IT Forum 365

Dados blindados: 6 pilares de uma estratégia eficaz de segurança da informação

Monitorar as atividades de todos os setores e integrar as soluções são dois deles; 90% das organizações enfrentaram pelo menos um incidente no último ano

A maioria das companhias brasileiras está vulnerável aos ataques dos hackers. Segundo pesquisa feita pela CompTIA com mais de mil empresas, 90% das organizações enfrentaram pelo menos um incidente de segurança no último ano e 75% tiveram dificuldade em lidar com uma ou mais violações de dados mais sérias, como as de ransomware. O cenário é reflexo de uma mudança de atuação dos criminosos, que estão migrando de invasões contra usuários privados para corporativos.

Um levantamento feito pela Kaspersky Lab, grupo russo de segurança, identificou pelo menos oito grupos de cibercriminosos envolvidos no desenvolvimento e distribuição de ransomware de criptografia, como os autores do PetrWrap; o grupo Mamba; e outros seis não identificados, mas também com foco corporativo. Os principais ataques foram às organizações financeiras e há casos em que as demandas de pagamento somaram mais US$ 500 mil.

Diante disso, criar uma estratégia de segurança eficaz é fundamental para manter a integridade da empresa. “Para que a companhia fique, realmente, blindada é preciso um preparo contínuo. O investimento em segurança não deve ser feito apenas quando se identifica um ataque, mas, sim, antes dele acontecer”, explica Marcelo Lau, coordenador dos cursos de MBA em gestão de cibersegurança da Faculdade de Informática e Administração Paulista (Fiap).

Além de realizar backups constantes e usar um software de segurança de qualidade, é essencial atentar-se aos dispositivos móveis, os processos de todas as áreas e as soluções tecnológicas utilizadas. Veja, a seguir:

1. Realizar testes de segurança
Identificar se o sistema é – ou está – frágil é o primeiro passo. Existem duas modalidades de testes para isso: a análise de vulnerabilidade – mais rápida e fácil -, que usa ferramentas automatizadas para identificar as falhas mais comuns do sistema; e a pentest, também conhecida como Penetration Testing, que avalia a segurança de um sistema de computador ou de uma rede, simulando um ataque de fonte maliciosa. “Os dois testes são capazes de analisar todo o sistema e os equipamentos usados na empresa, como computadores e dispositivos móveis”, explica Lau.

2. Blindar os dispositivos móveis
Com a mobilidade, se preocupar apenas com os equipamentos usados no escritório já não é mais suficiente; é essencial ter filtros de acesso nos dispositivos móveis, usados em viagem ou em home office. “A partir do momento em que as informações saem do âmbito da empresa, é preciso ficar atento, controlando todos os acessos”, ressalta o professor Edison Fontes, sócio-consultor da Núcleo Consultoria em Segurança. A recomendação é que o controle seja aplicado em todas os dispositivos (celulares, tablets e computadores), com criptografia dos dados para evitar fraudes.

3. Definir controles de acesso
Cada área da empresa requer uma proteção diferente e definir os controles de acesso certos é fundamental para garantir a proteção. “O sistema financeiro, por exemplo, deve ser acessado por uma senha. Já a área de transferências internacionais – que possui dados ainda mais importantes – deve ser acessada por  senha, biometria e token”, explica Fontes.

4. Monitorar as atividades
Tudo o que acontece na empresa – desde a criação de processos e transferência de arquivos, até os acessos a páginas da web e e-mail – devem ser analisados e acompanhados para eliminar qualquer suspeita. Mas, segundo Fontes, é importante estruturar a empresa para que esse monitoramento, realmente, aconteça. “Ele só vai acontecer se houver políticas, normas e pessoas capacitadas por trás”.

5. Interligar as soluções
Já não há dúvidas sobre a importância dos software e hardwares para detectar programas maliciosos, filtrar e-mails, analisar os arquivos e monitorar os atividades na rede. Mas, diante de inúmeras soluções – cada uma com sua função – é fundamental que elas conversem entre si. “É importante ter boas tecnologias, mas se os softwares não estiverem interligados, a equipe de segurança não será capaz de fornecer relatórios e gerar informações que facilitam a gestão”, completa Fontes.

6. Treinar a equipe
Preparar os funcionários é essencial para que, em momentos de crise, a situação possa ser controlada. “Os treinamentos devem aprimorar o conhecimento dos colaboradores sobre segurança do sistema. Com exercícios e testes práticos, é possível ensinar como se deve agir em cenários de crise”, ressalta Lau, da Fiap.

Saiba mais:
“Não é uma nova marca, é uma nova era para a companhia”, diz CEO da HPE
Bem-vindo à Economia das Ideias

 

Imagem: depositphotos

Comentários

Notícias Relacionadas

IT Mídia S.A.

Copyright 2017 IT Mídia S.A. Todos os direitos reservados.