No primeiro post da série, onde abordamos O Conceito De Governança Da Segurança Da Informação explicamos a maneira como é determinada, gerenciada e controlada a segurança em relação às informações de uma empresa ou organização. E quando falamos em gerenciamento da segurança, uma parte importante é a questão das ameaças que existem nos ambientes internos e externos. Estas ameaças só se tornam perigos reais por conta das vulnerabilidades na segurança que as empresas têm e muitas vezes nem se dão conta.
Para lhe ajudar a identificar esses problemas na sua organização, vamos mostrar aqui 9 vulnerabilidades na segurança que podem estar presentes aí no seu negócio e que você ainda não percebeu.
1- Falta de uma política de segurança da informação
Um fator que pode ser determinante para o sucesso da Governança da Segurança da Informação é a implantação de uma política da segurança da informação, onde são estabelecidas regras e procedimentos que servem de base para a orientação de todos os usuários dos sistemas de TI da empresa. Sem essa política estipulada, os usuários podem ficar perdidos e tomar atitudes isoladas que, muitas vezes, prejudicam o funcionamento total das soluções e colocam em risco os dados da organização.
2 – Indefinição de papéis e responsabilidades
Também é essencial definir quais os papéis e responsabilidades de cada usuário dentro da corporação. Quando cada um sabe o que tem que fazer e qual sua obrigação em relação aos métodos adequados e mais seguros, fica mais fácil garantir o controle das regras estabelecidas e da proteção das informações.
3 – Colaboradores desconhecem os riscos
Outra situação comum é o desconhecimento dos riscos por parte dos colaboradores. Afinal, as empresas não são formadas somente por especialistas em tecnologia, mas sim contam com uma gama de funcionários de áreas variadas e que não têm necessariamente a consciência das ameaças que podem existir ao realizar determinadas tarefas.
Apesar de todos os alertas, muitos ainda abrem e-mails sem usar qualquer critério de controle e seleção, permitindo a instalação de vírus e malwares nos computadores da empresa. Também fazem o repasse de informações de forma negligente, muitas vezes liberando dados confidenciais do negócio. E ainda escolhem senhas consideradas fracas e fáceis de serem quebradas, o que aumenta a chance para invasões.
4 – Equipe desmotivada
Mesmo em empresas onde os papéis estão bem definidos e os colaboradores conhecem os riscos a que estão expostos, pode existir ainda um outro problema que é a desmotivação da equipe para tomar os cuidados necessários com a segurança. Se, por uma série de razões, o time está desmotivado para o trabalho, isso acaba refletindo nos procedimentos de segurança. Já que as atitudes tornam-se mais displicentes e abrem brechas para a atuação de ameaças.
5 – Ausência de classificação de informações
A classificação de informações também é fundamental para gestão da segurança, pois serve de base para o estabelecimento de regras e metodologias. Sem saber como uma informação é classificada, se por exemplo, é confidencial, restrita, ou pública, fica difícil para os usuários saberem como agir em relação a esse conteúdo.
6 – Redes Wi-Fi sem proteção adequada
As redes sem fio já são consideradas como um grande ponto fraco nas empresas. Isso porque, essa estrutura fica diretamente exposta aos ataques dos cibercriminosos. Por isso, é importante ter a proteção apropriada das redes, com autenticações de segurança adequadas, para não dar espaço para as ameaças.
7 – Falta de uma política e ferramenta de BYOD
O trabalho fora do ambiente do escritório da empresa é cada vez mais comum, e trazer o seu próprio dispositivo eletrônico, seja ele um celular, um tablet ou notebook, também é uma prática constante. Essa nova realidade trouxe a necessidade de criação de políticas e uso de ferramentas de BYOD (Bring Your Own Device), ou traga seu próprio dispositivo. Com regras definidas e bloqueios estabelecidos, a segurança fica mais garantida, mesmo em situações em que o celular do funcionário é roubado, por exemplo, e as informações confidenciais da empresa continuam protegidas.
8 – Autenticação nos sistemas críticos sem fator duplo
O fator duplo de autenticação já se tornou uma prática comum em serviços online, mas mesmo assim, muitas empresas ainda não utilizam esse procedimento. Ele nada mais é do que solicitar uma autenticação por dois modos diferentes, seja por meio de uma senha, e de uma mensagem de SMS, ou da geração de um código, que serve como confirmação daquela tentativa de acesso ao sistema. Dessa forma, a proteção aumenta e a chance de ataque cibernético diminui.
9 – Regras de firewall com gestão descentralizada
O firewall continua sendo uma das principais defesas das redes de uma organização. Mas para que seu funcionamento seja, de fato, eficiente, é importante que a gestão do firewall seja centralizada, permitindo maior controle do gerenciamento e menos suscetibilidade a erros durante alterações de configuranções e outros processos.
Para avaliar se estas e outras vulnerabilidades estão presentes na sua empresa, é fundamental estabelecer dentro da Governança de Segurança da Informação um processo de análise de vulnerabilidades, onde podem ser identificadas as falhas que ocorrem no ambiente e que deixam espaços para a atuação de ameaças.
No próximo post, vamos falar sobre a análise dos riscos nas empresas. Acompanhe!