Tudo sobre segurança da informação!



Um tema importante na gestão de negócios, a segurança da informação tem se tornado uma pauta cada vez mais abordada nas empresas, especialmente no setor de TI. As ações contra ataques digitais devem ser estratégicas, para garantir que o conjunto de dados confidenciais da organização esteja seguro.

O grande problema é que qualquer falha encontrada nas redes e nos sistemas pode abrir caminho para problemas maiores. Em 2015, um erro desse tipo expôs 4 milhões de servidores federais dos Estados Unidos. Isso mostra que grandes corporações e até mesmo órgãos governamentais estão suscetíveis a ciberataques e brechas de segurança.

Empresas de pequeno e médio porte também podem perder seus dados para cibercriminosos, principalmente devido à maior vulnerabilidade dos seus sistemas. Por isso, é fundamental que os gestores entendam a importância do assunto, bem como todos os pontos, técnicas e informações envolvidos para aprimorar a proteção do negócio.

Neste artigo, mostraremos como aumentar a segurança digital nas empresas. Para isso, é preciso entender o conceito, seus princípios e sua importância, as penalidades legais envolvidas e o valor do investimento. Além disso, é essencial verificar a necessidade de contratar empresas especializadas e saber o que avaliar nesse momento.

O que é segurança da informação? E cibersegurança?

A área de TI das empresas trabalha com diferentes tipos de tecnologias no gerenciamento e armazenamento de dados. Muitas das informações são confidenciais e precisam estar protegidas por políticas de segurança digital. Essas diretrizes determinam as estratégias e os procedimentos mais eficazes para o tratamento dos dados.

Existem diversos conceitos a respeito da área de InfoSec ― Information Security ―, mas utilizaremos esta: a segurança da informação compreende um conjunto de práticas, recursos, sistemas, habilidades e mecanismos usados ao proteger todos e quaisquer tipos de dados da empresa e sistemas contra o ataque de criminosos, o acesso indevido de usuários e o uso impróprio das informações da organização.

Essas técnicas também visam prevenir o sequestro ou a perda de dados. Agora, será que segurança da informação e cibersegurança são a mesma coisa? Descobriremos a resposta a seguir.

Segurança da informação

Também chamada de segurança cibernética, a cibersegurança é a prática de proteger informações e dados que chegam ao usuário da organização, provenientes de fontes externas e somente por meio de protocolos de internet. Se alguém do outro lado do mundo conseguir invadir a rede de uma empresa e violar seu sistema, essa companhia precisará de uma melhor segurança cibernética.

Percebeu a diferença entre ela e a segurança da informação? Embora muitas pessoas ainda as considerem iguais, elas são realmente diferentes, sobretudo na forma técnica como são tratadas e corrigidas. Suas capacidades também são diferentes. Ambas protegem contra informações e dados roubados, acessados ou alterados, mas as semelhanças terminam aí.

É necessário entender que a segurança da informação é considerada uma parte da área de InfoSec. Nesse caso, os dados não precisam estar em um computador ou na internet para precisarem de um sistema de segurança digital, ou da informação. Mesmo que estejam em um pendrive, assim que o dispositivo se conectar à empresa, eles precisarão passar por uma boa estrutura da segurança da informação.

Cibersegurança

Já a cibersegurança lida com a proteção de dados e informações a partir de fontes externas, provenientes exclusivamente da internet. Com base nessas informações, chegamos a esta conclusão: nem tudo que é segurança da informação envolve a cibersegurança, mas toda cibersegurança envolve a segurança da informação.

Tendo essas premissas definidas, listamos as melhores práticas que a área de InfoSec precisa realizar. São elas:

  • evitar e combater ataques virtuais;
  • identificar e recuperar vulnerabilidades nos sistemas de TI;
  • proteger dados armazenados virtualmente;
  • determinar regras para a gestão das informações;
  • controlar o acesso de usuários aos dados corporativos.

Dessa forma, a segurança digital engloba não apenas os dados em si e seus meios de armazenamento, mas também os sistemas de coordenação e de usuários. Isso significa que ela não se restringe à estrutura de informática e seus componentes, como veremos adiante.

É fundamental compreender que nenhuma organização é capaz de atingir um nível de controle de 100% das ameaças à segurança da informação. Um dos principais motivos é a constante inovação e evolução de hardwares e softwares.

Os especialistas da Gartner avaliam que as transformações na segurança cibernética demandarão novos tipos de estratégias e habilidades para superar os ataques. Ademais, eles advertem sobre a impossibilidade de conter todas as ameaças de forma igual — por isso, é necessário privilegiar o que é mais importante no momento.

Para as autoridades no assunto, os investimentos em segurança da informação devem ser divididos da mesma maneira entre a prevenção e a localização do problema. Apesar de não ser possível evitar todos os ataques, é importante saber como superá-los e resolvê-los o mais rápido possível.

Quais são os componentes da segurança da informação?

Esse contexto envolve todos os recursos da empresa de alguma forma. Entre eles, podemos citar computadores, softwares, hardwares, redes e até mesmo os colaboradores. Cada um desses elementos tem um papel importante no que diz respeito à proteção dos dados.

Computadores

As máquinas são as principais formas de controle dos dados nas empresas. Por meio delas, as informações são criadas, armazenadas ou modificadas. Logo, é muito importante que estejam adequadamente protegidas das ameaças. Softwares e hardwares específicos podem ser utilizados para essa finalidade.

Softwares

Os principais softwares que são usados para garantir a segurança da informação são desenvolvidos para atuar como:

  • antivírus;
  • antimalware;
  • antispyware;
  • proxy;
  • antiransomware;
  • firewall.

De maneira geral, eles ajudam a filtrar os conteúdos e a reconhecer possíveis ameaças à integridade dos dados. Os recursos impossibilitam que os invasores encontrem e se aproveitem de alguma vulnerabilidade do servidor que poderia dar início a um ataque.

Hardwares

Quando falamos em hardwares e em segurança da informação, o firewall é o principal aliado das empresas. Ele também pode ser encontrado na forma de software — ambos com finalidades semelhantes.

O firewall enquanto hardware disponibiliza uma série de funcionalidades específicas, que propiciam um melhor gerenciamento dos sistemas. Além disso, a capacidade de processamento dessa versão é superior à do software.

Colaboradores

É fundamental que toda a equipe esteja ciente das regras de segurança, para evitar falhas que se tornem portas de entrada de cibercriminosos. O motivo para essa cautela é que, quando uma pessoa viola as normas, ela abre uma brecha na proteção e compromete toda a rede.

Existem também os profissionais que atuam diretamente no gerenciamento e na execução das rotinas e atividades de segurança da informação. Essas pessoas podem ser contratadas pela companhia ou integrar o time de organizações parceiras terceirizadas.

Em geral, engenheiros e analistas de segurança são os responsáveis por elaborar e planejar as melhores práticas de proteção dos dados da empresa. Os técnicos em segurança, por sua vez, devem implantar e executar as ações programadas.

O trabalho também engloba os gestores, que são encarregados de disseminar e multiplicar as práticas de vigilância por toda a organização, a fim de que elas sejam rigorosamente cumpridas.

Por que a segurança digital é tão importante?

As ameaças à segurança aumentam quase na mesma proporção com que as inovações chegam ao mercado. E os empresários estão mais ocupados do que nunca com a expansão e a inovação dos seus negócios, tanto que alguns chegam a ignorar o aspecto da segurança. Um grave descuido — ou tentativa de economia em curto prazo — que expõe toda a empresa a ataques.

O gestor nunca deve se esquecer de que as informações, digitalizadas ou não, estão no centro de qualquer organização, sejam registros comerciais, sejam dados pessoais ou ainda propriedade intelectual. Podem ser mantidas em vários lugares e acessadas de diversas maneiras.

É crucial inovar, transformar e partir para processos disruptivos, mas tão importante quanto é defender e proteger os dados da organização. Sempre ouvimos histórias de computadores e redes sendo invadidas e que isso leva a enormes quantidades de dinheiro sendo perdidas ou a dados confidenciais caindo nas mãos erradas — muitas vezes, vendidos na dark web.

Esses atos ilícitos fizeram com que algumas empresas parassem suas operações por diversos fatores, como:

  • extravio de capital, ocasionado por alguma invasão;
  • ransomware, ou seja, sistemas e dados indisponíveis e só liberados pelos cibercriminosos após o pagamento do sequestro;
  • enfraquecimento da marca assim que a informação de invasão vaza aos clientes;
  • processos dos clientes, ao descobrirem que seus dados pessoais ou sobre um novo produto, altamente confidencial, foram invadidos.

Não importa quão grande ou pequena uma empresa possa ser, há uma importância vital para garantir a segurança da informação, tanto para os dados operacionais quanto para os dos clientes.

O planejamento cuidadoso, a implementação, o monitoramento e a manutenção com controles e procedimentos rigorosos são necessários para proteger todos os ativos — em especial os dados —, algo extremamente valioso para qualquer organização.

A segurança da informação nos negócios

A questão da segurança em processos de coleta, tratamento e disposição de dados é mais séria do que se imagina. De acordo com uma pesquisa da Accenture, dois em cada três ataques virtuais a empresas são bem-sucedidos.

Uma outra pesquisa, da Universidade de Maryland, Estados Unidos, concluiu que, em média, hackers atacam a cada 39 segundos. Ou seja, enquanto você está lendo este tópico, é bastante provável que, pelo menos, um hacker tentou burlar suas defesas virtuais.

São motivos mais que justos para investir em segurança de informação que possam não só proteger seus dados como blindar suas transações online. Afinal, ataques não são gratuitos e, em geral, hackers mal intencionados buscam lucrar com suas ações.

Quais são os riscos e as penalidades do vazamento de informações?

vazamento de informações é um problema real e crescente. Todo mês, notícias sobre vazamentos de informações confidenciais se tornam públicas. Esses são os casos conhecidos, ou seja, que têm um impacto visível.

Mas há ainda mais incidentes semelhantes ocorrendo diariamente e a grande maioria dos vazamentos de informações é acidental: não é apenas o resultado de ações dolosas. A perda de dados não intencional talvez seja a mais perigosa, porque os afetados não estão necessariamente cientes ou capazes de agir sobre o problema.

A perda de informações pode representar um custo muito alto às organizações. Essa falha gera custos diretos e indiretos: a propriedade intelectual ou a informação industrial em si, além do custo para lidar com as consequências da perda. Os prejuízos indiretos incluem perda de credibilidade, de vantagem competitiva e transgressões regulatórias.

É possível mudar a cultura do colaborador?

Os crescentes riscos de vazamento de informações são, em geral, desencadeados por escândalos corporativos em que informações sigilosas são divulgadas. Como a maioria desses casos demonstra, as violações não resultam de irregularidades maliciosas, mas de atitudes de funcionários, que, inadvertidamente, colocam suas empresas em risco.

Isso pode ocorrer, por exemplo, quando os colaboradores enviam mensagens de e-mail com arquivos ou conteúdo que eles não sabem ser confidenciais. Outro exemplo consiste nos funcionários que entregam arquivos privados da empresa para algum e-mail externo ou os copiam para dispositivos móveis e, consequentemente, expõem as informações internas em ambientes não confiáveis.

Além da implementação de mecanismos de segurança, é crucial treinar e conscientizar a equipe, a fim de mudar a cultura de toda a empresa, para que todos façam a sua parte — que envolve ética e integridade moral.

E quanto às novas leis, estamos protegidos ou seremos mais penalizados?

Com a tentativa de uniformizar as regras, mitigar os problemas de segurança e privacidade e entrar em um consenso, a Europa lançou a lei GDPR — Regulamentação Geral de Proteção aos Dados —, tornando-a obrigatória mundialmente desde maio de 2018.

Então, se você tem um e-commerce e vende para qualquer país da União Europeia, sua empresa precisa estar em conformidade com a GDPR. Já no Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada em 14 de agosto de 2018, foi inspirada na GDPR.

Ela prevê a conformidade e estabelece um formato para a adoção de melhores práticas, privacidade, governança e rápida resolução dos problemas de segurança digital. As penalidades previstas para a GDPR chegarão a 20 milhões de euros ou 4% do faturamento bruto anual da empresa (pagos ao Governo), com restrição de direitos e pagamento de indenizações (pagos à pessoa lesada).

Já as multas para o Brasil, por meio da LGPD, serão de até 50 milhões de reais ou 2% do faturamento bruto (Governo), com o pagamento das indenizações à pessoa lesada.

Quais são os benefícios de investir em segurança da informação?

Segundo o 2020 Cost of a Data Breach Report, da IBM, falhas na segurança da informação custam às empresas US$ 3,86 milhões. Eis, então, o primeiro benefício ao investir em sistemas e defesas que protejam dados: a economia.

Não menos importante, empresas que mantêm dados críticos e pessoais de seus clientes seguros arriscam-se menos a sofrer danos na imagem. Nesse aspecto, há de se considerar que credibilidade é algo difícil de conquistar e que, uma vez perdida, dificilmente se recupera.

Um bom exemplo disso é a marca esportiva Under Armour. Em 2018 ela sofreu um ataque que resultou no vazamento de senhas de 150 milhões de usuários do app MyFitnessPal. No segundo semestre, a empresa divulgou um prejuízo de US$ 125,8 milhões, dez vezes mais que o registrado um ano antes.

Isso sem contar os danos imateriais e a perda de confiança que, como tais, são muito mais difíceis de contabilizar. Então, é muito prudente considerar o investimento em segurança da informação. Veja os benefícios atrelados à prática!

Evita ataques DDoS

Os chamados ataques Distributed Denial of Service (DDoS) são particularmente perigosos porque, neles, os invasores tornam impossível o acesso aos sistemas atacados. Eles fazem isso por uma variedade de técnicas pelas quais criam uma sobrecarga no tráfego, inviabilizando qualquer tipo de operação em um sistema online.

O desafio é se antecipar a esse tipo de ataque, que nunca acontece da mesma maneira. Essa imprevisibilidade faz com que a segurança da informação tenha que redobrar seus esforços no sentido de prever falhas e implementar protocolos de acesso seguros.

Dessa forma, todo investimento que se faça para impedir ataques DDoS será sempre bem-vindo, tendo em vista o seu altíssimo potencial de causar danos.

Protege contra ataques Ransomware

Por sua vez, ataques do tipo Ransomware são uma espécie de sequestro virtual. A diferença, aqui, é que, em vez de pessoas, o alvo do cibercrime são os dados, que são acessados e criptografados sem autorização. Com isso, as pessoas devidamente autorizadas a acessá-los perdem suas credenciais, pelo que é cobrado um resgate.

Ao proteger sua empresa dessa modalidade de ataque, você também se previne de prejuízos de grande vulto. Isso porque segundo uma pesquisa da Safety Detectives, estima-se que os custos com esse tipo de cibercrime, em 2021, cheguem a impressionantes US$ 20 bilhões.

Garante a segurança de blockchain

Embora seja considerado um ambiente seguro, o blockchain também sofre eventuais ataques. Neles, o alvo dos invasores são as criptomoedas, o que gerou, em 2017, um prejuízo equivalente a US$ 2 bilhões, segundo uma reportagem da revista Época.

Considerando que não só pessoas físicas como empresas estão investindo cada vez mais nesse ativo financeiro, vale atentar para medidas que as protejam de ciberataques. Há, inclusive, softwares e recursos desenvolvidos exclusivamente para proteção de dados nesse ambiente, como o da Kaspersky.

Cumpre a LGPD

Finalmente, como benefício adicional, ao investir em segurança da informação sua empresa garante que estará em conformidade com a recente LGPD. Dessa forma, além de assegurar transações confiáveis e o correto tratamento dos dados de seus clientes, você também evita prejuízos financeiros.

Afinal, a lei prevê sanções pesadas para quem não cumpri-la, com multas podendo chegar a 2% do faturamento anual, limitadas a R$ 50 milhões. Cabe frisar que essas multas só passam a valer a partir de agosto de 2021, por isso, quanto antes você investir, mais tempo terá para ajustar seus processos com base na nova lei.

Quais são os princípios da segurança digital?

Com todas as dificuldades e precauções apresentadas, as equipes responsáveis pela segurança digital enfrentam diversos desafios no dia a dia. Elas devem se adaptar rapidamente às novas condições necessárias para a continuidade dos negócios e, ao mesmo tempo, precisam estar preparadas para enfrentar problemas cada vez maiores em um ambiente hostil.

Os profissionais da área devem aprender a trabalhar com as principais e mais modernas tendências tecnológicas, pois, assim, conseguem manter a proteção de todo o sistema corporativo. Para facilitar o processo, foram definidos alguns pilares que colocam empresas e profissionais da área em conformidade.

Confidencialidade

O princípio da confidencialidade define que as informações só podem ser acessadas e atualizadas por pessoas com autorização e credenciamento para tal. Dessa forma, é importante que as empresas contem com recursos da tecnologia da informação capazes de impossibilitar que usuários não autorizados acessem dados confidenciais — seja por engano ou má-fé.

Confiabilidade

É o fundamento que atesta a credibilidade da informação. Essa característica é muito importante, pois garante ao usuário a boa qualidade dos dados com os quais ele trabalhará.

Integridade

A integridade assegura que as informações não sofrerão nenhum tipo de modificação sem que um colaborador de confiança autorize a ação. Garantir que os dados não serão alterados durante o tráfego, processamento ou armazenamento é um princípio muito importante para a segurança da informação.

Assim, eles permanecem íntegros durante todo o processo. Esse pilar certifica, por exemplo, que todos os destinatários receberão as informações assim como elas foram enviadas.

Disponibilidade

O princípio da disponibilidade pressupõe que as características das informações estejam disponíveis aos usuários exatamente no momento em que eles precisarem delas. Para isso, softwares, hardwares, conexões e dados devem ser oferecidos a quem vai utilizá-los, de forma que as pessoas tenham acesso àquilo de que necessitam.

É importante destacar que esse pilar está diretamente ligado à confidencialidade. Afinal, para disponibilizar as informações, é necessário respeitar as regras estabelecidas pela segurança da informação.

Autenticidade

Garantir a proteção dos dados com autenticidade significa saber, por meio de registros apropriados, quem fez atualizações, acessos e exclusões de informações, de modo que exista a confirmação da sua autoria e originalidade.

Todas as particularidades da segurança da informação devem estar em vista e ser tratadas com o máximo de bom senso e cuidado, para que os colaboradores e gestores da empresa sejam beneficiados. Da mesma forma, o público externo, como parceiros e clientes, também se favorece com essa ação.

Quais ações de segurança devem ser tomadas?

Para entender como agir em caso de ataque, é importante conhecer antes os principais objetivos dessas ações, que são:

  • interrupção — afeta a disponibilidade das informações, fazendo com que elas fiquem inacessíveis;
  • interceptação — prejudica a confidencialidade dos dados;
  • modificação — interfere na integridade das informações;
  • fabricação — prejudica a autenticidade dos dados.

Também é possível classificar os ataques, como:

  • passivo — grava de maneira passiva as trocas de informações ou as atividades do computador. Por si só, não é um ataque prejudicial, mas os dados coletados durante a sessão podem ser utilizados por pessoas mal-intencionadas para fraude, adulteração, bloqueio e reprodução;
  • ativo — momento no qual os dados coletados no ataque passivo são utilizados para diversas finalidades, como infectar o sistema com malwares, derrubar um servidor, realizar novos ataques a partir do computador-alvo ou até mesmo desabilitar o equipamento.

Conheça, agora, as principais ações para proteger as informações da empresa.

Registros de logins

O uso de logins e senhas para conter o acesso aos sistemas é um dos meios mais comuns de proteção digital, mas ainda muito efetivo. O grande problema é que cibercriminosos podem usar programas que testam diversas combinações de números, letras e outros caracteres para acessar uma rede corporativa.

Para dificultar a ação, os usuários devem escolher sempre senhas fortes. De toda forma, é importante que a equipe de TI monitore os erros de segurança e os acessos de login. Autenticações realizadas fora do horário comum podem ser evidências da ação de crackers.

Proteção de servidores

Proteger os servidores corporativos é uma ação indispensável para qualquer empresa. Devido ao tráfego intenso e ao elevado nível de energia requerido pelos sistemas, as ferramentas de segurança precisam aproveitar de modo inteligente os recursos do hardware.

As soluções aplicadas devem possibilitar proteção integral contra ataques, de maneira proativa e com detecção em tempo real, consumindo a menor quantidade possível de recursos do sistema.

Segurança de e-mail

O e-mail é uma ferramenta muito utilizada para a difusão de ameaças digitais. Portanto, a sua proteção não pode ser negligenciada. Como veremos, o phishing é uma das principais formas de ataque, assim como o compartilhamento de anexos ou links.

Para usar gerenciadores de e-mail nas máquinas, é importante ter alguns cuidados, como:

  • fornecer permissões de acesso apenas a dispositivos automatizados;
  • proteger os conteúdos e os anexos do e-mail;
  • instalar firewalls e filtros contra spam.

Também é necessário definir políticas de orientação, de modo que os colaboradores entendam sobre boas práticas na coordenação de e-mails.

Backups

A cópia de segurança — ou backup — é um mecanismo essencial que assegura a disponibilidade das informações, caso as bases nas quais elas foram armazenadas sejam roubadas ou danificadas. Os novos arquivos podem ser armazenados em dispositivos físicos ou em nuvem.

O importante é que sejam feitas, pelo menos, duas cópias de segurança e que tais registros sejam guardados em locais distintos da instalação original. A partir do backup, é fácil recuperar, em um curto intervalo de tempo e sem grandes mudanças na rotina, as informações perdidas por acidentes ou roubos.

Mecanismos de segurança eficazes

Existem muitos procedimentos de segurança lógicos, físicos ou que combinam as duas possibilidades para a prevenção da perda de dados e o controle de acesso à informação. O meio físico pode ser a infraestrutura de TI protegida por uma sala com acesso restrito.

Para isso, a empresa pode investir em travas especiais nas portas ou em câmeras de monitoramento. Nesses ambientes, é fundamental haver sistemas de refrigeração e de instalações elétricas adequadas para assegurar o correto funcionamento dos equipamentos.

Em caso de falta de energia elétrica, é importante ter nobreaks que consigam garantir o funcionamento da instalação pelo tempo suficiente. Equipamentos de telemetria também são importantes para detectar falhas e emitir alertas automáticos aos responsáveis.

Assinatura digital

A assinatura digital é um método que usa a criptografia para garantir a integridade e a segurança dos documentos e das transações eletrônicas. Como a grande parte dos arquivos empresariais migrou para os meios virtuais, garantir suas autenticidades é crucial.

Dessa forma, a assinatura digital serve para validar contratos e outros conteúdos, garantindo que o emissor de um documento foi verificado e que o remetente é realmente quem diz ser.

Ameaças à segurança da informação

A cada ano, as ameaças se tornam mais personalizadas e sofisticadas e conseguem explorar pontos fracos de diversos alvos. Os avanços tecnológicos também permitem que os cibercriminosos transformem ou contornem as defesas que já foram implementadas.

Como a tendência é que os riscos aumentem, as empresas devem se manter sempre atualizadas e conhecer as principais ameaças à segurança da informação.

Vírus e malwares

Tanto em dispositivos pessoais quanto nos corporativos, os vírus de computador são um dos maiores temores dos usuários. Isso acontece porque a ação dos softwares mal-intencionados causa diversos prejuízos, especialmente em grandes corporações.

Apesar de todo vírus de computador ser um tipo de malware, nem todo malware é considerado um vírus. No primeiro caso, os invasores não conseguem se reproduzir nos dispositivos por conta própria e dependem da ação dos usuários.

Malware, por sua vez, é um termo que caracteriza todos os tipos de softwares maliciosos que podem prejudicar uma máquina. A seguir, confira as características dos principais vírus e malwares que podem prejudicar os computadores e a segurança da informação da sua empresa.

Arquivo

Esse tipo de ameaça contamina, exclusivamente, arquivos executáveis do sistema operacional — ou seja, aqueles com final .exe ou .com. Por outro lado, eles são ativados apenas quando o usuário abre o item infectado. Por esse motivo, é essencial baixar e abrir apenas arquivos de fontes confiáveis, sobretudo se eles forem enviados por e-mail.

Cavalo de Troia (Trojan)

Desta lista, talvez o Cavalo de Troia seja o malware mais popular. O objetivo dessa ameaça é ficar em constante execução, sem ser notada pelo usuário. O criminoso pode ter acesso completo ao computador da vítima, monitorando todas as suas atividades no dispositivo.

Dados bancários, senhas, arquivos e outras informações confidenciais podem ser visualizadas e utilizadas contra a companhia. Esse comportamento tende a negativar a reputação do IP corporativo, gerando impactos indesejados aos negócios.

Um exemplo de repercussão prejudicial são as diversas soluções de segurança de perímetro, que analisam blacklists e bloqueiam todos os tráfegos realizados com IPs que estão listados.

Adware

Os adwares tendem a parecer programas confiáveis. Entretanto, depois que são instalados, passam a monitorar a conexão com a internet a fim de acionar outros malwares. Além disso, possibilitam a apresentação de propagandas indesejáveis nos navegadores. Outro problema é que também facilitam a prática do phishing, que entenderemos melhor a seguir.

Backdoor

O backdoor é normalmente contraído por meio de caixas de e-mail ou páginas da web. Esses vírus abrem uma “porta de trás” — como sugere a tradução — para que os hackers consigam se aproveitar do dispositivo.

A liberação da ameaça também só acontece após o arquivo infectado ser executado. Assim, a máquina fica livre para a ação dos invasores. Em alguns casos, o computador vira uma espécie de “zumbi” e colabora com outros ataques na internet.

Boot

Por fim, temos um dos vírus mais destrutivos. O boot afeta os programas responsáveis pela inicialização do disco rígido do computador. Esses arquivos são fundamentais para a correta atividade do sistema operacional. O problema é tão grave que o vírus pode impedir que os usuários acessem os próprios dispositivos.

Softwares desatualizados

Essa é uma das principais portas para cibercriminosos. Softwares desatualizados representam uma das formas mais fáceis de invadir servidores empresariais, pois a falta de atualização recente torna os equipamentos vulneráveis.

Muitos vírus e malwares são destinados a versões mais antigas dos sistemas exatamente porque é mais simples de explorar vulnerabilidades que já foram corrigidas em alternativas recentes.

Por isso, quando um usuário deixa de baixar uma atualização ou mantém softwares antigos sem suporte do fabricante, a organização fica sujeita a falhas e ataques. Esse upgrade representa correções e melhorias na segurança. Assim, o caminho do ataque fica mais trabalhoso.

Deixar o ambiente virtual desprotegido representa grandes problemas para os gestores, como perda de informações estratégicas, vazamento de dados sigilosos, interrupções nos negócios, danos à credibilidade e prejuízos à reputação da empresa.

Logo, é vital manter o suporte do fabricante para receber todas as atualizações de segurança dos softwares. Depois, incentive os colaboradores a fazerem a instalação assim que receberem o aviso.

Phishing

Essa é uma prática em que o invasor envia mensagens por e-mail se passando por uma instituição confiável e legítima — em geral, como bancos e serviços de transações online — induzindo a vítima a fornecer informações pessoais.

Apesar de ser uma das armadilhas mais antigas e conhecidas da internet, ainda assim o phishing atrai muitas vítimas que fazem uso de e-mail. Atualmente, essa prática vem sendo utilizada em ataques de Business Email Compromise (BEC).

O objetivo é fazer com que os gerentes da empresa-alvo acreditem estar em contato com outros executivos. Assim, as companhias fazem depósitos bancários em contas de terceiros sem saber de que se trata de um golpe. O maior problema é que os criminosos não deixam rastros, pois as mensagens não apresentam links ou anexos.

Ransomware

É um tipo muito nocivo de software, que bloqueia o acesso a todos os dados e cobra um resgate para que o sistema retorne ao normal ― muitas vezes, em criptomoedas. Essa prática está crescendo, e muitas empresas acabam cedendo à pressão, por medo da invasão.

Porém, os especialistas em segurança reforçam que, antes de qualquer decisão ou pagamento, a empresa atacada deve buscar ajuda da polícia ou de uma equipe especializada em crimes cibernéticos.

Criptografia

A criptografia realiza o estudo das técnicas e dos fundamentos pelos quais as informações podem ser transformadas para formas ilegíveis. Dessa maneira, elas são reconhecidas apenas pelos seus destinatários, o que dificulta a ação de pessoas não autorizadas.

Essa é uma das ferramentas automatizadas mais importantes na segurança das redes e das comunicações. Por meio da chave de acesso, apenas o receptor pode fazer a leitura e a interpretação dos dados com facilidade. Portanto, a criptografia se tornou uma das principais medidas contra o risco de roubo das informações particulares.

Firewall

O firewall é um mecanismo que controla o tráfego de dados entre as máquinas de uma rede interna e delas com conexões externas. Para isso, são usados protocolos de segurança que garantem o correto exercício da comunicação entre dois sistemas, de modo a impedir ações intrusas.

Entre as principais práticas dos invasores estão a venda de informações privilegiadas, o uso inapropriado de dados financeiros de terceiros e o bloqueio do acesso aos computadores para cobrança de resgate.

Como configurar um firewall para manter os dados seguros?

Nas grandes corporações, com mais de mil colaboradores, a tarefa de configurar um firewall é, naturalmente, muito mais complexa. No entanto, em uma empresa de pequeno e até médio porte é possível fazê-lo de forma relativamente simples. Para isso, você pode seguir os passos conforme descrito a seguir:

  • obtenha um firewall de um fornecedor confiável;
  • se já tiver um, atualize-o para uma versão mais recente de firmware;
  • estabeleça restrições de acesso, caso ele possa ser configurado por mais de um usuário;
  • faça a conversão de endereços de rede (NAT) a fim de permitir que dispositivos internos se comuniquem na web sempre que necessário;
  • configure listas de acesso ACL;
  • habilite o firewall como servidor de protocolo de configuração dinâmica de host (DHCP);
  • teste o firewall, verificando se ele está bloqueando o tráfego conforme as configurações da ACL;
  • volte ao segundo passo e atualize o firmware sempre que houver a possibilidade.

O que são certificados SSL e quais os seus principais tipos?

Utilizado para codificar informações por meio da criptografia, um Secure Socket Layer (SSL) consiste em um certificado que protege dados sigilosos que circulam na web. Trata-se de um serviço prestado por empresas particulares que o concedem depois de submeter o site a uma rigorosa auditoria.

Os certificados SSL são especialmente indicados para empresas com operações online. Portanto, quem trabalha com e-commerce ou m-commerce tem nesse tipo de selo uma proteção e uma garantia quase obrigatória.

Isso porque, além de transmitir mais credibilidade, um certificado desse tipo garante para o site posições de destaque nos resultados da busca orgânica do Google. Veja então os três tipos de certificados SSL mais utilizados e saiba como eles protegem suas informações.

Domínio

Modalidade de SSL mais popular dentre as mais conhecidas, o SSL de domínio fornece segurança básica e atesta a segurança de um domínio. É indicado para empresas de pequeno porte por ter custos acessíveis, já que a criptografia empregada também é básica.

Organização

Já os SSL de organização estão numa prateleira acima dos de domínio. Isso porque, fora os serviços básicos de segurança, ele também fornece ao público dados sobre a empresa portadora do domínio. Sendo assim, é indicado para validar a existência física do negócio, sua credibilidade, bem como a segurança de suas transações na web.

Estendido

Nível mais alto de certificado SSL, nele, a empresa pode ter seu nome destacado nos browsers, no espaço antes do domínio. É bastante indicado para grandes empresas e plataformas de e-commerce com altos volumes de vendas.

Vale a pena investir em tecnologia?

Segundo uma pesquisa da Gartner, estava previsto um gasto mundial de US$ 124 bilhões em 2019, e seus maiores impulsionadores eram:

  • riscos de segurança;
  • necessidades de negócios;
  • mudanças na indústria.

Afinal, aqueles que trabalham em colaboração com a segurança cibernética sabem que não existe organização 100% segura. Podemos mitigar os problemas com segurança, mas não é possível estabelecer sua extinção, infelizmente.

Sem dúvidas, o gerenciamento de riscos deve ser o primeiro planejamento a ser feito para conseguir justificar os investimentos com segurança da informação.

Outra questão que demandará muito investimento em nível mundial é a preocupação com a privacidade dos dados e, é claro, as multas salgadas que virão se a empresa não seguir as novas políticas de governança ― estimuladas principalmente devido à adequação dos sistemas para o GDPR e, no Brasil, a LGPD também.

Medidas preventivas

Não vale a pena chorar sobre o leite derramado. Uma vez que a informação de um cliente é vazada, nada pode ser feito sobre isso. Você pode registrar uma queixa, informar as autoridades sobre a infração e esperar que a lei resolva o problema.

Mais uma razão de trabalhar constantemente para impedir vazamentos futuros. Veja algumas dicas para evitar uma violação de segurança em sua empresa:

  • diminua as ameaças de ex-funcionários realizando verificações de segurança rigorosas antes de serem contratados e depois de terem saído;
  • altere as senhas após a partida de todos os funcionários que tiveram acesso a informações confidenciais;
  • efetue uma verificação de segurança em todas as contas oficiais e não oficiais e no correio de ex-empregados, pelo menos uma vez por mês;
  • mantenha uma verificação regular sobre o fluxo de informações confidenciais da empresa;
  • melhore os sistemas internos e garanta que os departamentos de Recursos Humanos e de TI da sua empresa trabalhem de mãos dadas para proteger informações vitais;
  • colete feedback do local de trabalho dos funcionários em uma base regular, para que você seja capaz de cortar pela raiz qualquer possível ação dolosa;
  • contrate controles de segurança e gerenciamento de informações;
  • implemente uma política BYOD ― Bring Your Own Device (ou “leve seu próprio dispositivo”) se dispositivos móveis pessoais estiverem sendo usados.

Por que contratar uma empresa especializada?

A efetiva terceirização de qualquer função de negócio requer definição, avaliação e estabelecimento de entradas e saídas. Usando essas informações, uma organização pode abordar o mercado e especificar claramente o escopo do que precisa e quais resultados são esperados.

Entender o valor da função facilita a análise de custo-benefício. Esse estudo deve justificar a terceirização e levar em conta o custo de selecionar a melhor empresa. Como os sistemas de segurança da informação são cada vez mais de natureza técnica, a solução que os protege geralmente envolve:

  • produtos de segurança como antivírus, firewalls e detecção de intrusões;
  • serviços de segurança, a exemplo de gerenciamento de eventos de segurança;
  • testes de penetração;
  • teste de resposta a incidentes.

Embora os produtos e serviços possam ser componentes significativos na solução de segurança de uma organização, eles, sozinhos, não são tudo. O conhecimento pode e deve ser garantido por meio de SLA ― Service Level Agreement, ou Acordo de Nível de Serviço.

Esse documento rege políticas, padrões e diretrizes e idealmente é financiado pelo comitê executivo de uma organização. Muitas vezes, em pequenas e médias empresas, a segurança é financiada indiretamente pelo departamento sob o qual ela reside.

Devido ao tamanho e ao natural domínio das regras de negócios, a terceirização é extremamente difícil, mas, de qualquer forma, precisa de uma SLA. Os métodos de detectar operações incorretas ou falhas do sistema ou de infraestrutura exigem mais conhecimento especializado.

Os fatores que contribuem com essas decisões incluem obrigações legais, projeções de custo-benefício, análise de risco e benefícios intangíveis, bem como obrigações éticas com o conteúdo dos dados.

O lado financeiro da questão

Para permitir que a sua diretoria financie a segurança da informação sem precisar entender a tecnologia subjacente, os fatores relevantes geralmente são traduzidos em moeda, comumente entendida como risco em dinheiro. Essa tradução, no entanto, é muitas vezes incompleta e sempre requer maior interpretação.

Com um método tão prejudicado na tomada de decisões e um risco aparente para o negócio, é comum considerar que é melhor fazer alguma coisa do que nada. Os firewalls são comprados e o IDS (Intrusion Detection System, ou sistema de detecção de intrusão) é instalado com grande despesa.

Muitas das contramedidas adquiridas podem atender a uma exigência óbvia para o engenheiro treinado, mas o nível de investimento não costuma ser equilibrado. O nível de risco pode justificar uma alocação significativa de fundos, mas nem sempre é possível distribuir esses fundos da maneira mais eficiente.

Afinal, iniciativas podem ser complexas em si mesmas ou o impacto delas ser difícil de entender. Por exemplo, tente justificar porque a falha de segurança X, que nunca ocorreu, pode ser mais perigosa e cara do que a falha de segurança Y, que ocorre mensalmente, mas não é perigosa, pois o sistema já detecta, trata e apaga qualquer resquício.

O que avaliar na hora de contratar um serviço de cibersegurança?

É comum haver terceirização das áreas de operações de segurança. Todavia, uma equipe dedicada muitas vezes não é garantida e, para evitar surpresas desagradáveis, é preciso considerar alguns pontos. Para começar, o que será feito pela sua organização?

Um bom MSSP ― Managed Security Service Provider ou Provedor de Serviços de Segurança Gerenciados ― não apenas examinará seu firewall, antivírus e correções, mas também terá uma visão holística sobre como eles protegem seus clientes e garantirá as condições para implementar as mudanças necessárias à organização, englobando:

  • tecnologia ― UTM, firewall, wireless, VPN, melhores práticas e gerenciamento de patches;
  • gestão ― gestão de riscos, processos, auditoria, relatórios e treinamentos;
  • adaptabilidade ― recuperação de desastres, continuidade de negócios, resiliência de negócios;
  • conformidade ― consequência natural do cumprimento das etapas anteriormente descritas.

O domínio do conhecimento técnico, de acordo com as necessidades do negócio, assegura que a empresa MSSP conte com pessoas que sejam especialistas em uma ou mais áreas de proteção digital. Além disso, confirma o nível certo de educação, treinamento e capacidade das pessoas que serão alocadas ao projeto.

O elemento humano

Outra questão importante é verificar se a empresa terceirizada tem capacidade e pessoas habilitadas em todos os níveis necessários para o atendimento da sua organização, sem gargalos no atendimento. Ademais, o que ela fará para tornar sua vida mais fácil? Existem alterações que serão recomendadas por um MSSP, por dois motivos:

  • os sistemas que você tem em funcionamento não estão fazendo o trabalho adequado e precisam ser substituídos por sistemas mais seguros;
  • os sistemas utilizados não podem ser suportados pelo MSSP, porque eles não têm uma equipe especializada para geri-los.

Então, se você acabou de adquirir um firewall e o MSSP quer que você o substitua por outro, o problema é o MSSP, e não o firewall. Nunca se esqueça, também, de que a companhia que faz a terceirização de sua segurança digital é uma parceria.

Ela está lá para proteger seus dados, sua infraestrutura, clientes e quipe. Você, inclusive, paga por esse serviço. Então, certifique-se de que todas as partes envolvidas entendam suas obrigações, colocando tudo detalhadamente em SLA.

Por fim, verifique quanto custará. Sua empresa dará conta do valor mensal a ser pago ao MSSP? Esse custo mensal precisa ser negociado também, sem esquecer possíveis reajustes. O custo de um SLA de MSSP deve incluir monitoramento, gerenciamento e geração de relatórios, mas não projetos fora do escopo. Por isso, tenha muita atenção antes de fechar um contrato!

Garantias

A principal questão com os aspectos de terceirização da segurança da informação é que, embora a intenção possa permanecer a mesma, a garantia é bastante reduzida. Isso é melhor ilustrado considerando os dois casos extremos.

Em uma organização onde a segurança da informação é totalmente terceirizada, tudo está um passo adiante. O contrato é com uma empresa de responsabilidade limitada, que oferece estratégias de recrutamento desconhecidas e potencialmente subcontrata uma série de funções.

Geralmente, há uma oportunidade limitada de avaliar os indivíduos que estão realizando o trabalho, mesmo que possam ser identificados. Os incentivos dados à equipe de terceirização são desconhecidos e podem contradizer a intenção da função ser terceirizada.

A padronização e seus limites

A padronização pode fornecer uma grande ajuda para melhorar a postura de segurança de uma empresa. Contudo, é provável que uma organização que dependa unicamente de padrões para garantir a segurança tenha uma lacuna, como muitas vezes é demonstrado.

Tanto quanto possível, é reduzido o escopo para que seja diminuído o custo do projeto — uma abordagem razoável apenas se houver algo a esconder. Todas as organizações devem ter, pelo menos, uma função de segurança designada. Enquanto a pessoa que detém o papel não pode ser dedicada à segurança, o treinamento deve ser fornecido para garantir um nível calculado de habilidade.

Qualquer contratação de terceiros em serviços de suporte têm de ser gerenciada por essa função. A terceirização da segurança em sua totalidade não é viável. Para manter um nível de proteção próximo do objetivo delineado, um especialista em segurança precisa definir as verificações e os balanços.

A terceirização de operações de segurança é possível, mas há uma sobrecarga que precisa ser considerada. As tarefas operacionais devem ser projetadas, e não o que o provedor de serviços puder gerenciar.

As concessões podem ser feitas para um fornecedor preferencial, mas garantir que o estado de destino para as operações de segurança seja definido torna possível quantificar as concessões e, se necessário, compensar em outro lugar.

Um rápido exemplo

Quando uma solução turnkey está sendo comprada de um integrador, deve-se presumir que a segurança não foi considerada até que se prove o contrário. Isso não quer dizer que os integradores sejam negligentes, mas o foco de seus negócios é entregar o que foi solicitado pelo menor preço.

A segurança em uma solução não será necessária para entregar a função do usuário final e, logo, é facilmente cortada sem reclamação. Uma parte independente, interna ou externa, deve ser contratada para revisar a solução e garantir que os riscos introduzidos sejam compreendidos e formalmente aceitos pela empresa, antes da implantação.

Testes

O teste de penetração é um serviço especial que é terceirizado em muitos casos. É uma demanda complexa, e há um valor significativo em fazê-la independentemente. Também produz uma entrega na forma de um relatório que torna fácil justificá-la. Devemos lembrar, no entanto, que não é o quadro todo.

O teste de penetração não deve considerar práticas operacionais que podem introduzir novas vulnerabilidades tão rapidamente quanto as antigas são removidas. Frequentemente, não há evidências de que o indivíduo que está realizando o teste seja adequadamente qualificado para tanto, nem prova de que a maioria das vulnerabilidades presentes foi descoberta.

Por que os testes devem ser contínuos?

Independentemente da função de segurança que está sendo terceirizada, o teste deve ser uma medida de garantia continuada. As equipes operacionais têm de estar sujeitas a tentativas de engenharia social e incidentes simulados, garantindo que sua resposta seja apropriada.

Vulnerabilidades conhecidas precisam ser incorporadas aos aplicativos antes do início do teste de penetração, para garantir que eles sejam relatados. É claro que o teste é necessário mesmo quando a segurança é totalmente originária de dentro, mas não precisa incluir o teste da competência do terceirizado, uma vez que a competência do pessoal interno já deve ser bem compreendida.

Componentes de segurança podem ser entregues de modo eficaz por parceiros terceirizados, mas é preciso mais do que esperar pelo melhor. A terceirização de componentes de segurança, como qualquer decisão de negócios, deve considerar todos os impactos e riscos. É preciso completar a devida diligência, gerenciar os riscos, implementar as mitigações e, claro, monitorar os controles de garantia embutidos.

Proteger os dispositivos responsáveis pelo armazenamento e processamento dos dados é fundamental para manter a segurança da informação na empresa. É importante lembrar que essa ação abrange muitos aspectos: tecnológicos, jurídicos, físicos, virtuais e humanos. Ao buscar as melhores práticas, é possível manter a qualidade e a saúde financeira da instituição.

Chegamos ao final deste guia supercompleto sobre segurança da informação com a certeza de que, agora, você tem o conhecimento necessário para proteger seus dados. Não se esqueça: segurança é um processo dinâmico, por isso, manter-se sempre a par das últimas inovações é fundamental.


Publicado por: Amanda Gonçalves

Comentários

Postagens mais visitadas