São Paulo/SP – 12 de dezembro de 2022. Estar em conformidade e aprender às melhores práticas concederá oportunidade a equipe em proteger suas próprias informações, dos seus clientes e fornecedores
*Por Ana Medeiros
A nova era da internet mudou rigorosamente a forma como trabalhamos e os cibercriminosos estão se tornando mais habilidosos. Hoje, a computação em nuvem e os serviços da Web ajustados com o conhecimento de máquina estão tornando-se apressadamente uma das melhores formas de se manifestar habilidades e ficar à frente da curva. Porém, devido ao aumento gradativo na utilização de dispositivos móveis e armazenamento em nuvem, também, abriram-se brechas ainda maiores para ataques por meio de redes, e-mails e sites.
Uma organização ser vítima de eventos de segurança cibernética pode acarretar revisões regulatórias constantes, forçando a organização a cumprir auditorias, conformidades fiscais adicionais, planos de respostas a incidentes, planos de recuperação judicial entre outras necessidades. A parte ainda mais perturbadora é a de arruinar a reputação perante os seus clientes, credores, companhias de seguros e investidores se sancionado por regulamentos.
Uma violação de dados é considerada qualquer evento que tenha o potencial de afetar os principais pilares da segurança de TI ‘’confidencialidade, integridade ou disponibilidade das informações’’, sendo os responsáveis pelo sucesso no ato da implementação e estratégias de proteção eficiente. Engloba tudo, desde a invasão de vírus em computadores, sistemas de redes e casos de senhas hackeadas ou reveladas, até a transferência de dados de forma insegura, deixando documentos confidenciais ao acesso de todos.
É fato que não há como fugir disto, mas ter e manter um planejamento de segurança de tecnologia e cibernética irá ajudar a mitigar às eventuais situações que ocorrem. Vale salientar que cada negócio é diferente e exigem protocolos de segurança exclusivos, dependendo dos sistemas em vigor. Abaixo abordaremos oito dicas de como proteger seus negócios investindo em segurança de tecnologia e cibernética:
1º Defina uma equipe responsável para a área de Segurança Cibernética: No momento que ocorre um incidente de segurança é essencial que exista uma equipe responsável e preparada para identificar e tratar os eventos. É essencial a nomeação de profissionais preparados para a coordenação de projetos, realizar a estruturação dos programas de segurança, bem como, implementação, monitoração, testes. Além de estabelecer medidas para proteção dos ativos virtuais de TI e, ativos físicos.
2º Treinamento de conscientização para os colaboradores: Melhor que treinamentos que duram de 2 a 4 horas é colocar em prática um programa de conscientização para que os colaboradores aprendam no dia a dia quais cuidados deverão ter e como surgem os riscos de forma consciente e sem exaustão.
3º Aprenda a reconhecer às ameaças: Identificar ameaças de spam e phishing é um excelente começo. No entanto, uma gestão de vulnerabilidades vai muito além destas ameaças. Os ciberataques funcionam de diferentes maneiras, representadas nas técnicas utilizadas pelos hackers, como: envio de anexos maliciosos, invasão de sistemas ou redes, sobrecarga de servidores, espionagem, roubo de informações e a engenharia social.
4º Estabeleça uma Política de Segurança: A Política de Segurança estabelece medidas e procedimentos de proteção das informações, envolve o tratamento de medidas tanto para a segurança física quanto para a digital. Desta forma, impede que os dados e sistemas sejam violados, acessados, copiados ou destruídos sem autorização. São medidas que devem incluir o gerenciamento de chaves de criptografia, sistemas de detecção contra invasões de redes ou dispositivos, padroniza os mecanismos de acessos e autenticação.
5º Contrate Antivírus e mecanismos de proteção: São diversas às portas de entradas que às organizações possuem para ataques cibérneticosas os principais são às de softwares maliciosos no sistema, spam e phishing em e-mails e na navegação na web, até mesmo os dispositivos móveis como pendrives. Automatizar a instalação e atualização de softwares de antivírus e proteção contra malwares, irão proteger a estação de trabalho e a infraestrutura. Evitando que pontos vulneráveis sirvam como porta de entrada para devidas ameaças. Algumas das ferramentas que realizam barreiras de proteção:
O Firewall, ferramenta que ajuda na prevenção contra malwares, evitando que se espalhem e infectem outros dispositivos;
O WAF, conhecida como o fireweall de aplicativos web, solução que protege os ambientes da web contra-ataques, monitora o tráfego HTTP e HTTPS entre aplicativo web e a internet;
O Filtro AntiSpam, solução que realiza a filtragem de mensagens de correio eletrônico, detectando e bloqueando e-mails considerados maliciosos;
A solução DLP, que realiza a prevenção e auxilia no diagnóstico de problemas que possam comprometer a integridade dos dados privados, garantindo que não sejam perdidos.
6º Gerencie os acessos adequadamente: Às condições de negócios modernas são totalmente distintas do que era usual há apenas 20 anos atrás. O mundo em que vivemos é uma era da informação. Ao observar os cenários se ver que até atividades básicas estão profundamente integradas à tecnologia. Administrar um negócio não é mais fornecer somente serviços ou produtos de qualidade, é também proteger seus dados e implementar a confidencialidade. Gerenciamento de identidade e acesso refere-se à disciplina, estrutura e soluções de segurança de TI para lidar com individualidades digitais.
Os sistemas de gerenciamento de acesso fornecem uma camada extra de segurança na rede da Organização. Dá controle sobre quais grupos de funcionários têm acesso a quais aplicativos. Os sistemas IAM são fáceis ou complexos, com possibilidades de personalização para revelar determinados arquivos, documentos e registros.
O gerenciamento de identidade e acesso é a prática de segurança da informação que permite que os usuários acessem recursos tecnológicos relevantes conforme necessário. Inclui três conceitos principais: identificação, autenticação e autorização. Juntos, esses três processos se combinam para garantir que os usuários especificados tenham o acesso de que precisam para realizar seus trabalhos enquanto protegem recursos e informações confidenciais de usuários não autorizados.
7º Estabeleça um processo de backup: No caso de um desastre, a estratégia de recuperação de dados é a diferença entre sobrevivência e encerramento dos negócios. Um desastre pode levar à perda de dados, sem mencionar o custo de recuperação. O objetivo do procedimento de backup é garantir que haja um método consistente e confiável para restaurar seus dados. Ele enfatiza a importância dos backups de dados, do sistema e define os procedimentos para realizar e validar backups. O procedimento inclui atividades que garantem o backup dos dados em mídia de armazenamento segura, também deve incluir objetivos de ponto de recuperação (RPO) e métricas que determinam por quanto tempo os dados devem ser armazenados antes que seja necessário fazer backup novamente.
O armazenamento dos dados de backup não deve ser armazenado no mesmo local que os dados originais. Caso contrário, se forem necessários em uma situação de recuperação o backup também pode ser afetado, deixando a Organização em uma situação delicada. Deve-se armazenar uma cópia em nuvem para assegurar a disponibilidade e recuperação.
8º Destine um percentual dos lucros da empresa para investimentos em Segurança Cibernética: É um desafio mudar a visão e a cultura das empresas, especialmente no que tange a área de SI. Na era digital os incidentes de segurança cibernética estão aumentando cada vez mais, a cibersegurança não é mais um luxo, mas uma necessidade que pode influenciar a sobrevivência e o sucesso dos negócios das Organizações. E como os cibercriminosos estão sempre procurando novas maneiras de se infiltrar em dados confidenciais da empresa, deve-se garantir os investimentos em sistemas de segurança cibernética adequados. A não conformidade com os regulamentos de segurança cibernética traz penalidades e multas severas com prazos muito curtos. Os consumidores estão se tornando mais inteligentes e mais conscientes da importância da segurança e privacidade dos dados, depois de sofrer um ataque cibernético e a Organização for rotulada como não compatível, poderá perder a reputação e a confiança dos investidores e parceiros de negócios.
Embora a ameaça ainda seja real e possa causar sérios danos, investir e praticar treinamentos adequados de segurança cibernética, entre funcionários, consultores, fornecedores e contratados, podem identificar rapidamente atividades suspeitas e evitar incidentes que podem destruir os negócios.
Conclusão
É uma decisão inteligente para às empresas investirem em segurança de tecnologia e cibernética. Isso dará credibilidade e vantagem entre os concorrentes, redução de custos em seguradoras e boa imagem perante os clientes, instituições bancárias e acionistas. Estar em conformidade e aprender às melhores práticas concederá oportunidade a equipe em proteger suas próprias informações, dos seus clientes e fornecedores. Mensurando os prejuízos que causam os impactos de um evento inesperado o destinar de um investimento preventivo será bem mais razoável.
— Ana Medeiros é GRC, Privacy and Information Security Consultant at [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
