Tudo sobre segurança da informação! Confira nosso guia completo do assunto

21 de Janeiro de 2019 por Stefanini

Um tema importante na gestão de negócios, a segurança da informação tem se tornado uma pauta cada vez mais abordada nas empresas, especialmente no setor de TI. As ações contra ataques digitais devem ser estratégicas, para garantir que o conjunto de dados confidenciais da organização esteja seguro.

O grande problema é que qualquer falha encontrada nas redes e nos sistemas pode abrir caminho para problemas maiores. Em 2015, um erro desse tipo expôs 4 milhões de servidores federais dos Estados Unidos. Isso mostra que grandes corporações e até mesmo órgãos governamentais estão suscetíveis a ciberataques e brechas de segurança.

Empresas de pequeno e médio porte também podem perder seus dados para cibercriminosos, principalmente devido à maior vulnerabilidade dos seus sistemas. Por isso, é fundamental que os gestores entendam a importância do assunto, bem como todos os pontos, técnicas e informações envolvidos para aprimorar a proteção do negócio.

Neste artigo, mostraremos como aumentar a segurança digital nas empresas. Para isso, é preciso entender o conceito e seus princípios e sua importância, as penalidades legais envolvidas e o valor do investimento. Além disso, é essencial verificar a necessidade de contratar empresas especializadas e saber o que avaliar nesse momento. Este guia está completo, respondendo todas essas questões! Vamos conferir?

O que é segurança da informação? E cibersegurança?

A área de TI das empresas trabalha com diferentes tipos de tecnologias para o gerenciamento e armazenamento de dados. Muitos das informações são confidenciais e precisam estar protegidas por políticas de segurança digital. Essas diretrizes determinam as estratégias e os procedimentos mais eficazes para o tratamento dos dados.

Existem diversos conceitos a respeito da área de InfoSec ― Information Security ―, mas utilizaremos esta: a segurança da informação compreende um conjunto de práticas, recursos, sistemas, habilidades e mecanismos usados para proteger todos e quaisquer tipos de dados da empresa e sistemas contra o ataque de criminosos, o acesso indevido de usuários e o uso impróprio das informações da organização. Essas técnicas também visam prevenir o sequestro ou a perda de dados.

Agora, será que segurança da informação e cibersegurança são a mesma coisa? Descobriremos essa resposta a seguir. Continue na leitura!

A cibersegurança

Também chamada de segurança cibernética, cibersegurança é a prática de proteger informações e dados que chegam ao usuário da organização, provenientes de fontes externas e somente por meio de protocolos de internet. Se alguém do outro lado do mundo conseguir invadir a rede de uma empresa e violar seu sistema, esta companhia precisará de uma melhor segurança cibernética.

Percebeu a diferença entre ela e a segurança da informação? Embora muitas pessoas ainda as considerem iguais, eles são realmente diferentes, principalmente na forma técnica como são tratadas e corrigidas. Suas capacidades também são diferentes. Ambas protegem contra informações e dados roubados, acessados ​​ou alterados, mas as semelhanças terminam aí.

É necessário entender que a segurança da informação é considerada uma parte da área de InfoSec. Nesse caso, os dados não precisam estar em um computador ou na internet para precisarem de um sistema de segurança digital, ou da informação. Mesmo que estejam em uma pen drive, assim que o dispositivo se conectar à empresa, eles precisarão ‘passar’ por uma boa estrutura da segurança da informação.

Já a cibersegurança lida com a proteção de dados e informações a partir de fontes externas, provenientes exclusivamente da internet.

Com base nessas informações, chegar a esta conclusão: nem tudo que é segurança da informação envolve a cibersegurança, mas toda cibersegurança envolve a segurança da informação.

Tendo essas premissas definidas, listaremos as melhores práticas que a área de InfoSec precisa realizar. São elas:

evitar e combater ataques virtuais;

  • identificar e recuperar vulnerabilidades nos sistemas de TI;

  • proteger dados armazenados virtualmente;

  • determinar regras para a gestão das informações;

  • controlar o acesso de usuários aos dados corporativos.

    Dessa forma, a segurança digital engloba não apenas os dados em si e seus meios de armazenamento, mas também os sistemas de coordenação e de usuários. Isso significa que ela não se restringe à estrutura de informática e seus componentes, como veremos adiante.

    É fundamental compreender que nenhuma organização é capaz de atingir um nível de controle de 100% das ameaças à segurança da informação. Um dos principais motivos para isso é a constante dinâmica da inovação na evolução de hardwares e softwares.

    Os especialistas da Gartner avaliam que as transformações na segurança cibernética demandarão novos tipos de estratégias e habilidades para superar os ataques. Além disso, eles advertem sobre a impossibilidade de conter todas as ameaças de forma igual — por isso, é necessário privilegiar o que é mais importante no momento.

    Para as autoridades no assunto, os investimentos em segurança da informação devem ser divididos da mesma maneira entre a prevenção e a localização do problema. Apesar de não ser possível evitar todos os ataques, é importante saber como superá-los e resolvê-los o mais rápido possível.

    Quais são os componentes da segurança da informação?

    Esse contexto envolve todos os recursos da empresa de alguma forma. Entre eles, podemos citar computadores, softwares, hardwares, redes e até mesmo os colaboradores. Cada um desses elementos tem um papel importante no que diz respeito à proteção dos dados.

    Computadores

    As máquinas são as principais formas de controle dos dados nas empresas. Por meio delas, as informações são criadas, armazenadas, modificadas etc. Logo, é muito importante que esses itens estejam adequadamente protegidos das ameaças. Softwares e hardwares específicos podem ser utilizados para essa finalidade.

    Softwares

    Os principais softwares que são usados para garantir a segurança da informação são desenvolvidos para atuar como:

    antivírus;

  • antimalwares;

  • antispywares;

  • proxys;

  • antiransomwares;

  • firewalls.

    De maneira geral, eles ajudam a filtrar os conteúdos e a reconhecer possíveis ameaças à preservação dos dados. Os recursos impossibilitam que os invasores encontrem e se aproveitem de alguma vulnerabilidade do servidor que poderia dar início a um ataque.

    Hardwares

    Quando falamos em hardwares e em segurança da informação, o firewall é o principal aliado das empresas. Ele também pode ser encontrado na forma de software — ambos com finalidades semelhantes.

    O firewall como hardware disponibiliza uma série de funcionalidades específicas, que propiciam um melhor gerenciamento dos sistemas. Além disso, a capacidade de processamento dessa versão é superior à do software.

    Colaboradores

    Passando para a parte dos colaboradores, é fundamental que toda a equipe esteja ciente das regras de segurança, para evitar falhas que se tornem portas para a entrada de cibercriminosos. O motivo para essa cautela é que, quando uma pessoa viola as normas, ela abre uma brecha na proteção e compromete toda a rede.

    Existem também os profissionais que atuam diretamente no gerenciamento e na execução das rotinas e atividades de segurança. Essas pessoas podem ser contratadas pela companhia ou integrar o time de organizações parceiras terceirizadas.

    Em geral, engenheiros e analistas de segurança são os responsáveis por elaborar e planejar as melhores práticas de proteção para os dados da empresa. Os técnicos em segurança, por sua vez, devem implantar e executar as ações programadas.

    O trabalho também engloba os gestores, que são encarregados de disseminar e multiplicar as práticas de vigilância por toda a organização, a fim de que elas sejam rigorosamente realizadas.

    Por que a segurança digital é tão importante?

    As ameaças à segurança aumentam quase que na mesma proporção que as inovações chegam ao mercado. E os empresários estão mais ocupados do que nunca com a expansão e a inovação dos seus negócios ― tanto que alguns chegam a ignorar o aspecto da segurança. Um grave descuido ― ou tentativa de economia em curto prazo ― que expõe toda a empresa a ataques mal-intencionados.

    O gestor nunca deve se esquecer de que as informações, digitalizadas ou não, estão no centro de qualquer organização, sejam registros comerciais, sejam dados pessoais ou ainda propriedade intelectual. Podem ser mantidas em vários lugares e acessadas de diversas maneiras.

    É importante inovar, transformar e partir para processos disruptivos, mas tão importante quanto toda essa inovação é defender e proteger os dados da organização. Sempre ouvimos histórias de computadores e redes sendo invadidas e que isso leva a enormes quantidades de dinheiro sendo perdidas ou a dados confidenciais caindo nas mãos erradas ― muitas vezes, vendidos na dark web. Esses atos ilícitos fizeram com que algumas empresas parassem suas operações por diversos fatores, como:

    extravio de capital, ocasionado por alguma invasão;

  • ramsomware ― sistemas e dados indisponíveis e só liberados pelos cibercriminosos após o pagamento do sequestro;

  • enfraquecimento da marca assim que a informação de invasão vaza aos clientes;

  • processos dos clientes, ao descobrirem que seus dados pessoais ou sobre um novo produto, altamente confidencial, foram invadidos.

    Não importa quão grande ou pequena uma empresa possa ser, há uma importância vital para garantir a segurança da informação, tanto para os dados operacionais quanto para os dos clientes. O planejamento cuidadoso, a implementação, o monitoramento e a manutenção com controles e procedimentos rigorosos são necessários para proteger todos os ativos ― em especial os dados ―, algo extremamente valioso para qualquer organização.

    Quais são os riscos e as penalidades do vazamento de informações?

    vazamento de informações é um problema real e crescente. Todo mês, notícias sobre vazamentos de informações confidenciais se tornam públicas. Estes são os casos conhecidos, ou seja, que têm um impacto visível. Mas muitos mais incidentes semelhantes ocorrem diariamente, e a grande maioria dos vazamentos de informações é acidental: não é apenas o resultado de ações intencionais e prejudiciais. A perda de dados não intencional talvez seja a mais perigosa, porque os afetados não estão necessariamente cientes ou capazes de agir sobre o problema.

    A perda de informações pode representar um custo muito alto para as organizações. Essa falha gera custos diretos e indiretos: a propriedade intelectual ou a informação industrial em si, além do custo para lidar com as consequências da perda. Os prejuízos indiretos incluem: perda de credibilidade, erosão da vantagem competitiva e transgressões regulatórias.

    É possível mudar a cultura do colaborador?

    Os crescentes riscos de vazamento de informações foram desencadeados por uma série de escândalos corporativos em que informações sigilosas foram divulgadas. Como a maioria desses casos demonstra, as violações geralmente não são resultam de irregularidades maliciosas, mas sim de atitudes de funcionários, que, inadvertidamente, colocam suas empresas em risco.

    Isso pode ocorrer quando os profissionais enviam mensagens de e-mail com arquivos ou conteúdo que eles não sabem ser confidenciais. Outro exemplo são os funcionários que entregam arquivos privados da empresa para algum e-mail externo ou os copiam para dispositivos móveis e, consequentemente, expõem as informações internas a ambientes não confiáveis.

    Além da implementação de mecanismos de segurança, é crucial treinar e conscientizar todos os funcionários e colaboradores, a fim de mudar a cultura de toda a empresa, para que todos façam a sua parte ― que envolve ética e integridade moral.

    E quanto às novas leis, estamos protegidos ou seremos mais penalizados?

    Com a tentativa de uniformizar as regras, mitigar os problemas de segurança e privacidade e entrar em um consenso, a Europa lançou a lei GDPR ― Regulamentação Geral de Proteção aos Dados, tornando-a obrigatória mundialmente, a partir de maio de 2018. Então, se você possui um e-commerce e vender para qualquer país da União Europeia, por exemplo, sua empresa precisa estar em conformidade com a GDPR.

    Já no Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD), nº 13.709, sancionada em 14 de agosto de 2018, foi inspirada na GDPR, prevendo a conformidade e estabelecendo um formato para a adoção de melhores práticas, privacidade, governança e rápida resolução dos problemas de segurança digital.

    As penalidades previstas para a GDPR chegarão a 20 milhões de euros ou 4% do faturamento bruto anual da empresa (pagos ao Governo), com restrição de direitos e pagamento de indenizações (pagos à pessoa lesada).

    Já as multas para o Brasil, por meio da LGPD, serão de até 50 milhões de reais ou 2% do faturamento bruto (Governo), com o pagamento das indenizações à pessoa lesada.

    Quais são os princípios da segurança digital?

    Com todas as dificuldades e precauções apresentadas, as equipes responsáveis pela segurança digital enfrentam diversos desafios no dia a dia. Elas devem se adaptar rapidamente às novas condições necessárias para a continuidade dos negócios e, ao mesmo tempo, precisam estar preparadas para enfrentar problemas cada vez maiores, em um ambiente progressivamente hostil.

    Os profissionais da área devem aprender a trabalhar com as principais e mais modernas tendências tecnológicas, pois assim conseguem manter a proteção de todo o sistema corporativo. Para facilitar esse processo, foram definidos alguns pilares que colocam empresas e profissionais da área em conformidade.

    Confira a seguir quais são os fundamentos necessários para vencer os desafios do crime digital ― seja um cibercrime ou não.

    Confidencialidade

    O princípio da confidencialidade define que as informações só podem ser acessadas e atualizadas por pessoas com autorização e credenciamento para a ação.

    Dessa forma, é importante que as empresas contem com recursos da tecnologia da informação capazes de impossibilitar que usuários não autorizados acessem dados confidenciais — seja por engano ou má-fé.

    Confiabilidade

    É o fundamento que atesta a credibilidade da informação. Essa característica é muito importante, pois garante ao usuário a boa qualidade dos dados com os quais ele trabalhará.

    Integridade

    A integridade assegura que as informações não sofrerão nenhum tipo de modificação sem que um colaborador de confiança autorize a ação. Garantir que os dados não serão alterados durante o seu tráfego, processamento ou armazenamento é um princípio muito importante para a segurança da informação.

    Assim, eles permanecem íntegros durante todo o processo. Esse pilar certifica, por exemplo, que todos os destinatários receberão as informações assim como elas foram enviadas.

    Disponibilidade

    O princípio da disponibilidade pressupõe que as características das informações estejam disponíveis aos usuários exatamente no momento em que eles precisarem delas. Para isso, softwares, hardwares, conexões e dados devem ser oferecidos a quem vai utilizá-los, de forma que as pessoas tenham acesso àquilo de que necessitam.

    É importante destacar que esse pilar está diretamente ligado à confidencialidade. Afinal, para disponibilizar as informações, é necessário respeitar as regras estabelecidas pela segurança da informação.

    Autenticidade

    Garantir a proteção dos dados com autenticidade significa saber, por meio de registros apropriados, quem fez atualizações, acessos e exclusões de informações, de modo que exista a confirmação da sua autoria e originalidade.

    Todas as particularidades da segurança da informação devem estar em vista e ser tratadas com o máximo de bom senso e cuidado, para que os colaboradores e gestores da empresa sejam beneficiados. Da mesma forma, o público externo, como parceiros e clientes, também se favorece com essa ação.

    Quais ações de segurança devem ser tomadas?

    Para entender como agir em caso de ataque, é importante conhecer antes os principais objetivos dessas ações, que são:

    interrupção: afeta a disponibilidade das informações, fazendo com que elas fiquem inacessíveis;

  • interceptação: prejudica a confidencialidade dos dados;

  • modificação: interfere na integridade das informações;

  • fabricação: prejudica a autenticidade dos dados.

    Também é possível classificar os ataques como:

    passivo: grava de maneira passiva as trocas de informações ou as atividades do computador. Por si só, não é um ataque prejudicial, mas os dados coletados durante a sessão podem ser utilizados por pessoas mal-intencionadas para fraude, adulteração, bloqueio e reprodução;

  • ativo: momento no qual os dados coletados no ataque passivo são utilizados para diversas finalidades, como infectar o sistema com malwares, derrubar um servidor, realizar novos ataques a partir do computador-alvo ou até mesmo desabilitar o equipamento.

    Conheça, a seguir, as principais ações para proteger as informações da empresa.

    Registros de logins

    O uso de logins e senhas para conter o acesso aos sistemas é um dos meios mais comuns de proteção digital, mas ainda muito efetivo. O grande problema é que cibercriminosos podem usar programas que testam diversas combinações de números, letras e outros caracteres para acessar uma rede corporativa.

    Para dificultar essa ação, os usuários devem escolher sempre senhas fortes. De toda forma, é importante que a equipe de TI monitore os erros de segurança e os acessos de login. Autenticações realizadas fora do horário comum podem ser evidências da ação de crackers.

    Proteção de servidores

    Proteger os servidores corporativos é uma ação indispensável para qualquer empresa. Devido ao tráfego intenso e ao elevado nível de energia requerido pelos sistemas, as ferramentas de segurança precisam aproveitar de modo inteligente os recursos do hardware.

    As soluções aplicadas devem possibilitar proteção integral contra ataques, de maneira proativa e com detecção em tempo real, consumindo a menor quantidade possível de recursos do sistema.

    Segurança de e-mail

    O e-mail é uma ferramenta muito utilizada para a difusão de ameaças digitais. Portanto, a sua proteção não pode ser negligenciada. Como veremos, o phishing é uma das principais formas de ataque, assim como o compartilhamento de anexos ou links.

    Para usar gerenciadores de e-mail nas máquinas, é importante ter alguns cuidados, como:

    fornecer permissões de acesso apenas para dispositivos automatizados;

  • proteger os conteúdos e os anexos do e-mail;

  • instalar firewalls e filtros contra spam.

    Também é necessário definir políticas de orientação, para que os colaboradores entendam sobre boas práticas na coordenação de e-mails.

    Backups

    A cópia de segurança — ou backup — é um mecanismo essencial para assegurar a disponibilidade das informações, caso as bases nas quais elas foram armazenadas sejam roubadas ou danificadas. Os novos arquivos podem ser armazenados em dispositivos físicos ou em nuvem.

    O importante é que sejam feitas, pelo menos, duas cópias de segurança e que tais registros sejam guardados em locais distintos da instalação original. A partir do backup, é fácil recuperar, em um curto intervalo de tempo e sem grandes mudanças na rotina, as informações perdidas por acidentes ou roubos.

    Mecanismos de segurança eficazes

    Existem muitos procedimentos de segurança lógicos, físicos ou que combinam as duas possibilidades para a prevenção da perda de dados e o controle de acesso à informação. O meio físico pode ser a infraestrutura de TI protegida por uma sala com acesso restrito.

    Para isso, a empresa pode investir em travas especiais nas portas ou em câmeras de monitoramento. Nesses ambientes, é fundamental haver sistemas de refrigeração e de instalações elétricas adequadas para assegurar o correto funcionamento dos equipamentos.

    Em caso de falta de energia elétrica, é importante ter nobreaks que consigam garantir o funcionamento da instalação pelo tempo suficiente. Equipamentos de telemetria também são importantes para detectar falhas e emitir alertas automáticos aos responsáveis.

    Assinatura digital

    A assinatura digital é um método que usa a criptografia para garantir a integridade e a segurança dos documentos e das transações eletrônicas. Como a grande parte dos arquivos empresariais migrou para os meios virtuais, garantir as suas autenticidades é muito importante.

    Dessa forma, a assinatura digital serve para validar contratos e outros conteúdos, garantindo que o emissor de um documento foi verificado e que o remetente é realmente quem diz ser.

    Criptografia

    A criptografia realiza o estudo das técnicas e dos fundamentos pelos quais as informações podem ser transformadas para formas ilegíveis. Dessa maneira, elas podem ser reconhecidas apenas pelos seus destinatários, o que dificulta a ação de pessoas não autorizadas.

    Essa é uma das ferramentas automatizadas mais importantes para a segurança das redes e das comunicações. Por meio da chave de acesso, apenas o receptor pode fazer a leitura e a interpretação dos dados com facilidade. Portanto, a criptografia se tornou uma das principais medidas contra o risco de roubo das informações particulares.

    Firewall

    O firewall é um mecanismo que controla o tráfego de dados entre as máquinas de uma rede interna e delas com conexões externas. Para isso, são usados protocolos de segurança que garantem o correto exercício da comunicação entre dois sistemas, de modo a impedir ações intrusas.

    Entre as principais práticas dos invasores, estão: a venda de informações privilegiadas, o uso inapropriado de dados financeiros de terceiros e o bloqueio do acesso aos computadores para cobrança de resgate.

    Ameaças à segurança da informação

    A cada ano, as ameaças se tornam mais personalizadas e sofisticadas e conseguem explorar pontos fracos de diversos alvos. Os avanços tecnológicos também permitem que os cibercriminosos transformem ou contornem as defesas que já foram implementadas.

    Como a tendência é que os riscos aumentem, as empresas devem se manter sempre atualizadas e conhecer as principais ameaças à segurança da informação.

    Vírus e malwares

    Tanto em dispositivos pessoais quanto nos corporativos, os vírus de computador são um dos maiores temores dos usuários. Isso acontece porque a ação dos softwares mal-intencionados causa diversos prejuízos, especialmente em grandes corporações.

    Apesar de todo vírus de computador ser um tipo de malware, nem todo malware é considerado um vírus. No primeiro caso, os invasores não conseguem se reproduzir nos dispositivos por conta própria e dependem da ação dos usuários. Malware, por sua vez, é um termo que caracteriza todos os tipos de softwares maliciosos que podem prejudicar uma máquina.

    A seguir, confira as características dos principais vírus e malwares que podem prejudicar os computadores e a segurança da informação da sua empresa.

    Arquivo

    Esse tipo de ameaça contamina, exclusivamente, arquivos executáveis do sistema operacional — ou seja, aqueles com final .exe ou .com. Por outro lado, eles são ativados apenas quando o usuário abre o item infectado. Por esse motivo, é muito importante baixar e abrir apenas arquivos de fontes confiáveis, principalmente se eles forem enviados por e-mail.

    Cavalo de Troia (Trojan)

    Desta lista, talvez o Cavalo de Troia seja o malware mais popular entre as pessoas. O objetivo dessa ameaça é ficar em constante execução, sem ser notada pelo usuário. O criminoso pode ter acesso completo ao computador da vítima, monitorando todas as suas atividades no dispositivo.

    Dessa forma, dados bancários, senhas, arquivos e outras informações confidenciais podem ser visualizadas e utilizadas contra a companhia. Esse comportamento tende a negativar a reputação do IP corporativo, gerando impactos indesejados aos negócios.

    Um exemplo de repercussão prejudicial são as diversas soluções de segurança de perímetro, que analisam blacklists e bloqueiam todos os tráfegos realizados com IPs que estão listados.

    Adware

    Os adwares tendem a parecer programas confiáveis. Entretanto, depois que são instalados, têm como costume checar a conexão com a internet para acionar outros malwares. Além disso, eles possibilitam a apresentação de propagandas indesejáveis nos navegadores.

    Outro problema é que eles também facilitam a prática do phishing, que entenderemos melhor a seguir.

    Backdoor

    O backdoor é normalmente contraído por meio de caixas de e-mail ou páginas da web. Esses vírus abrem uma “porta de trás” — como sugere a tradução — para que os hackers consigam aproveitar-se do dispositivo.

    A liberação da ameaça também só acontece após o arquivo infectado ser executado. Assim, a máquina fica livre para a ação dos invasores. Em alguns casos, o computador pode virar uma espécie de “zimbo” e colaborar para outros ataques na internet.

    Boot

    Por fim, temos um dos vírus mais destrutivos. O boot afeta os programas responsáveis pela inicialização do disco rígido do computador. Esses arquivos são fundamentais para a correta atividade do sistema operacional. O problema é tão grave que o vírus pode impedir que os usuários acessem os próprios dispositivos.

    Softwares desatualizados

    Essa é uma das principais portas para cibercriminosos. Softwares desatualizados representam uma das formas mais fáceis de invadir servidores empresariais, pois a falta de atualização recente torna os equipamentos vulneráveis.

    Muitos vírus e malwares são destinados a versões mais antigas dos sistemas exatamente porque é mais simples de explorar vulnerabilidades que já foram corrigidas em alternativas mais recentes.

    Por isso, quando um usuário deixa de baixar uma atualização ou mantém softwares antigos sem suporte do fabricante, a organização fica sujeita a falhas e ataques. Esse upgrade representa correções e melhorias na segurança. Assim, o caminho para o ataque fica mais trabalhoso.

    Deixar o ambiente virtual desprotegido pode representar grandes problemas para os gestores, como perda de informações estratégicas, vazamento de dados sigilosos, interrupções nos negócios, danos à credibilidade e prejuízos para a reputação da empresa.

    Por isso, é importante manter o suporte do fabricante para receber todas as atualizações de segurança dos softwares. Depois, incentive os colaboradores a fazerem a instalação assim que receberem o aviso.

    Phishing

    Essa é uma prática em que o invasor envia mensagens por e-mail se passando por uma instituição confiável e legítima — em geral, como bancos e serviços de transações online —, induzindo a vítima a fornecer informações pessoais.

    Apesar de ser uma das armadilhas mais antigas e conhecidas da internet, ainda assim o phishing atrai muitas vítimas que fazem uso de e-mail.

    Atualmente, essa prática vem sendo utilizada em ataques de BEC (Business Email Compromise). O objetivo é fazer com que os gerentes da empresa-alvo acreditem estar em contato com outros executivos.

    Assim, as companhias fazem depósitos bancários em contas de terceiros sem saber de que se trata de um golpe. O maior problema dessa ação é que os criminosos não deixam rastros, pois as mensagens não apresentam links ou anexos.

    Ransomware

    Um tipo muito nocivo de software, que bloqueia o acesso a todos os dados e cobra um resgate ― muitas vezes, em criptomoedas ― o sistema só retorna após o pagamento do resgate.

    Essa prática está crescendo, e muitas empresas acabam cedendo à pressão, por medo da invasão. Porém, os especialistas em segurança reforçam que, antes de qualquer decisão ou pagamento, a empresa atacada deve buscar ajuda da polícia ou de uma equipe especializada em crimes cibernéticos.

    Vale a pena investir em tecnologia?

    Segundo pesquisa da Gartner, está previsto um gasto mundial de US$ 124 bilhões em 2019, e seus maiores impulsionadores são:

    riscos de segurança;

  • necessidades de negócios;

  • mudanças na indústria.

    Afinal, aqueles que trabalham em colaboração com a segurança cibernética sabem que não existe organização 100% segura. Podemos mitigar os problemas com segurança, mas não é possível estabelecer sua extinção, infelizmente.

    Sem dúvidas, o gerenciamento de riscos deve ser o primeiro planejamento a ser feito para conseguir justificar os investimentos com segurança da informação.

    Outra questão que demandará muito investimento em nível mundial é a preocupação com a privacidade dos dados e, é claro, as multas salgadas que virão se a empresa não seguir as novas políticas de governança ― estimulada principalmente devido à adequação dos sistemas para o GDPR e, no Brasil, a LGPD também.

    Medidas preventivas

    Não vale a pena chorar sobre o leite derramado. Uma vez que a informação de um cliente é vazada, nada pode ser feito sobre isso. Você pode registrar uma queixa, informar as autoridades sobre a infração e esperar que a lei resolva o problema. Mais uma razão para você trabalhar constantemente para impedir vazamentos futuros. Veja algumas dicas para evitar uma violação de segurança em sua empresa:

    diminua as ameaças de ex-funcionários realizando verificações de segurança rigorosas antes de serem contratados e depois de terem saído;

  • altere as senhas após a partida de todos os funcionários que tiveram acesso a informações confidenciais;

  • efetue uma verificação de segurança em todas as contas oficiais e não oficiais e no correio de ex-empregados, pelo menos uma vez por mês;

  • mantenha uma verificação regular sobre o fluxo de informações confidenciais da empresa;

  • melhore os sistemas internos e garanta que os departamentos de Recursos Humanos e de TI da sua empresa trabalhem de mãos dadas para proteger informações vitais;

  • colete feedback do local de trabalho dos funcionários em uma base regular, para que você seja capaz de cortar pela raiz qualquer negatividade de funcionário;

  • contrate controles de segurança e gerenciamento de informações;

  • implemente uma política BYOD ― Bring your own device (ou “leve seu próprio dispositivo”) se dispositivos móveis pessoais estiverem sendo usados.

    Por que contratar uma empresa especializada?

    A efetiva terceirização de qualquer função de negócios requer definição e avaliação e estabelecimento de entradas e saídas.

    Usando essas informações, uma organização pode abordar o mercado e especificar claramente o escopo do que precisa e quais resultados são esperados. Entender o valor da função facilita a análise de custo-benefício. Esse estudo deve justificar a terceirização e levar em conta o custo de selecionar a melhor empresa.

    Como os sistemas de segurança da informação são cada vez mais de natureza técnica, a solução que os protege geralmente envolve:

    produtos de segurança técnica, como antivírus, firewalls e detecção de intrusões;

  • serviços de segurança técnica, como gerenciamento de eventos de segurança,

  • testes de penetração;

  • teste de resposta a incidentes.

    Embora os produtos e serviços possam ser componentes significativos na solução de segurança de uma organização, eles, sozinhos, não são muita coisa.

    O conhecimento pode e deve ser garantido por meio de SLA ― Service Level Agreement ou Acordo de Nível de Serviço. Esse documento rege tais políticas, padrões e diretrizes e idealmente é financiado pelo comitê executivo de uma organização.

    Muitas vezes, em pequenas e médias empresas, a segurança é financiada indiretamente pelo departamento sob o qual ela reside. Devido ao tamanho e ao natural domínio das regras de negócios, a terceirização é extremamente difícil, mas, de qualquer forma, precisa de uma SLA.

    Os métodos para detectar operações incorretas ou falhas do sistema ou de infraestrutura exigem mais conhecimento especializado.

    Os fatores que contribuem para essas decisões incluem obrigações legais, projeções de custo-benefício, análise de risco e benefícios intangíveis, bem como obrigações éticas com o conteúdo dos dados.

    Para permitir que a sua diretoria financie efetivamente a segurança da informação sem precisar entender a tecnologia subjacente, os fatores relevantes geralmente são traduzidos em moeda, comumente entendida como risco e dinheiro. Essa tradução, no entanto, é muitas vezes incompleta e sempre requer maior interpretação.

    Com um método tão prejudicado para a tomada de decisões e um risco aparente para o negócio, é comum considerar que é melhor fazer alguma coisa do que nada.

    Os firewalls são comprados e o IDS (Intrusion Detection System, ou sistema de detecção de intrusão) é instalado com grande despesa. Muitas das contramedidas adquiridas podem atender a uma exigência óbvia para o engenheiro treinado, mas o nível de investimento, muitas vezes, não é equilibrado.

    O nível de risco pode justificar uma alocação significativa de fundos, mas nem sempre é possível distribuir esses fundos da maneira mais eficiente. Afinal, iniciativas podem ser complexas em si mesmas ou o impacto delas ser difícil de entender ― por exemplo, tente justificar porque falha de segurança X, que nunca ocorreu, pode ser mais perigosa e cara do que a falha de segurança Y, que ocorre mensalmente, mas não é perigosa pois o sistema já detecta, trata e apaga qualquer resquício.

    O que avaliar na hora de contratar um serviço de cibersegurança?

    É comum haver terceirização das áreas de operações de segurança. Porém, uma equipe dedicada muitas vezes não é garantida e, para evitar surpresas desagradáveis, é preciso considerar alguns pontos.

    Para começar, o que será feito pela sua organização? Um bom MSSP ― Managed Security Service Provider ou Provedor de Serviços de Segurança Gerenciados ― não apenas examinará seu firewall, antivírus e correções, mas também terá uma visão holística sobre como eles protegem seus clientes e garantirá as condições para implementar as mudanças necessárias à sua organização, englobando:

    Tecnologia ― UTM, firewall, wireless, VPN, melhores práticas e gerenciamento de patches;

  • Gestão ― gestão de riscos, procedimentos, processos, auditoria, relatórios e treinamentos;

  • Adaptabilidade ― recuperação de desastres, continuidade de negócios, resiliência de negócios;

  • Conformidade ― se você fez o acima, a conformidade é relativamente fácil.

    O domínio do conhecimento técnico, de acordo com as necessidades de seu negócio assegura que a empresa MSSP conte com pessoas que sejam especialistas em uma ou mais áreas de proteção digital. Além disso, confirma o nível certo de educação, treinamento e capacidade das pessoas que serão alocadas ao projeto.

    Outra questão importante é verificar se a empresa terceira têm capacidade e pessoas habilitadas em todos os níveis necessários para o atendimento da sua organização, sem gargalos no atendimento.

    Além disso, o que ela fará para tornar sua vida mais fácil? Existem alterações que serão recomendadas por um MSSP, por dois motivos:

    os sistemas que você tem em funcionamento não estão fazendo o trabalho adequado e precisam ser substituídos por sistemas mais seguros;

  • os sistemas que você tem em funcionamento não podem ser suportados pelo MSSP, porque eles não têm a especialização na equipe.

    Então, se você acabou de adquirir um firewall e o MSSP quer que você o substitua por outro, o problema é o MSSP, e não o firewall.

    Nunca se esqueça, também, de que a companhia que faz a terceirização de sua segurança digital é uma parceria. Ela está lá para proteger seus dados, sua infraestrutura, seus clientes e sua equipe. Você, inclusive, paga por esse serviço. Então, certifique-se de que todas as partes envolvidas entendam suas obrigações, colocando tudo detalhadamente em SLA.

    Por fim, verifique quanto custará. Sua empresa dará conta do valor mensal a ser pago ao MSSP? Esse custo mensal precisa ser negociado também, sem esquecer possíveis reajustes. O custo de um SLA de MSSP deve incluir monitoramento, gerenciamento e geração de relatórios, mas não projetos fora do escopo. Por isso, tenha muita atenção antes de fechar um contrato!

    Garantias

    A principal questão com os aspectos de terceirização da segurança da informação é que, embora a intenção possa permanecer a mesma, a garantia é bastante reduzida. Isso é melhor ilustrado considerando os dois casos extremos.

    Em uma organização onde a segurança da informação é totalmente terceirizada, tudo está um passo adiante. O contrato é com uma empresa de responsabilidade limitada, que oferece estratégias de recrutamento desconhecidas e potencialmente subcontrata uma série de funções. Geralmente, há uma oportunidade limitada de avaliar os indivíduos que estão realizando o trabalho, mesmo que possam ser identificados. Os incentivos dados à equipe de terceirização são desconhecidos e podem contradizer a intenção da função ser terceirizada.

    Testes

    O teste de penetração é um serviço especial que é terceirizado em muitos casos. É uma demanda complexa, e há um valor significativo em fazê-la independentemente. Também produz uma entrega na forma de um relatório que torna mais fácil justificá-la. Devemos lembrar, no entanto, que não é o quadro todo.

    O teste de penetração não deve considerar práticas operacionais que podem introduzir novas vulnerabilidades tão rapidamente quanto as antigas são removidas. Frequentemente, não há evidências de que o indivíduo que está realizando o teste seja adequadamente qualificado para tanto, nem prova de que a maioria das vulnerabilidades presentes foi descoberta.

    A padronização pode fornecer uma grande ajuda para melhorar a postura de segurança de uma empresa. No entanto, é provável que uma organização que dependa unicamente de padrões para garantir a segurança tenha uma lacuna, como muitas vezes é demonstrado. Tanto quanto possível, é reduzido o escopo para que seja diminuído o custo do projeto — uma abordagem razoável apenas se houver algo a esconder.

    Todas as organizações devem ter pelo menos uma função de segurança designada. Enquanto a pessoa que detém o papel não pode ser dedicada à segurança, o treinamento deve ser fornecido para garantir um nível calculado de habilidade. Qualquer contratação de terceiros para fornecer serviços de suporte têm de ser gerenciada por essa função. A terceirização da segurança em sua totalidade não é viável. Para manter um nível de proteção próximo do objetivo delineado, um especialista em segurança precisa definir as verificações e os balanços.

    A terceirização de operações de segurança é possível, mas há uma sobrecarga que precisa ser considerada. As tarefas operacionais devem ser projetadas, e não o que o provedor de serviços puder gerenciar. As concessões podem ser feitas para um fornecedor preferencial, mas garantir que o estado de destino para as operações de segurança seja definido torna possível quantificar as concessões e, se necessário, compensar em outro lugar.

    Quando uma solução turnkey está sendo comprada de um integrador, deve-se presumir que a segurança não foi considerada até que se prove o contrário. Isso não quer dizer que os integradores sejam negligentes, mas o foco de seus negócios é entregar o que foi solicitado pelo menor preço. Normalmente, a segurança em uma solução não será necessária para entregar a função do usuário final e, logo, é facilmente cortada sem reclamação. Uma parte independente, interna ou externa, deve ser contratada para revisar a solução e garantir que os riscos introduzidos sejam compreendidos e formalmente aceitos pela empresa, antes da implantação.

    Independentemente da função de segurança que está sendo terceirizada, o teste deve ser uma medida de garantia contínua. As equipes operacionais têm de estar sujeitas a tentativas de engenharia social e incidentes simulados, garantindo que sua resposta seja apropriada. Vulnerabilidades conhecidas precisam ser incorporadas aos aplicativos antes do início do teste de penetração, para garantir que eles sejam relatados. É claro que o teste é necessário mesmo quando a segurança é totalmente originária de dentro, mas não precisa incluir o teste da competência do terceirizado, uma vez que a competência do pessoal interno já deve ser bem compreendida.

    Componentes de segurança podem ser entregues de modo eficaz por parceiros terceirizados, mas é preciso mais do que esperar pelo melhor. A terceirização de componentes de segurança, como qualquer decisão de negócios, deve considerar todos os impactos e riscos. É preciso completar a devida diligência, gerenciar os riscos, implementar as mitigações e, claro, monitorar os controles de garantia embutidos.

    Proteger os dispositivos responsáveis pelo armazenamento e processamento dos dados é fundamental para manter a segurança da informação na empresa. É importante lembrar que essa ação abrange muitos aspectos: tecnológicos, jurídicos, físicos, virtuais e humanos. Ao buscar as melhores práticas, é possível manter a qualidade e a saúde financeira da instituição.

    Deseja descobrir como proteger seu negócio? Quer dicas atualizadas, direto no seu e-mail? Então, assine a nossa newsletter!

    ebook

    Como a LGPD pode impactar o seu negócio

    e-book
    baixe nosso e-book

    Vamos cocriar, solicite uma proposta dos nossos especialistas