Por Juliana Gaidargi em 18/01/2019 em Artigo

Toda empresa precisa estar atenta à preservação de seus dados. Contudo, cuidar de todas as informações que circulam dentro de uma organização pode ser bastante complicado. Afinal, os profissionais de TI não precisam se preocupar exclusivamente com a segurança da informação. Pelo contrário. Eles precisam lidar com todas as rotinas operacionais para que o negócio funcione. Dessa forma, a empresa pode ficar vulnerável a ataques cibernéticos ou mesmo invasões.

Em 12 de maio de 2017, várias empresas sofreram ataques de ransomware. Esses ataques paralisaram simultaneamente os sistemas de comunicação de organizações públicas e privadas no mundo todo. No Brasil, foram afetadas o Instituto Nacional do Seguro Social (INSS), Ministério do Trabalho e a Telefônica.Até mesmo o FBI e a NASA já sofreram ataques hackers.

Sabendo disso, é muita ingenuidade acreditar que empresas com menos recursos estão imunes à invasões. Portanto, é essencial conferir se sua empresa está se protegendo da melhor forma possível.

De acordo com o Gartner, o mundo todo chegou a gastar mais de US$ 86 bilhões com segurança da informação ano passado. A estimativa é que este ano esse valor alcance a marca de US$ 93 bilhões. Tais investimentos costumam ocorrer em novas tecnologias que contam com elementos de inteligência artificial e treinamento computadorizado. Contudo, ainda existem diversas medidas que ajudam a proteger os dados das organizações que não demandam investimentos milionários.

Abaixo, disponibilizamos um check-list com medidas básicas para assegurar a proteção de dados críticos para o negócio, tal como a continuidade do serviço em caso de ataque cibernético. Confira-o para saber se sua empresa está protegida contra ataques e invasões:

⬜ Capacitação de usuários

Quer queira quer não, os usuários de uma rede costumam ser a porta de entrada para vírus e malwares em geral. E por que isso acontece? Geralmente pela simples falta de conhecimento somada à imprudência.

A verdade é que a estabilidade de um sistema de proteção da informação está diretamente ligada à capacitação dos usuários. Portanto, a empresa deve treiná-los frequentemente. Isso significa fazer com que conheçam muito bem o regulamento de trabalhos que contenham informações sigilosas.

Além disso, é preciso banir os ditos privilégios não oficiais, os quais costumam burlar regras de segurança. Aqui inclui-se acesso à redes sociais e a realização de downloads de fontes não autorizadas. Ou seja, é imprescindível que todos os usuários compreendam a gravidade das consequências de suas ações.

⬜ Atenção a softwares, links e e-mails suspeitos

O phishing é uma das formas de invasão mais utilizadas por hackers atualmente. Este consiste em uma fraude eletrônica que busca adquirir informações, em geral, sigilosas de usuários através de e-mails. Como, por exemplo, senhas, dados pessoais ou de cartões de crédito, entre outros.

As empresas também sofrem com sites, links e instalações de softwares falsos em seus computadores. Portanto, é essencial que os usuários da rede estejam atentos a essas possibilidades e siga as regulamentações de segurança da informação da empresa. Ou seja, eles não devem clicar em links aleatórios, instalar programas ou acessar sites suspeitos.  

⬜ Direitos de acesso monitorados

Toda empresa deve contar com uma classificação de níveis de acesso. Estes, por sua vez, têm de ser condizentes com o contexto do trabalho que cada indivíduo realiza.  

Em empresas menores e a hierarquização de níveis de acesso é mais fácil de administrar. Afinal, existem diversas ferramentas padronizadas que gerenciam os direitos de acesso a recursos e programas.

Já em empresas de médio porte, o ideal é apostar em soluções centralizadas. Ou seja, naquelas que analisam a rede corporativa e determinam ações potencialmente perigosas automaticamente. Sistemas SIEM são boas opções para esse fim.

Contudo, em empresas de grande porte, é recomendável automatizar uma auditoria mais aprofundada. Ou seja, uma que compreenda e conceda direitos de acesso por meio de soluções especializadas da classe IDM. A implementação dessas soluções costumam considerar especificidades do setor e do cliente.

De qualquer forma, o monitoramento deve contar com a auditoria diária de todos os itens de acesso. Assim é possível limitar a possibilidade de usuários criarem novos itens além de monitorar alterações de privilégios de acesso. Caso os direitos de acesso não sejam monitorados, é inevitável que algum funcionário do setor financeiro disponibilize em uma pasta pública informações sigilosas acidentalmente.

⬜ Direitos de acesso limitados

Após monitorar os direitos de acesso, a equipe de TI precisará delimitar esse direitos. Afinal, quanto menos acesso o usuário tiver, menor será o risco de realizar violações acidentais ou não. Ou seja, quanto menos acesso forem concedidos aos usuários, maior será o nível de proteção dos dados.

Porém, antes de começar a restringir acessos, é preciso atentar para duas medidas:

  1. Listar indivíduos com direitos legítimos de acesso à dados críticos da empresa;
  2. Regulamentar os deveres dos funcionários definindo recursos e documentos inerentes à realização do trabalho.

Ou seja, um designer não precisa ter acesso à pasta onde estão designadas as ações cotidianas do setor financeiro.

A forma escolhida para limitar os direitos de acesso vai depender de cada caso. Esta pode consistir em ferramentas Active Directory, opções integradas de aplicativos ou serviços web. Vale ressaltar que, hoje em dia, soluções de TI já costumam viabilizar a hierarquização de níveis de acesso.

Contudo, esse processo deve ser regular. Afinal, conforme a empresa cresce, mudanças acontecem em seus processos e no capital humano. Ou seja, eventualmente, algum colaborador poderá reclamar da falta de acesso a um documento necessário à realização de seu trabalho. Portanto, manter a monitoração após a limitação de direitos também é fundamental.

⬜ Criptografia

Informações críticas permeiam qualquer rede corporativa. E estas nem sempre podem ser protegidas apenas com a limitação de acesso.Uma boa forma de proteger dados pessoais dos funcionários, por exemplo, é a criptografia.

Esta consiste em um método simples de proteção de dados de forma a assegurar transações seguras dentro da organização. Estas podem ser feitas tanto via rede quanto pela internet.  A criptografia também protege contra ameaças físicas, como roubo ou perda de dispositivos móveis, como notebooks, smartphones ou pendrives. Afinal, uma vez criptografados, os dados contidos nesses dispositivos se tornam inacessíveis à pessoas não autorizadas.  

As soluções criptográficas variam de ferramentas integradas ao sistema operacional à gateways de criptografia dos canais de comunicação. Isso além de recursos de criptografia especializados, como a criptografia de banco de dados.

Em geral, todos os algoritmos de criptografia empregados em soluções de TI são confiáveis. E, embora existam diferenças  entre eles, mesmo o produto mais básico é capaz de tornar dados críticos inacessíveis à intrusos.

Porém, vale ressaltar que a criptografia torna o trabalho mais lento. Afinal, a transmissão de informações excessivamente criptografadas para um pendrive pode levar de 2 a 3 vezes mais tempo que o normal.

Portanto, é importante atentar para a medida adequada de criptografia. Ou seja, deve-se optar por algoritmos rápidos e imperceptíveis.  Afinal, reduzir a produtividade da empresa por conta de excesso de criptografia é inaceitável para CEOs focados no negócio.

Contudo, vale lembrar que a criptografia não protege contra erros humanos. Afinal, usuários precisam ter acesso à chaves de arquivos criptografados e, nem sempre, estes podem estar bem intencionados.

⬜ Rotinas de backup

Após sofrer um ataque cibernético, uma grande preocupação da empresa diz respeito aos arquivos perdidos. Especialmente se no ataque foi utilizado um ransomware, que sequestra dados críticos em troca de resgate em dinheiro.

Por conta disso, manter uma rotina de backup é fundamental. Contudo, para que essa estratégia funcione, é importante que o local de armazenamento não esteja conectado à rede da empresa. Ou seja, investir em soluções de cloud pode ser interessantes. Afinal, essas soluções oferecem ambientes externos seguros administrados por fornecedores especializados. Dessa forma, caso a rede da empresa seja afetada, as informações permanecerão seguras.

⬜ Plano de continuidade

Um alternativa ao backup é o plano de redundância. Este consiste na replicação de dados em servidores distintos. Essa estratégia garante à empresa uma segunda opção de acesso a dados críticos para dar continuidade ao trabalho em caso de ataques hackers.

⬜ Antivírus

Embora os antivírus não garantam 100% de proteção contra alguns tipos de ataque, é importante manter um sempre atualizado. Afinal, eles protegem a empresa contra a maioria dos malwares e a instalação de softwares suspeitos.

Vale ressaltar que algumas linhas de malware são polimórficas e, portanto, vão além da capacidade de boa parte dos antivírus. Estas contam com um tipo de camuflagem que coleta dados da configuração do sistema a fim de identificar vulnerabilidades. Munido dessas informações, o servidor realiza o download do malware mais eficiente para cada situação.

⬜ Atualizações periódicas do sistema

Para mitigar as vulnerabilidades, é essencial realizar atualizações constantes no sistema operacional. Contudo, estas devem ser oferecidas pela fabricante e nunca versões piratas.

Essas atualizações são importantes porque as versões mais novas dos sistemas operacionais são mais modernas e seguras.

Cloud computing

O armazenamento em nuvem é uma forma bastante segura de manter dados importantes fora das mãos de invasores. Outro ponto positivo a respeito da nuvem é sua alta disponibilidade, flexibilidade e custo, que costuma ser menor do que o de servidores físicos.

⬜ Controle de banda (QoS)

A princípio, o QoS encontrava-se disponível somente para firmwares alternativos como o DD-WRT e roteadores enterprise. Contudo, atualmente ele já pode ser implementado em vários roteadores de consumo. O sistema Quality of Service permite ao usuário definir prioridades de acesso. Ou seja, ele viabiliza controlar a banda do roteador e gerenciar o tráfego de internet.

Esse controle pode ser realizado por meio de uma configuração rápida no roteador disponível no computador do usuário. Dessa forma é possível determinando a velocidade da conexão para saída e entrada (kbps).

A vantagem de usar o DD-WRT é que ele pode ser instalado em vários APs e roteadores de baixo custo. Inclusive, ele é compatível até com modelos da TP-Link e outros fabricantes menos conhecidos.

⬜ DLP

O Data Loss Prevention consiste em um sistema usado pelas empresas para proteger dados confidenciais. Ele garante que estes não sejam perdidos, acessados por pessoas não autorizadas, roubados ou vazados por usuários mal intencionados.

O sistema nada mais é que um conjunto de políticas de segurança e regras aplicáveis por meio de programas especializados que reforçam o bloqueio contra invasores.

Esse tipo de solução permite reduzir custos e a complexidade de funções de controle de segurança de sistemas corporativos. Após instalado, a empresa passa a contar com monitoramento em tempo real em todos os arquivos, aplicações e dispositivos conectados à sua rede.

Firewall

O firewall consiste em uma barreira de proteção que auxilia a bloquear acessos de conteúdo malicioso à uma rede. Contudo, não impede que os dados que precisam transitar permaneçam fluindo. Na prática, eles são aplicativos ou hardwares que encontram-se entre um link de comunicação e um computador.

Sua função é checar e filtrar todo o fluxo de dados. Essa solução é de uso empresarial e domiciliar e protege a integridade e confidencialidade de informações.

Anti-spam dedicado

O anti-spam visa filtrar o lixo eletrônico com base nas características estruturais das mensagens. Ou seja, ele as compara com outras que não sejam spam. Assim, ao invés de impedir o recebimento de remetentes ou características semelhantes, o sistema é constituído com base na identificação do perfil do usuário.

Além de impedir o recebimento de mensagens indesejadas, a medida reduz em até 90% o tráfego de spams no ambiente corporativo. Isso reduz o consumo de banda para acessar a internet, tornando-a mais rápida.

Vale lembrar que alguns serviços de e-mail já oferecem essa filtragem. É o caso do  POP3, Outlook e Thunderbird. Eles costumam modificar o assunto do e-mail e adicionar alguma tag como [SPAM] para facilitar a visualização do usuário.

É sempre fundamental se lembrar que proteger informações deve ser um processo cíclico. Ou seja, precisa ser realizado periodicamente. Portanto, proteger dados não se limita apenas a atualizações de fundo técnico, mas também organizacionais.

Treinamento de usuários, limitação de acesso, criptografia, rotinas de backup, cloud computing etc podem realmente proteger uma empresa. Contudo, a tecnologia está em constante evolução e, com ela, as ameaças. Dessa forma, a reciclagem de procedimentos, programas e instruções deve acompanhar o mercado de forma a não se tornarem obsoletos.

 

Gostou desse artigo? Cadastre e receba mais informações pertinentes ao seu negócio!

 

Comentários