O setor de TI desempenha um papel estratégico nas empresas. Além de impulsionar a transformação digital nos negócios, ele gerencia práticas e sistemas de segurança da informação. Por isso, implementar cyber security significa proteger melhor um ativo cada vez mais valioso às empresas — os dados.
Soluções como essa são primordiais para evitar a exposição das informações aos riscos do ambiente virtual: ataques, vazamentos, perdas etc. Vale destacar, por exemplo, que a Lei Geral de Proteção de Dados (LGPD) regula essa questão, estabelecendo normas a serem seguidas e penalidades, que incluem multas, a quem não garantir a conformidade.
Pensando nisso, reunimos aqui algumas dicas fundamentais que vão ajudar você nesse processo — desde a análise das demandas da empresa até a capacitação das equipes para usar um sistema de cyber security. Confira!
1. Avalie os dados que sua empresa utiliza
Antes de definir uma estratégia para proteger os dados da empresa, é preciso identificar exatamente qual é sua natureza e volume. Diversos setores da indústria, por exemplo, adotam tecnologias como a Internet das Coisas (IoT) e o Big Data ao coletar e processar dados.
A diversidade do material envolve desde informações de desempenho das máquinas, até projetos, custos, dados de clientes etc. As demandas são diferentes, por exemplo, de uma loja virtual ou de uma empresa de desenvolvimento de softwares que adota Infrastructure as a Service (IaaS) na nuvem.
Então, nessa primeira etapa devemos mapear essa relação entre o core business e os arquivos — da organização, dos clientes e dos fornecedores — que as equipes manipulam no dia a dia.
2. Rastreie os dados criados internamente
A segunda etapa é complementar a primeira. Nela, rastreamos quais dados são gerados pela própria empresa. Voltando ao exemplo do varejo digital, é preciso considerar as Notas Fiscais de venda, os dados cadastrais coletados de cada cliente, as informações trocadas com fornecedores, entre outros.
3. Avalie os sistemas
A infraestrutura que você utiliza deve ser avaliada com o objetivo de mostrar qual é o nível de maturidade da organização. Um benefício imediato que isso gera é identificar oportunidades para escalar a tecnologia de acordo com o que concorrentes vêm fazendo ou por meio de iniciativas próprias.
No que diz respeito à segurança da informação, essa etapa mostrará um panorama do que sua empresa já tem à disposição e do que pode ser aprimorado. O foco é entender como a proteção aos dados é gerenciada atualmente — não só em nível digital, mas na rotina das equipes.
4. Identifique vulnerabilidades
Com base na compreensão de quais são os dados e como os utilizamos, é hora de identificar os principais riscos aos quais a empresa está exposta. Uma dica importante é a realização de testes de vulnerabilidade e de penetração (pentest).
No primeiro caso, uma equipe de especialistas em defesa cibernética, o Blue Team, faz uma análise geral da estratégia de defesa. Já o pentest é feito por um time conhecido como Red Team, cuja abordagem simula uma invasão.
A equipe se coloca no papel de hackers e tenta alcançar um objetivo — invadir um servidor, derrubar uma plataforma, roubar dados etc. O objetivo é levantar um relatório com brechas e ameaças em potencial, elencando as prioridades para que a equipe de TI tome as devidas precauções.
5. Crie e implemente o sistema de cyber security
Um erro comum entre empresas dos mais variados setores é acreditar que simplesmente adotar os softwares mais populares é suficiente em garantir a segurança da infraestrutura de TI. Em geral, isso traz um custo alto sem qualquer garantia de sucesso.
A abordagem mais eficiente envolve um modo de pensar com o qual gestores estão familiarizados: estabelecer objetivos e planejar a estratégia a fim de alcançá-los. Se no passo anterior identificamos as vulnerabilidades, agora é hora de definir as soluções e práticas mais adequadas para corrigi-las.
Um conjunto básico de softwares — como antivírus, antiphishing e sistema de controle de acesso ao servidor — cria uma barreira de proteção do perímetro. Todavia, devemos ir além e neutralizar as vulnerabilidades causadas pelo comportamento humano.
O relatório X-Force Threat Intelligence Index 2020, fruto de um estudo da IBM, aponta que 31% dos ataques partem de phishing. Resumidamente, estamos falando daquele e-mail falso que os cibercriminosos enviam, muitas vezes tentando se passar por uma loja ou empresa pública.
Basta que um único funcionário clique no link e pronto: uma porta foi aberta para um malware acessar a rede. Uma boa Política de Segurança da Informação, então, envolve não só softwares e estratégias de TI, mas um conjunto de práticas que todos devem adotar no dia a dia.
6. Invista em capacitação e conscientização das pessoas
Seu setor de TI deve estar capacitado em manusear as ferramentas de monitoramento e defesa, desde o antivírus até um sistema robusto de inteligência cibernética. Já os colaboradores devem, em primeiro lugar, compreender os riscos e a importância de adotar as práticas indicadas pela empresa.
Nem todo mundo sabe, mas uma das principais ferramentas ao invadir uma rede é a engenharia social. O cibercriminoso identifica um funcionário da empresa, investiga seu comportamento nas redes sociais e cria uma brecha.
Imagine um e-mail falso com uma grande promoção de livros e um link malicioso. O quão fácil é descobrir as preferências de leitura de um usuário de redes sociais hoje? Tendo isso em mente, é fundamental aliar tecnologia e as melhores práticas individuais.
7. Conte com especialistas no assunto
Com um time de especialistas trabalhando ao seu lado, você conta com a expertise necessária ao realizar todas essas etapas com tranquilidade, sobretudo considerando etapas que exigem conhecimento aprofundado, como o pentest.
A Stefanini é referência no assunto, reconhecida por diversas organizações, como o ranking das 10 empresas mais inovadoras do Brasil, segundo o Whom!, e o prêmio de Parceira Global do Ano pela AT&T.
Os serviços da Stefanini incluem todos os estágios da implementação. Na avaliação de maturidade da empresa, por exemplo, são usadas como critério as normas da ISO 27000 — uma etapa fundamental ao garantir conformidade com a LGPD.
Os testes de vulnerabilidade e penetração oferecem relatórios detalhados dos principais riscos. A partir deles, os especialistas definem um conjunto de soluções específicas às demandas da empresa. O portfólio é grande!
Agora que você sabe qual o caminho para implementar cyber security, coloque essas tecnologias para trabalhar a seu favor e não abra mão da ajuda de quem mais entende do assunto. Assim, você otimiza o investimento feito e transforma a segurança dos dados em um diferencial da empresa.
Se quer mais detalhes sobre como a cyber security pode ser implementada no contexto específico do seu negócio, entre em contato com a Stefanini e conheça melhor nossos serviços e soluções!
