Artigos

Você sabe quem leu suas informações online?

By 13 de abril de 2018 No Comments

*Umberto Rosti

Sua empresa sabe o que cada colaborador está acessando e quais informações ele tem direito de acesso?

Tudo está na rede e esta é a realidade de pequenas, médias e grandes empresas nos dias atuais. A segurança das informações, a prevenção de vazamento de dados, assim como gerenciamento de acessos e identidades, agrega maior valor ao negócio da sua empresa.

A dificuldade em administrar inúmeros sistemas, controlar seus acessos versus a função exercida pelo colaborador e, até mesmo, saber por onde andam seus dados sensíveis neste novo mundo, que está na nuvem, virtualizado e móvel em diversos dispositivos, podem resultar em prejuízos financeiros, devido ao risco de acesso não autorizado ou inapropriado, e em perda de produtividade.

Durante a recente onda de ataques hackers no Brasil e no mundo, e vendo toda esta exposição na mídia, percebemos um certo alvoroço no setor empresarial, onde vários CSO e CIOs são indagados sobre a segurança de seus sistemas.

É preciso que estes profissionais tenham na ponta da língua respostas para estes questionamentos, para que se previna o risco de sofrer com a exposição negativa da empresa/marca acerca de uma vulnerabilidade em controlar suas informações sensíveis.

1. Gestão de Acesso e Identidade:

O primeiro passo é implementar na empresa uma gestão que controle todos os acessos às informações e dados da corporação. Para isso, é preciso também identificar cada funcionário e suas funções. Há dez anos, poucas empresas tinham condições de implantar em seus sistemas ferramentas que fizessem o controle de acesso e identidade de seus funcionários. E estes processos podiam demorar até dois anos para serem concluídos. Hoje, com a popularização de ferramentas, os preços se tornaram mais acessíveis e o processo pode ser concluído em até dois meses. A necessidade deste serviço faz crescer a maturidade das empresas acerca dessa segurança.

2. Conhecendo a empresa:

Todo funcionário deve estar ciente da política da empresa, ou seja, o que pode e o que não pode. A conscientização e educação do usuário são fundamentais para o gerenciamento e controle de acesso. O que acontece hoje é um alto investimento em sistemas para prevenir riscos externos, ocultando a importância de evitar riscos internos, já que muitos funcionários têm acesso às principais informações das companhias e podem ser os responsáveis por fraudes. Essa conscientização também deve ser acerca da portabilidade e mobilidade das informações. Este colaborador precisa estar ciente do que ele pode publicar referente a informações corporativas, principalmente em ambientes de mídias sociais e páginas pessoais.

3. Perfis de Acesso:

Esta complexidade amplia quando falamos do aumento de identidades devido a fusões de grandes corporações e reestruturações. O gerenciamento de quem tem acesso, e por quanto tempo este acesso pode ser feito, tem se tornado um problema crescente nas empresas. Hoje, pesquisas mostram que 60% a 80% dos ataques e fraudes vêm em sua grande maioria de usuários internos, ex-colaboradores, etc., os quais conhecem bem a companhia e possuem uma motivação maior para o crime. Por isso, é preciso que o RH da companhia, já no momento da contratação, tenha definido em seu sistema o cargo e funções do novo funcionário. Qual perfil lhe dará direito a um determinado sistema? E, principalmente, acompanhar a trajetória deste usuário.

4. Prevenção de vazamento de informações:

O DLP (data loss prevention) é uma ferramenta muito simples e de extrema importância no ambiente corporativo. A solução, que controla onde estão as informações, ajuda a prevenir que usuários do sistema tenham domínio a dados não autorizados. Por exemplo, a diretoria de uma empresa não permite que seus funcionários tenham acesso a números de documentos oficias, como CFP e RG, contidos no seu sistema. Assim, com esta ferramenta, toda vez que um usuário tenta “copiar” esses dados, ela tem a função de avisar o gestor ou bloquear a cópia do arquivo em diferentes mídias, como CD, pen drive e rede.

5. Segregação de funções:

É preciso determinar a responsabilidade de cada funcionário dentro da corporação, o que aumenta a autonomia da companhia e sua lucratividade. Com as funções definidas, a empresa á capaz de controlar o perfil de cada usuário, podendo, por exemplo, visualizar quando um funcionário é autorizado a iniciar um processo de compras, porém não está liberado a finalizá-lo. Ou quando o empregado pode fazer o pagamento, mas não é responsável pela aprovação da ordem.

6. Facilidades dentro da gestão de acesso:

Alguns serviços facilitam e tornam mais simples o uso dessas ferramentas. O auto-serviço, que possibilita o usuário “resgatar” sua senha imediatamente, reduz o tempo de chamada ao evitar a necessidade de se ligar para um help desk. Outra tecnologia que pode facilitar o modo de fazer negócio e melhorar a experiência do usuário é single sign-on (SSO). Com uma única senha o usuário é capaz de acessar todos os sistemas que for de seu direito. Facilitando também a empresa no caso de desligamento e até de bloqueio durante ausência temporária como férias e problemas de saúde. Ao promover gerenciamento simplificado de senha, as organizações podem se beneficiar com o aumento da produtividade e a redução de custos.

Até pouco tempo atrás, a Segurança da Informação era vista como um gasto necessário, no intuito de evitar prejuízos. No entanto, hoje as empresas estão abordando o assunto como uma necessidade estratégica que as ajudará a atingir seus objetivos e sucesso. Temas como os descritos no decorrer deste artigo são importantes para atingirem o objetivo de segurança e permitir que o negócio possa alcançar sua meta com o menor risco possível, mas, também, não devem ser aplicados de forma indiscriminada em toda a organização. São orientações as informações sensíveis e diferenciais competitivos de forma a garantir a resiliência e lucros maiores para a organização.

*Umberto Rosti é CEO da Safeway 

 

Sobre a [SAFEWAY]

[SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:

● Archer da RSA Security, considerada pelos institutos Gartner e Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;

● [SAFEWAY] Security Tower, suportada pelo IBM Qradar (tecnologia Watson), IBM Resilient e outras soluções sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.

● E outras, envolvendo tecnologias ImpervaThalesTripwire e WatchGuard Technologies.

Leave a Reply