Segurança para quem pensa grande
Então você tem uma empresa pequena, provavelmente familiar, muito bem gerenciada com fluxos financeiros organizados em uma planilha de Excel. Imagine o que poderia acontecer se a sua movimentação financeira se tornasse pública? Salários, impostos, investimentos, compras e faturamento passariam a estar disponíveis na internet. E se vazassem outras informações, como as conversas entre colaboradores nas redes de comunicação da empresa, seu cliente ficaria satisfeito? Cuidar da informação é cuidar dos negócios!
Tratar da segurança das informações empresariais é um tema muito complexo que não pode ser tratado desconsiderando o esforço dos gestores e o investimento em tecnologia. As fraudes, invasões, roubo de informação, exclusão de arquivos e ataques virtuais são verdadeiros pesadelos para empresas de todo o mundo, especialmente para aquelas que nunca criaram qualquer procedimento de segurança.
De acordo com a PwC, o número de ataques virtuais no Brasil cresceu em 274% nos últimos anos, enquanto o aumento global foi de apenas 38%. Não estamos falando sobre filmes e agências de espionagem, falamos de pessoas que dominam as tecnologias melhor que nós e são capazes de encontrar brechas e identificar riscos que não conhecemos. A proteção, embora nada simples, pode contar com algumas diretrizes básicas que podem ajudar quem usa a internet para conduzir seu negócio ou tem nela sua própria empresa. As diretrizes, uma vez escritas, passam a compor um documento, formal ou não, comumente chamado de política de segurança da informação.
PRIMEIROS PASSOS
Se você ainda não se interessou na elaboração de uma política como esta, sugiro que continue a leitura da mesma forma. Isso porque o momento de cria-la pode não estar tão distante. A política de segurança não envolve somente o bloqueio de sites e acessos ou limitações de uso de dispositivos. Ela envolve a conscientização de que tipo de informações são compartilhadas ou estão acessíveis no momento e em que parte do seu ciclo de vida ela pode se tornar confidencial. Trata de boas práticas, gestão de incidentes, gestão de crises, planos de continuidade de negócios e muitos outros aspectos que dependerão da maturidade do negócio, das exigências dos órgãos reguladores, etc.
Política de segurança da informação é um documento que define as diretrizes básicas de tratamento da informação durante seu ciclo de vida dentro de uma organização, organizado de forma que respeite os direitos, deveres e responsabilidade dos envolvidos. A informação é um conjunto de dados organizados de forma tal que permita transmitir um tipo de significado específico para o usuário. Diferente dos dados, que não possuem significado antes que haja uma interpretação para torna-los em informação, ela é a ferramenta que permite chegar ao conhecimento.
Didaticamente falando, informações possuem um ciclo de vida formado por quatro etapas básicas: (1) Manuseio, que consiste na sua criação física ou digital; (2) Armazenamento, igualmente físico ou digital; (3) Transporte, ou seja, sua distribuição dentro da empresa; (4) Descarte após perder a validade, sua destruição física ou digital. Vamos a um exemplo. Eu levei meu carro ao mecânico na semana passada para identificar a razão de um barulho no motor. O mecânico fez uma avaliação, anotou em um papel o que seria preciso trocar e fez um orçamento (manuseio) que ficou guardado até que eu chegasse para aprovar (armazenamento). Assim que eu aprovei o trabalho, ele enviou o orçamento para o financeiro (transporte) e elaborou uma ordem de serviço para seu pessoal poder saber o que fazer no meu carro (manuseio 2), que foi pendurada ao lado do meu veículo durante o conserto (armazenamento 2). Ao final do trabalho, essa ordem de serviço foi repassada para o gerente (transporte 2), que conferiu o trabalho de acordo com o orçamento e deu o sinal para que o financeiro me cobrasse pelo trabalho realizado. Assim que eu paguei, recebi uma via do recibo que ficará armazenado na minha casa por um tempo, enquanto a outra será enviada (transporte 3) para a contabilidade da mecânica até que possa ser descartada.
A partir da identificação do ciclo de vida, pode-se ver que nem todas as etapas são de interesse de todos os envolvidos na empresa. E por mais que isso seja óbvio e notório, passar por cima da noção de quais informações devem estar disponíveis para que cada colaborador cumpra a sua função pode ser responsável pelo fracasso da política. Veja alguns pontos que podem ser observados para dar início à segurança.
CERCANDO O PERÍMETRO
O perímetro normalmente trata do limite entre as redes, sendo os mais comuns as redes privadas empresariais ou residenciais (Local Area Network – LAN) e redes públicas (Wide Area Network – WAN), às quais se conectam as redes privadas. Para que os usuários não possam acessar o que está disponível nas redes privadas, são construídas algumas blindagens utilizando firewalls que permitem a criação de regras para regulamentar o uso da internet e minimizar problemas internos e externos.
MEUS E-MAILS, NOSSAS REGRAS
As regras de uso do e-mail devem ser balizadas de acordo com a criticidade do recurso para a empresa. O mercado disponibiliza vários recursos de segurança, mas o mais conhecido ainda é o anti-spam, que busca minimizar o recebimento de mensagens não solicitadas que podem ter conteúdo malicioso. Outras ferramentas estão associadas ao trânsito seguro de e-mails, criptografia para manter os conteúdos em sigilo, autenticação, controle de acesso, auditoria, arquivamento e retenção, armazenamento seguro, recursos de prevenção contra vazamentos de informações, etc.
A mobilidade é um tema cada vez mais em pauta no ambiente corporativo. Uma das principais ferramentas de segurança se chama VPN, sigla para Virtual Private Network, que utiliza protocolos e tecnologias com criptografia forte, muito difícil de decodificar. Ela pode ser utilizada em um dispositivo móvel, notebook ou qualquer outro aparelho, impedindo o acesso nas redes da empresa mesmo em redes públicas.
ACESSO REMOTO, ACESSO SEGURO
A mobilidade é um tema cada vez mais em pauta no ambiente corporativo. Não se fala tão somente no gestor que viaja e precisa continuar conectado, mas também nos trabalhadores externos que atuam em home offices. Mas como proteger a informação que já não está presente apenas no perímetro da empresa e transita em redes públicas?
CONTEÚDOS LIMITADOS
O ideal, na prática, seria criar procedimentos para indicar quais sites possuem acesso permitido, restrito ou controlado, personalizados para as necessidades de cada setor. Soluções como esta existem no mercado e podem classificar conteúdos e sites na internet para personalizar o uso dentro do ambiente corporativo através de categorias de conteúdo previamente classificadas para facilitar o processo de implementação.
A gestão de conteúdo também pode ser implementada com a aplicação de soluções que atuam diretamente nos dispositivos, tais como antivírus, ou soluções para proteção de gateway (como OSTEC FireBox, Barracuda Web Security Gateway, Cisco Web Security Appliance e Cloud, entre outras). Pacotes adicionais do Firewall de Próxima Geração (NGFW) também oferecem este recurso.
DIRETO AO PONTO
A segurança de end-point pode não ser tão familiar pelo nome, mas é o recurso mais conhecido pelos usuários por se tratar de soluções instaladas no próprio dispositivo usado, seja notebook, smartphone ou computador tradicional, para proteger aquela máquina específica. O mais comum são os softwares antivírus, como uma estratégia de defesa complementar que serve de apoio quando as outras camadas de proteção não foram capazes de inibir o ataque.
POR ONDE COMEÇAR?
Identifique que tipos de informações são gerenciadas pela empresa. Isso inclui todo tipo de informação, desde os pedidos de retorno de ligação recebidos pelo atendimento até os e-mails urgentes em sua caixa de entrada. Por quais meios elas chegam? Onde são armazenadas? Elas são públicas ou privadas? Depois dessa identificação, determine o local de armazenamento físico ou digital dessas informações e quem pode acessá-las.
Agora você, pode dizer quais riscos envolvem os casos de vazamento. Essa definição vai dar as prioridades e níveis de proteção aplicados nesse grande volume de informações e abrir o gatilho para identificar quais são as possíveis formas de vazamento. Abra os olhos não somente para o meio digital e pense também nos documentos físicos.
O próximo passo é listar e classificar quais ativos tecnológicos são importantes e elabore uma estratégia de uso e defesa para cada um deles. Descreva como a internet deve ser utilizada por cada setor, definindo o que é permitido, independentemente de haver uma ferramenta de controle de acessos. Preveja momentos em que seus setores precisarão acessar determinados sites para atender necessidades específicas e veja essas ocasiões como desvios da regra.
Então preveja como serão gerenciados os dispositivos móveis e removíveis. Seus colaboradores podem se conectar à rede corporativa ou haverá uma rede específica? E como agir quando for necessário utilizar pendrives, cartões de memória ou HDs externos?
Descreva quais são as boas práticas para o uso de e-mails corporativos, destacando que tipo de assunto deve ser tratado via e-mail e o que pode ou não ser anexado. O mesmo vale para comunicadores instantâneos como o Skype. E por falar em comunicação, estabeleça critérios para o acesso wireless na empresa, definindo quais são os critérios de uso, quais são as regras e para quem se destinam. Também é válido segmentar o que é público (dispositivos pessoais dos colaboradores, clientes e fornecedores) do que é corporativo.
Preste atenção nas impressoras, copiadoras e servidores físicos, determinando quem pode ter acesso a eles. Se você trabalha com home office, também determine quem terá acesso e quais recursos internos estarão disponíveis para estes usuários.
Com relação aos softwares, a premissa básica de segurança é usar os originais para reduzir o risco de vírus e derivados. Entretanto, vale a pena definir quais são os softwares homologados pela empresa e como será controlado quem pode instalar, deletar ou utilizar.
Pensando em partes mais críticas, preveja o que acontecerá quando um ataque ou incidente for detectado com um passo a passo detalhado e padronizado, que respeite as boas práticas, para evitar que ocorram ações erradas no calor da hora. Depois de descrever como agir no caso de acidentes, preveja a reação para casos de desastres naturais.
Por fim, pense no ponto mais importante: como conscientizar os colaboradores da importância dessa segurança. Deixe claro que estas ações visam a segurança, inclusive jurídica, de todos os trabalhadores. Não se preocupe em fazer um documento lindo no início do processo e nem pense em tudo isso de uma única vez. A forma mais fácil de construir toda essa política de segurança com eficácia é pedir o auxílio de algum profissional do TI da sua empresa ou contratar alguém da área para ajudar. Ao ver tudo como um processo, você pode descobrir que isto que parecia um bicho de sete cabeças muito difícil de vencer vai se desenhando naturalmente com o objetivo final de garantir uma empresa melhor e, por consequência, uma sociedade melhor.
A CAMINHO DA SEGURANÇA
A criação de uma política de segurança da informação dentro de uma organização pode parecer difícil, mas alguns passos podem torna-la um pouco mais simples. Siga o caminho no tabuleiro e entre para o time de quem busca a excelência.
1. Liste que tipo de informações circulam na sua empresa
2. Escreva onde elas são armazenadas
3. Classifique as informações públicas com um ícone
4. Coloque outro ícone nas informações privadas
5. Coloque outro ícone nas informações confidenciais
6. Liste onde cada informação é armazenada
7. Liste quais pessoas podem acessá-las
8. Para cada informação, determine o risco de vazamento
9. Caracterize as formas de roubo ou vazamento
10. Não se esqueça de pensar no físico e no digital
11. Liste os ativos tecnológicos mais importantes
12. Classifique em grau de importância
13. Crie estratégias de uso e defesa para cada um
14. Descreva as boas práticas de uso da internet
15. Defina o que é permitido ou proibido na rede
16. Organize critérios de uso de dispositivos móveis e removíveis pessoais
17. Defina as boas práticas para os e-mails
18. Defina critérios para uso da rede sem fio para colaboradores e visitantes
19. Descreva os critérios de acesso remoto
20. Determine os responsáveis pela impressora, servidores e etc.
21. Liste os softwares utilizados na empresa e formas de controle
22. Liste os responsáveis pela instalação e utilização dos softwares
23. Crie um padrão de ação para resposta e tratamento de incidentes
24. Crie um plano de continuidade e recuperação de desastres
25. Organize estratégias de divulgação e reciclagem das práticas de segurança
26. Parabéns! Você está alguns passos mais próximo da excelência!
.jpeg?v=sitjt750VPfJaMhJ8iEr2tsf9dlsGkwlv7-8d_SuidY)
COMENTÁRIOS