*Rodrigo Dantas
No Brasil as empresas de pequeno porte em geral não se preocupam com a Segurança da Informação por acreditarem que não serão “alvos” de cibercriminosos e o investimento não é visto como prioridade. A realidade demonstra que é exatamente ao contrário: um único ataque pode afetar as operações de forma catastrófica podendo causar até mesmo o encerramento de suas atividades pelo prejuízo causado com percas de seu banco de dados, com o roubo de suas informações ou pela paralisação de seu sistema, quer seja por um ataque direto ou pela falha de seu hardware, por exemplo. O que de fato vemos são ações corretivas e não preventivas, ou seja, depois da empresa já ter sofrido um ataque.
A importância da Segurança da Informação
Para um crescimento contínuo em meio à concorrência, é importante transmitir segurança aos seus funcionários e clientes, independentemente do porte da empresa. O custo de não investir em Segurança da Informação é maior do que investir. Segundo levantamento da National Retail Federation cerca de 90% das invasões são direcionadas aos sistemas de pequenas e médias empresas. Após um ataque e fonte de gastos extras, essas empresas sofrem também no âmbito das relações públicas e na perda de confiança de parceiros e clientes.
De maneira geral, há uma resistência na ideia de contratar uma empresa ou consultoria especializada em Segurança da Informação, mas podemos citar como um exemplo que as organizações podem possuir um contrato com um escritório para contabilidade e folha de pagamento, uma vez que estas empresas tem a estrutura necessária, pessoal e a preocupação em manter as informações seguras, sendo uma solução mais efetiva, econômica e que atenderá as necessidades do negócio. Então, por que não pensar da mesma maneira para Segurança da Informação?
Algumas dicas e melhores práticas
A empresa possui uma boa estratégia de Segurança da informação quando ela estabelece processos, implementa ferramentas e métodos, tem responsáveis qualificados — ou contrata serviços especializados de terceiros — para atuar preventivamente na proteção de seus dados. A seguir, algumas dicas e melhores práticas de Segurança da Informação que podem ser aplicadas para empresas de pequeno porte:
- Estabeleça uma política de Segurança da Informação: A política de Segurança da Informação estabelece regras e expectativas em relação a tudo, desde senhas até privacidade do cliente, da proteção física à classificação de dados. Criar uma política exige muito esforço para garantir a assertividade aos processos de negócio da organização, bem como de fácil compreensão para todos os envolvidos (funcionários, terceiros e prestadores de serviço, por exemplo);
- Proteja seus dados e faça backup: faça backupde dados de forma segura e regular. Caso você não tenha conhecimento ou tecnologia para garantir que seus dados fiquem seguros, contrate alguém ou uma empresa especializada para lhe ajudar;
- Mantenha seus sistemas operacionais e softwares atualizados: Atualize constantemente o sistema operacional, bem como os softwares A maioria dos ataques ou propagação de vírus ocorrem devido a algumas falhas de segurança, pequenas vulnerabilidadesque os hackers e criminosos costumam explorar. As empresas costumam consertar estas vulnerabilidades pouco tempo depois que elas são encontradas, por isso é muito importante você manter seus sistemas atualizados, de preferência de forma automática. Utilize sempre softwares licenciados, pois softwares “piratas”, pode não ter acesso a estas atualizações deixando sua empresa mais vulnerável;
- Instale softwares de segurança abrangentes: Utilize softwares que mantenham todos seus recursos protegidos, servidores, desktops, notebooks e outros dispositivos conectados. Mantenha seus sistemas de segurança atualizados e programe para que se atualizem automaticamente em determinados horários. Importante não esquecer os dispositivos móveis com Android ou iOS contra o malware. Também tem o phishing e outras ameaças comuns à Internet, adicione uma camada de segurança para operações bancárias e de pagamento;
- Defina uma política de senha complexa: A política de Segurança da Informação deve abranger o uso de senhas complexas, bem como critério de expiração de senha para forçar os usuários a mudar suas senhas a cada 90 dias;
- Destrua informações que você não pode proteger: Se você coletar informações de terceiros como cartão de crédito, documentos, informações confidenciais, mas você não tem os meios para armazenar as informações e garantir a segurança, então não armazene. Após o processamento das informações, destrua-as;
- Cuidado com dados pessoais: Para armazenar informações pessoais dos funcionários, verifique se estão seguras e controle as pessoas que têm acesso a estas informações. Realize backup de forma segura e caso possua cópias físicas, guarde-as em um local seguro como um armário com chaves. Para equipamentos eletrônicos, também os mantenha fisicamente seguros, elimine a chance de alguém, seja um funcionário, um cliente ou um estranho aleatório roubar um notebook ou um dispositivo de armazenamento como pendrives ou um HD externo;
- Terceirização de serviços: Caso a empresa não possua recursos ou conhecimento para lidar com estas atividades de forma especializada e segura, contrate uma empresa ou consultoria para garantir aderência dos processos de negócios aos objetivos de Segurança da Informação;
- Conscientização dos funcionários: A conscientização é essencial para entendimento de todos a respeito dos elementos de Segurança da Informação. Tal como acontece com outras áreas de segurança, você pode contratar uma empresa especializada em treinamento de funcionários. A revisão da política e as práticas de Segurança da Informação deve ocorrer, minimamente com periodicidade anual.
Conclusão
Aprimorar a Segurança da Informação é primordial para mitigar os riscos, prevenir o vazamento de dados, preservar a imagem da empresa e garantir o bom funcionamento do negócio. Diante deste cenário, cabe as empresas compreender que a informação é um dos ativos mais importantes, devendo melhorar continuamente seus processos e realizar investimentos para assegurar a confidencialidade, integridade e disponibilidade desta.
O objetivo da Segurança da Informação está diretamente relacionado com a proteção de dados da empresa, colaboradores, clientes e parceiros. A informação que é gerada, seja por um sistema informatizado ou não é tão importante quanto a qualidade de seus produtos e serviços.
* Rodrigo Dantas é GRC and Information Security Consultant at [SAFEWAY]
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
