrados.
A estimativa da maior empresa de pesquisa em tecnologia da informação do mundo, a Gartner, é de que os investimentos em segurança de dados continuarão sendo equivocados ou mal projetados até 2020. Ou seja, há falta planejamento e estratégia nessa área, sobretudo entre os pequenos e médios empreendimentos.
Estamos, portanto, diante de um tema muito delicado e que merece uma atenção maior das organizações. E é justamente sobre isso que vamos refletir ao longo deste post. Você verá, a seguir, as principais orientações para que a sua empresa trabalhe para garantir a segurança da informação da forma correta.
Continue lendo para entender a importância de recursos como backup, computação em nuvem e outras ferramentas para que os esforços para garantir confiabilidade, integridade e disponibilidade dos dados corporativos sejam eficientes.
Entenda a importância da segurança da informação
Para começar, precisamos delimitar que, quando falamos em segurança da informação, estamos falando na protecção dos dados empresariais perante a ameaças — acidentais ou intencionais — cada vez mais frequentes de roubo, destruição ou modificação não autorizada.
Em outras palavras, nos referimos à preservação de informações de grande valor para que a operação continue sem sofrer interrupções, sem perda de segredos industriais e até sem danos a colaboradores, clientes e parceiros de negócio.
Basicamente, são 3 os atributos que conduzem a análise, o planejamento e a implementação de processos e ferramentas de segurança da informação em uma organização:
A confiabilidade
Por confiabilidade, precisamos entender a delimitação de acesso à informação apenas às pessoas autorizadas, ou seja, somente os colaboradores confiáveis podem acessar, processar e modificar os dados corporativos.
A integridade
A integridade é a garantia de que as informações manipuladas vão conservar todas as suas características originais (serão mantidas íntegras conforme foram criadas ou estabelecidas pelo proprietário).
A disponibilidade
Já a disponibilidade é, como próprio termo sugere, a certeza de que os dados se disponíveis para o seu uso legítimo.
Empresas que se preocupam com a segurança das suas informações têm menos prejuízos nesses 3 âmbitos e, assim, conseguem garantir que as suas operações não serão interrompidas ou que as suas estratégias não sofrerão impactos negativos que podem levar a prejuízos financeiros e perda de reputação no mercado.
Para demonstrar o quanto os riscos relacionados à segurança dos dados corporativos podem trazer problemas sérios, tomemos como exemplo um caso mundialmente conhecido.
O caso da Sony Pictures
Em 2014, o mundo todo foi surpreendido com uma série de escândalos envolvendo executivos e estrelas da indústria cinematográfica. No epicentro da crise, a maior empresa de entretenimento do mundo, a Sony Pictures, teve os seus bancos de dados invadidos por hackers. Uma série de e-mails, fotos e vídeos foram vazados, trazendo prejuízos à imagem da corporação e os seus empregados (entre eles grandes estrelas de Hollywood) e também ao faturamento.
Além da exposição de informações confidenciais, a Sony Pictures também sofreu com a indisponibilidade dos seus servidores, o que nos faz imaginar o tamanho do prejuízo financeiro.
Guardadas as devidas proporções, é possível imaginar o quanto os riscos relacionados à segurança da informação podem gerar estragos a empresas de todos os portes e atuando em todos os segmentos de mercado.
É importante lembrar que nenhuma empresa hoje funciona sem o mínimo de informatização, logo, todas estão sujeitas às vulnerabilidades tecnológicas. A IDC estima que as empresas da América Latina devem investir cerca de 274,2 bilhões de dólares em ferramentas e serviços ao longo de 2017.
Para se ter uma ideia da importância desse assunto, de acordo com o The Global State of Security, um estudo da empresa de auditoria e consultoria PwC, os gastos das empresas brasileiras com incidentes de segurança de dados chegaram a 1 milhão de dólares em 2016.
Cerca de 2,2% das companhias que responderam à pesquisa disseram que indisponibilidades dos serviços, aplicativos e redes fizeram com que as suas operações ficassem em média 5 dias inativas ao longo do ano.
Aprenda como manter a sua empresa protegida
Como vimos, a segurança da informação é uma preocupação constante nas organizações. Uma série de cuidados deve ser tomada para que uma empresa tenha as suas informações protegidas.
Aqui estão as principais iniciativas que devem ser tomadas para prevenir incidentes:
Criação de uma política bem fundamentada de segurança
Para início de conversa, a empresa deve criar uma política de segurança, ou seja, ter o assunto devidamente discutido com todos os seus colaboradores e documentar diretrizes com direitos e deveres dos funcionários, além de investir em ferramentas e práticas.
Todas as pessoas envolvidas na operação devem ter em mente o quanto os dados corporativos são importantes para o negócio e conhecer o que pode e o que não pode ser feito com eles.
Treinamento da equipe para lidar com a segurança dos dados
Uma das dicas mais importantes para que a política de segurança da informação funcione é: ela não deve ser impositiva. Os gestores do negócio devem engajar as pessoas no assunto, fazê-las entender o quanto o tema é importante e o quanto todos são prejudicados quando um incidente acontece.
De acordo com o Relatório Barômetro de Rede 2016, divulgado pela Dimension Data, 37% dos incidentes com dados que ocorrem no mundo são frutos de erros humanos ou de configuração. Ou seja, é importante treinar todos os profissionais que utilizam aplicações corporativas para que eles assumam o tema como importante para todos.
Controle de acesso às aplicações
O ambiente tecnológico da empresa não pode ser visto como a “casa da mãe Joana”. É preciso criar hierarquias e níveis de acesso às aplicações conforme as atribuições de cada profissional.
Em outras palavras, os sistemas e aplicativos utilizados para o dia a dia operacional devem ser acessados por meio de senhas, e cada profissional, dentro das suas atribuições, só pode utilizar as ferramentas que lhe competem. Isso evita que o acesso seja indiscriminado (o que geralmente facilita a ação de hackers).
Investimentos em ferramentas de proteção aos dados
Também é muito importante investir em ferramentas como antivírus, por exemplo. Essas soluções trabalham na blindagem das aplicações de uma maneira automatizada, retirando da equipe de TI a preocupação com fazer monitorias mais “manuais”.
Conforme o tamanho da operação, fica impossível monitorar todas as vulnerabilidades e acompanhar eventos de riscos.
Para entender a importância disso, basta olhar para os prejuízos causados por crimes cibernéticos e comparar o que dinheiro que é aplicado. Ferramentas de proteção de dados são investimentos, e não gastos.
Utilização de técnicas e metodologias de proteção aos dados
Da mesma forma, técnicas e práticas de segurança da informação são muito importantes. Entre elas, podemos destacar a criptografia (codificação de arquivos para que só possam ser lidos pelas pessoas autorizadas) e as auditorias periódicas (automatizadas e não automatizadas).
Atenção especial à rede de computadores e dispositivos
Todos os computadores, tablets, smartphones, enfim, todos os dispositivos utilizados na rede corporativa devem ser homologados junto à TI. Em cada um desses equipamentos devem ser instalados antivírus e outros mecanismos que facilitem a proteção e também o monitoramento.
E os usuários devem se comprometer a realizar as atualizações que não forem automatizadas, especialmente aqueles que vão a campo com os seus notebooks e smartphones, pois eles são os preferidos dos criminosos virtuais.
Restrição de mídias removíveis
Hoje, com o avanço da computação em nuvem, é cada vez menor a utilização de mídias removíveis, como CDs e pen drives. No entanto, ainda acontece.
É importante que o time de TI tenha controle sobre o que os colaboradores da empresa estão utilizando nos seus equipamentos ligados à rede corporativa, justamente para evitar que essas mídias aumentem os riscos e sejam portas de entrada para os hackers.
Conheça 4 formas inteligentes de manter os seus dados seguros
Além desses cuidados básicos, há também algumas formas mais avançadas de manter os dados da empresa seguros. É o que você verá nas dicas que seguem:
Backup: cópias automatizadas de documentos e arquivos
Uma das maiores preocupações das organizações hoje é com a perda de arquivos importantes. É aí que entra uma estratégia de backup, ou seja, ter cópias duplicadas das informações mais importantes guardadas para serem utilizadas quando houver algum incidente.
E os incidentes com arquivos podem ser inúmeros. Entre os mais comuns temos:
- falhas nos computadores e dispositivos móveis: documentos guardados nos equipamentos dos usuários podem se perder quando há uma pane neles;
- infecção de vírus: aplicações maliciosas podem corromper arquivos e computadores com vulnerabilidades ou por descuido dos usuários;
- falhas dos discos rígidos: discos rígidos têm uma vida finita e podem falhar de repente e sem aviso. A morte súbita de um disco rígido pode causar a dolorosa perda de meses ou anos de arquivos insubstituíveis, e isso pode ser catastrófico para o negócio;
- roubo de equipamentos: notebooks estão entre os itens mais roubados em aeroportos, por exemplo.
Um método mais seguro e eficaz de proteger arquivos é o backup on-line. Os arquivos armazenados virtualmente estão protegidos contra danos no computador, ou seja, se algo der errado com a máquina do usuário, ele ainda poderá ter acesso remoto às suas informações a partir de qualquer outro dispositivo com acesso à internet. Isso significa que os dados podem ser restaurados de forma rápida e fácil.
Computação em nuvem: melhorias na infraestrutura, garantia de disponibilidade e segurança com baixo custo
A cloud computing (computação em nuvem) também tem se mostrado muito útil para a segurança da informação das empresas. Por nuvem, devemos entender a utilização de serviços virtualizados fornecidos por um terceiro, um provedor, que detém data centers onde hospedam dados e os disponibilizam via internet para os usuários.
Com aplicações e dados na nuvem, os usuários têm a sincronização automática das soluções que utilizam e trabalham sempre com arquivos e documentos 100% atualizados, uma vez que os recursos são virtualizados (oferecidos e utilizados na web).
Ao contrário do armazenamento in loco (dentro das estruturas da empresa), a nuvem conta com servidores e outros recursos de infraestrutura sempre modernos e com capacidade para escalar a operação (aumentar os recursos conforme as demandas da empresa) sempre que necessário.
Bons provedores de nuvem trabalham com equipamentos e práticas de última geração e dispõem de profissionais altamente qualificados para lidar com a segurança dos dados. É de interesse dos provedores garantir segurança aos seus clientes, pois eventuais danos podem ser cobrados judicialmente.
No entanto, é importante escolher um fornecedor de nuvem confiável e se certificar de que o assunto segurança da informação esteja bem fundamentado no contrato e no acordo de níveis de serviços (SLA).
Um ponto que merece destaque na computação em nuvem é que ela é muito mais barata do que manter uma infraestrutura interna. Isso porque a empresa só paga pelo que utiliza. Os recursos são fornecidos como serviços, uma espécie de assinatura, como se fosse um serviço de energia elétrica.
Office 365 original: concentração dos dados em um único ambiente
Outra dica importante é a utilização de uma solução como o Office 365 da Microsoft. Essa aplicação reúne todas as ferramentas do pacote Office em um único ambiente virtual. Ela é totalmente baseada na nuvem, o que permite que os usuários trabalhem de qualquer lugar e em qualquer horário, utilizando qualquer dispositivo (tablet, smartphone, notebook etc.).
Logicamente, é importante que o Office 365 seja original. Assim, a empresa garante que os usuários terão todas as atualizações em dia (frequentemente a fabricante faz ajustes para evitar vulnerabilidades, o que diminui os riscos relacionados à segurança dos dados).
A Microsoft também presta suporte às empresas que utilizam a solução original, o que traz a garantia de que os usuários e o time de TI terão auxílios para as suas dúvidas e eventuais problemas. Além disso, ela garante disponibilidade de 99,9% (taxa considerada a mais alta pelos especialistas).
O próprio monitoramento da operação fica mais fácil com o Office 365, pois, em vez de se preocupar com instalar as ferramentas Microsoft máquina a máquina e com atualizações e riscos de forma pulverizada, tudo está concentrado em um único ambiente virtual.
Outsourcing de TI: ajuda externa para elevar os recursos tecnológicos e manter os dados seguros
Por fim, uma prática que vem ganhando cada vez mais espaço nas empresas brasileiras, sobretudo entre as pequenas e as médias, é o outsourcing de TI (a terceirização de serviços). Segundo a empresa de consultoria Everest Group, o Brasil é um dos países com maior expressão nesse tipo de abordagem.
O que pouca gente sabe é que o outsourcing de TI, quando bem gerido, também ajuda a elevar a segurança da informação. Isso se dá porque os fornecedores de serviços de tecnologia tendem a ter mais poder de contratação de grandes especialistas em proteção de dados, estão sempre se atualizando com os melhores métodos e ferramentas e, obviamente, se esforçam para que os seus clientes tenham segurança.
Em vez de fazer grandes investimentos internos, as empresas que optam pelo outsourcing confiam nos serviços de um terceiro. Isso inclui também os esforços de segurança da informação.
Aliado a isso, há uma significativa redução de custos, sobretudo com folha de pagamento. Outro ponto positivo é que é possível contratar um terceiro para projetos específicos e, assim, garantir que os prazos de finalização e entrega dos objetivos sejam cumpridos dentro do orçamento estabelecido.
Logicamente, é preciso avaliar muito bem um potencial fornecedor de outsourcing antes de contratá-lo; ir além das especificações técnicas e verificar também fatores como reputação no mercado, práticas, ferramentas e soluções utilizadas etc. É importante também que a empresa especifique bem no contrato assuntos como confidencialidade e proteção à propriedade intelectual.
Descubra os principais erros que detonam a segurança da informação
Para finalizar, uma das formas de desvendar os segredos e garantir que a segurança da informação na empresa seja elevada, é se conscientizar dos erros que não podem ser cometidos.
Aqui estão os mais comuns:
Considerar a segurança da informação um gasto
Esse erro está muito relacionado à visão de que prevenir riscos é um gasto, e não um investimento. Ele cai por terra quando olhamos para os prejuízos financeiros que as empresas têm ao sofrerem ataques ou perder dados importantes.
Ter uma estratégia de segurança de dados é algo preventivo, portanto, precisa ser visto como um ativo de valor, e não como um custo puro e simples.
Dar aos colaboradores acesso indiscriminado aos recursos tecnológicos
Por mais bem-intencionados que sejam os profissionais de uma empresa, não é sábio dar a eles total acesso às aplicações e aos recursos de TI. Essa prática eleva o nível de vulnerabilidade da infraestrutura, pois significa que o time de tecnologia tem mais pontos a monitorar e há mais chances de haver erros ou ações que danifiquem os dados corporativos.
Não controlar as alterações das soluções
Toda e qualquer alteração no código dos sistemas deve ser acompanhada de perto pela equipe de TI. As empresas pecam quando confiam totalmente nos seus fornecedores de soluções e serviços e não fazem o acompanhamento das alterações.
É muito importante que os profissionais de TI tenham total controle das atualizações. Só assim eles poderão ter uma atuação analítica e poderão se preparar para eventuais vulnerabilidades.
Não acompanhar a evolução da “indústria hacker”
Como já dissemos, as práticas de crimes virtuais estão em constante evolução. Por isso, é muito importante que os profissionais de tecnologia estejam sempre se atualizando, seja com informações, seja por meio de cursos e certificações da área. É preciso se lembrar: a melhor forma de se proteger de um potencial inimigo é conhecendo-o bem.
Esquecer das auditorias periódicas
O dia a dia frenético das empresas pode relegar as auditorias e o monitoramento a 2º plano. E isso pode ser um erro mortal. Periodicamente, o time de TI deve fazer auditorias, testar pontos de vulnerabilidades, simular ataques, enfim, cuidar para que os dados corporativos não estejam expostos e para que os usuários não incorram em práticas que aumentem os riscos.
Lembre-se de que a importância dada à segurança da informação determina a exposição a riscos
Como vimos ao longo deste post, segurança da informação é assunto sério. É preciso mantê-lo sempre na pauta, e esse não é um esforço exclusivo do time de TI.
Cabe, claro, ao gestor de tecnologia tornar a segurança de dados um tema importante dentro da organização, sobretudo para que os executivos de negócios entendam a importância de fazer investimentos na área.
A Gartner indica que as empresas que mais investem para proteger os seus dados tendem a gastar bem menos que a média prevista nos orçamentos de TI destinados a essa finalidade. Para a organização, aquelas que melhor tratam do assunto tendem a diminuir a complexidade da infraestrutura ao mesmo tempo em que trabalham para diminuir o número de vulnerabilidades a que são expostas.
Em suma, é fundamental para as empresas, independentemente do seu porte e do seu mercado de atuação, ter a segurança da informação sempre nos seus radares e trabalhar para que os riscos sejam mitigados. É um desafio constante, mas que evita inúmeras dores de cabeça e prejuízos financeiros e de reputação.
Como a segurança da informação vem sendo tratada hoje na sua empresa? Você precisa de ajuda?
Faça contato conosco e veja como podemos ajudá-lo!