Investimento em Segurança da Informação – Por onde começar

1024 356 Microservice

No Brasil as pequenas e médias empresas em geral não se preocupam com a Segurança da Informação por acreditarem que não serão alvos de cibercriminosos e o investimento não é visto como prioridade, quando a realidade é exatamente ao contrário: um único ataque pode prejudicar as operações de tal maneira que pode até mesmo encerrar suas atividades pelo prejuízo causado com perdas em seu banco de dados, como o roubo ou sequestro de suas informações, acarretando na paralisação dos seus sistemas, quer seja por um ataque direto ou pela falha de seu hardware, por exemplo. O que de fato vemos são ações corretivas, e não preventivas, ou seja, depois da empresa já ter sofrido um ataque ou falha.

Garantir a Segurança da Informação é um dos maiores desafios para qualquer empresa, não importa o tamanho. Segurança para os dados e estratégia são vitais para toda empresa que busca o crescimento sustentável. Se há alguns anos o patrimônio físico de uma empresa exigia uma proteção reforçada, hoje, informações digitais são verdadeiros tesouros, isto é um fato.

A Segurança da Informação trata de proteger as informações da organização durante todo seu ciclo de vida. Quando falamos em Segurança da Informação pensamos em três características principais:

  1. Confidencialidade: garantir que a informação esteja acessível APENAS para as pessoas autorizadas, aquelas que necessitam do acesso;
  2. Integridade: garantir que a informação não sofreu nenhuma alteração indevida;
  3. Disponibilidade: garantir que a informação esteja disponível quando ela é requisitada pelo usuário.

Segurança da Informação garante não apenas a proteção contra invasores externos, mas também o correto acesso à informação internamente. Assim, a empresa torna-se mais segura e eficiente, os dados estarão sempre disponíveis, íntegros e protegidos para melhorar os processos de negócio.

O custo de não investir em Segurança da Informação é maior do que investir. Segundo levantamento da National Retail Federation, cerca de 90% das invasões são direcionadas aos sistemas de pequenas e médias empresas. Após um ataque e fonte de gastos extras, essas empresas sofrem perda de imagem, e consequentemente, perda de confiança de parceiros e clientes.

Atualmente muitas empresas já possuem contrato com um escritório para contabilidade e folha de pagamento, por exemplo, uma vez que estas empresas têm a estrutura necessária, sendo uma solução mais efetiva, econômica e que atenderá as necessidades do negócio, então, por que não pensar em contratar serviços especializados da mesma maneira para Segurança da Informação?

Nem tudo se resume a investimentos somente em equipamentos e softwares, mas uma boa estratégia de Segurança da informação aborda todas essas frentes:

  • Processos baseados nas melhores práticas de mercado;
  • Implementação de ferramentas e métodos;
  • Responsáveis qualificados;
  • Caso a empresa não possua recursos ou conhecimento interno, é indicado contratar serviços especializados de terceiros para atuar preventivamente na proteção de seus dados.

A seguir, algumas dicas e melhores práticas de Segurança da Informação que podem ser aplicadas para empresas de qualquer porte:

Política de Segurança da Informação (PSI)

A Política de Segurança da Informação estabelece regras e expectativas em relação a tudo relacionado à segurança, desde senhas até privacidade do cliente, da proteção física à classificação de dados. Criar uma política exige muito esforço para garantir a assertividade aos processos de negócio da organização, bem como deve ser de fácil compreensão para todos os envolvidos (funcionários, terceiros e prestadores de serviço, por exemplo).

Proteja seus dados e faça backup

Faça backup de dados de forma segura e regular. Caso você não tenha conhecimento ou tecnologia para garantir que seus dados fiquem seguros, contrate alguém ou uma empresa especializada para lhe ajudar.

Mantenha seus sistemas operacionais e softwares atualizados

Atualize constantemente o sistema operacional, bem como os softwares. A maioria dos ataques ou propagação de vírus ocorre devido a algumas falhas de segurança, pequenas vulnerabilidades que os hackers e criminosos costumam explorar. As empresas costumam consertar estas vulnerabilidades pouco tempo depois que elas são encontradas, por isso é muito importante você manter seus sistemas atualizados, de preferência de forma automática. Utilize sempre softwares licenciados, pois softwares “piratas” podem não ter acesso a estas atualizações, deixando sua empresa mais vulnerável.

Confira também 👉 Como otimizar custos com licenciamento de software e hardware

Utilize softwares de segurança de forma abrangente

Utilize softwares que mantenham todos seus recursos protegidos, como servidores, desktops, notebooks e outros dispositivos conectados. Mantenha seus sistemas de segurança atualizados e programe para que se atualizem automaticamente em determinados horários. É importante não esquecer de proteger os dispositivos móveis com Android ou iOS contra malwares. Também há o phishing e outras ameaças comuns à internet. Lembre-se também de adicionar também uma camada de segurança para operações bancárias e de pagamento.

Defina uma política de senha complexa

A Política de Segurança da Informação deve abranger o uso de senhas complexas, bem como critério de expiração de senha para forçar os usuários a mudar suas senhas a cada 90 dias e, quando possível, com autenticação multifator (MFA).

Cuidado com dados pessoais

Para armazenar informações de clientes e de funcionários, verifique se estão seguras e controle as pessoas que têm acesso a estas informações, ainda mais agora em que é preciso estar em conformidade com regulações como a Lei Geral de Proteção de Dados (LGPD) no Brasil. Realize backup de forma segura e caso possua cópias físicas, guarde-as em um local seguro como um armário com chaves. Para equipamentos eletrônicos, também os mantenha fisicamente seguros, elimine a chance de alguém, seja um funcionário, um cliente ou um estranho aleatório, roubar um notebook ou um dispositivo de armazenamento como pendrives ou um HD externo (principalmente se não estiver criptografado).

Criptografe os dados

Uma forma eficiente de proteger seus dados é codificá-los através de ferramentas que oferecem este serviço. Isso impede que qualquer um que tenha acesso a informações internas e consiga usá-las apenas quem de fato seja necessário. Selecione o que pode ser mantido criptografado e mantenha as chaves de acesso ao código somente com pessoas autorizadas.

Segurança avançada de perímetro

A solução de firewall de próxima geração precisa fornecer segurança às conexões VPN, além de proteção avançada contra ameaças e inspeção de alto desempenho de tráfego criptografado para eliminar malwares.

Conscientização dos funcionários

A conscientização é essencial para entendimento de todos a respeito dos elementos de Segurança da Informação. Tal como acontece com outras áreas de segurança, você pode contratar uma empresa especializada em treinamento de funcionários. A revisão da política e as práticas de Segurança da Informação deve ocorrer, no mínimo, com periodicidade anual.

Terceirização de serviços

Caso a empresa não possua recursos ou conhecimento para lidar com estas atividades de forma especializada e segura, contrate uma empresa ou consultoria para garantir aderência dos processos de negócios aos objetivos de Segurança da Informação.

Conclusão

Em resumo, o primeiro passo para a gestão da Segurança da Informação é reconhecer as ameaças, ter sistemas atualizados, firewalls, antivírus e realizar backups. Estes são passos primordiais para obter o mínimo de segurança digital. Conexões seguras e criptografia nos sistemas internos e em nuvem diminuem os riscos aos dados principalmente agora em tempos de Home Office que obrigaram as empresas a repensarem aspectos relacionados ao seu compliance.

Você precisa calcular o tamanho do prejuízo que um problema de segurança pode causar. Conforme este valor você vai saber o quanto deve investir para que o problema não ocorra.

Ninguém está isento de riscos e a única solução é implantar uma mentalidade de segurança envolvendo todas as áreas a partir da alta direção. Melhorar a Segurança da Informação é fundamental para mitigar os riscos, prevenir o vazamento de dados, preservar a imagem da empresa e garantir o bom funcionamento do negócio. Diante deste cenário, cabe às empresas compreender que a informação é um dos ativos mais importantes, devendo melhorar continuamente seus processos e realizar investimentos para assegurar a confidencialidade, integridade e disponibilidade.

 

Vando Dal Bello

Product Manager

MATRIZ - BLUMENAU / SC (47) 3322-2343   |  DEMAIS LOCALIDADES:   SP (11) 4063-8108 | RJ (21) 4063-3343 MG (31) 4063-7161 PR (41) 4063-7161 RS (51) 4063-7161 PE (81) 4062-9072