Checklist da segurança de TIC

O problema de segurança de TIC (Tecnologia de Informação e Comunicação) mais urgente que os empreendedores têm enfrentado não vêm dos hackers. A maioria das violações de segurança é, na verdade, proveniente dos próprios funcionários da empresa.

No entanto, eles geralmente não fazem isso de propósito. Afinal, a maioria das violações são acidentes. às vezes, um funcionário pode enviar, por engano, informações confidenciais do cliente para fora da empresa. Contudo, em outras, um caixa acaba deixando as informações do cartão de crédito de um cliente em um computador visível publicamente. Em algumas situações, até um gerente pode, inadvertidamente, excluir informações importantes.

Downloads podem ser vilões no ambiente corporativo

Uma das violações mais comuns consiste no download acidental de malware. Afinal, esses pequenos vírus de computador e cavalos de Tróia podem causar problemas na rede de computadores.

Quatro em cada cinco pequenas e médias empresas (PMEs) canadenses relataram ter enfrentado um problema de segurança de TIC. Em geral, eles são causados por um funcionário. Contudo, a maioria das PMEs não faz muito a respeito até que seja tarde demais. Afinal, muitos donos de empresas não investem dinheiro em segurança relacionada a tecnologia.

Como resultado, as ações geralmente são adiadas até o dia em que um computador essencial falha. Ou, até mesmo, quando dados vitais são eliminados em um ataque de malware. A proliferação de dispositivos móveis, computação sem fio e funcionários remotos só piora a situação. Portanto, o desafio da segurança de TIC é cada vez maior para os empreendedores.

Como assegurar a segurança de TIC?

Todos sabemos que a segurança de TIC precisa ser levada a sério. Ela deve, inclusive, ser uma prioridade contínua para todas as empresas. Embora nenhuma empresa ou indivíduo possa estar 100% protegido contra ameaças de segurança cibernética, é possível implementar práticas recomendadas de segurança de TIC. Para isso, deve-se usar uma lista de verificação de auditoria de segurança cibernética, o que reduz significativamente o risco de se tornar vítima de hackers ou contratempos.

Confira a Lista de Verificação de Auditoria de Segurança Cibernética “Top 20”, do AICPA. Ela foi projetada para empresas profissionais e pequenas empresas que querem se proteger de todas as ameaças cibernéticas conhecidas:

Mantenha seus sistemas operacionais atualizados:

Se você executa no Microsoft Windows ou no Apple OS X, seu sistema operacional precisa ser configurado para atualizações automáticas. Desligar computadores à noite ou reinicializar promove a instalação de atualizações. Tal como limpa a desordem do sistema. As atualizações do sistema são especialmente importantes para sistemas operacionais de servidor. Afinal, neles todos os patches e atualizações precisam ser revisados e atualizados em um cronograma recorrente. Seus funcionários precisam ser lembrados de que seus smartphones e tablets também devem ser configurados para atualizar os sistemas operacionais iOS, Android ou Microsoft Windows Phone automaticamente.

Atualizações de antivírus:

As empresas precisam garantir que os programas antimalware sejam definidos para verificar atualizações com frequência. Isso, além de verificar o dispositivo em um cronograma definido de forma automatizada, juntamente com qualquer mídia que seja inserida em uma estação de trabalho. Em empresas maiores, as estações de trabalho devem ser configuradas para relatar o status das atualizações de antivírus para um servidor centralizado. Este, por sua vez, pode enviar atualizações automaticamente quando necessário.

Política de senha forte:

As políticas de TI devem exigir senhas complexas. Ou seja, pelo menos oito caracteres com uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais. Portanto, as configurações de rede devem exigir que o pessoal altere suas senhas quatro vezes por ano. Além disso, o pessoal não deve poder utilizar nenhuma das dez senhas anteriores. As práticas recomendadas apontam para o uso de senhas diferentes para cada login e não permitir que ninguém saiba sua senha.

Usar bloqueio de tela automático:

Quando uma estação de trabalho ou dispositivo móvel estiver ocioso por alguns minutos, ele deve ser configurado para bloquear automaticamente a tela. Assim é possível manter olhos indiscretos fora do sistema.

Rastreamento de equipamentos:

Saiba onde estão os dados da empresa, incluindo não apenas servidores e estações de trabalho, mas também dispositivos móveis. É o caso de pen drives, sistemas de backup locais e de nuvem. As empresas devem se esforçar para limitar o acesso a recursos da empresa somente àqueles que realmente precisam deles. Portanto, o uso de tags de inventário e a verificação de dispositivos atribuídos também ajudam a controlar os dispositivos da empresa.

Dispositivos seguros:

Qualquer dispositivo que contenha dados da empresa e do cliente precisa ser protegido física ou digitalmente. Ou seja, os servidores de arquivos no local precisam estar em uma sala / compartimento trancado. Além disso, o escritório deve ter um sistema de segurança. Dispositivos móveis precisam ser bloqueados quando não estiverem em uso. Não obstante, qualquer unidade de dados deve ser criptografada.

Descarte os dados / equipamentos corretamente:

Todos os arquivos físicos e rascunhos com informações pessoalmente identificáveis que não sejam mais necessários devem ser protegidos e triturados. Afinal, assim se minimiza o risco de os mergulhadores de dumpster acessarem os IDs do contribuinte. Estações de trabalho e outros equipamentos móveis usados para processar dados do cliente devem ser formatados completamente. Uma alternativa é destruir o disco rígido fisicamente para minimizar o risco de recuperação de dados.

Criptografar dados de backup:

As empresas devem criptografar qualquer mídia de backup que saia do escritório. Elas devem também validar se o backup está completo e utilizável. Além disso, é importante revisar regularmente os registros de backup para fins de conclusão e restaurar arquivos aleatoriamente. Isso garante que eles irão funcionar quando necessário.

Minimizar privilégios de administrador:

Permitir que as estações de trabalho sejam executadas no modo de administrador expõe essa máquina a mais ameaças de segurança. E isso pode levar à infecção da rede inteira, portanto, o trabalho regular não deve ser feito em um computador no modo administrativo. Ou seja, esse modo deve ser desabilitado por padrão.

Envio seguro:

As empresas devem padronizar as ferramentas que permitem o envio e recebimento seguro de arquivos do cliente. Portanto, todo o pessoal deve ser instruído a usar o portal da empresa ou a solução de e-mail criptografada para qualquer arquivo que contenha dados confidenciais.

Conecte-se com segurança:

A equipe de TI deve treinar o pessoal para se conectar com segurança aos recursos de informações da empresa usando uma VPN ou outra conexão segura. A equipe deve ser lembrada de não fazer qualquer trabalho confidencial em wifi público. Além disso, ela deve se conectar apenas ao wifi para um trabalho se tiver certeza de que é autêntico. Ou seja, deve-se verificar o SSID / senha com o cliente. Mas, na verdade, o ideal é que ela utilize um hotspot móvel 4G LTE ou se conecte por meio desse recurso em seu smartphone.

Proteger equipamentos móveis:

Os laptops são frequentemente citados como o maior risco de roubo móvel para empresas de CPA e outros serviços profissionais. Contudo, as senhas obrigatórias e a criptografia devem ser estendidas para smartphones e tablets. Portanto, as empresas devem ter um processo para notificar o pessoal de TI se um dispositivo for perdido ou roubado. Além disso, é essencial ter um processo testado para apagar remotamente do dispositivo móvel todos os dados da empresa.

Atualizar políticas de TI:

As empresas devem revisar as políticas de uso de TI e fornecer aos funcionários um treinamento pelo menos uma vez por ano. Ele deverá contar todas as políticas novas e atualizações. Além das políticas tradicionais de uso do computador e da internet, as empresas devem incluir o acréscimo de texto em BYOD, acesso remoto, privacidade e criptografia, quando apropriado.

Educar os funcionários:

A educação de segurança de TIC deve ser exigida anualmente. Além de revisar as políticas da empresa, os funcionários devem ser informados sobre métodos atuais de ataque à segurança cibernética. Atualmente, destacam-se o phishing e pharming, e ameaças, incluindo ransomware e engenharia social, usados por hackers para obter acesso ao computador de um usuário.

Treinamento de conscientização por e-mail:

O pessoal precisa ser lembrado para ser cético em relação a e-mails que não esperava e que estão fora do escopo. Ou seja, a equipe precisa ser lembrada de passar o mouse sobre um link de e-mail antes de clicar. Além disso, deve checar as propriedades do e-mail para ver se o endereço do remetente corresponde. Eles também precisam ser lembrados regularmente para não anexos suspeitos e de enviá-los à equipe de TI para análise, caso haja alguma preocupação. Se houver alguma dúvida sobre um link em um e-mail, é melhor acessar diretamente o site digitando o endereço em um navegador do que arriscar clicar no link.

Cumprimente os visitantes do escritório:

Existe um recurso de verificação de auditoria de segurança cibernética que geralmente é esquecido. Os funcionários também devem ser lembrados de desafiar qualquer pessoa que esteja no escritório que não reconhece. Se o visitante parecer suspeito, o funcionário deve notificar imediatamente alguém da administração.

Terceirizar a segurança:

Contrate especialistas ao implementar firewalls e recursos relacionados à segurança. Isso é interessante para acesso remoto e roteadores sem fio, a fim de que eles sejam configurados corretamente na primeira vez. Afinal, é provável que o pessoal de TI interno não tenha sido exposto a um ótimo treinamento de segurança ou detenha experiência com a configuração de um novo dispositivo. Recursos externos também podem ser chamados para fazer testes de penetração para identificar e bloquear vulnerabilidades do sistema.

Ter um plano de resposta a violações:

Você deve ter um plano de resposta a incidentes de segurança em vigor sempre que houver a preocupação de que os dados da empresa foram comprometidos. Isso seria em um formato escrito que incluiria educar o pessoal sobre como documentar os eventos que levaram à descoberta da violação. Ele consiste em notificar o pessoal de TI acerca da violação para que eles possam tomar as medidas necessárias para interrompê-lo. Isso pode ser feito por meio do desenvolvimento de um processo interno e planejamento de comunicações externas.

Seguro de segurança de TIC:

Infelizmente, muitas empresas podem fazer as coisas certas no que diz respeito à segurança da informação e ainda serem vítimas de um hacker. Portanto, um seguro de segurança de TIC é essencial. O custo deste seguro diminuiu consideravelmente na última década e as empresas devem avaliar os seguros de primeira linha para cobrir as perdas diretas da empresa, resultantes da violação e seguro de terceiros. Estes devem cobrir quaisquer danos aos clientes cujos dados possam ter sido comprometidos.

Avalie sua segurança de TIC

É importante frisar que a segurança de TIC não precisa ser esporádica e fragmentada. Idealmente, deve-se avaliar regularmente sua segurança de TIC. Ela deve integrar uma revisão mais ampla de todos os sistemas da empresa. Dessa forma, é mais fácil garantir que seus equipamentos e processos de tecnologia não estejam fora de sintonia com a estratégia de negócios.

Aqui está uma lista de verificação de segurança de TIC que as PMEs podem seguir:

Estratégia e políticas de recursos humanos

Sua empresa tem uma política clara de segurança de TIC que é conhecida pela equipe?

Você tem uma política sobre uso aceitável de TIC, diretrizes de senha e práticas de segurança?

Você tem acordos de confidencialidade para contratados e fornecedores?

Sua empresa possui uma política de privacidade?

2.Backup de dados

Em relação a dados críticos*:

Você o centraliza em um servidor e faz o backup noturno em um local remoto?

*Necessário nas operações do dia-a-dia, incluindo informações do cliente

Para dados importantes*:

Você o centraliza em um servidor e faz backup semestralmente fora do site?

*Importante para a empresa, mas que não é atualizado com frequência

Segurança do desktop

Todos os computadores têm software antivírus?

Você tem uma política de segurança para baixar e instalar novos softwares?

Você tem senhas com no mínimo oito caracteres alfanuméricos que são alterados a cada 90 dias?

Todos os computadores são atualizados com as últimas atualizações do sistema e patches de segurança?

Internet e segurança de rede

Você tem um firewall e detecção de intrusão em todas as conexões da web?

Você usa uma rede privada virtual para acesso remoto?

Todas as conexões de modem e acesso sem fio são reconhecidas e protegidas?

Privacidade e informação sensível

As informações financeiras dos clientes são criptografadas e acessíveis apenas àqueles que precisam delas?

Os arquivos de papel são mantidos em armários trancados com acesso controlado?

Auditoria

Você faz uma auditoria periódica (a cada seis meses pelo menos) da sua lista de verificação de segurança de TIC?

Posts recentes

posts relacionados

Guia de empresa especializada em segurança da informação

17/04/2024 Nenhum comentário

Desde a pandemia de 2020, que popularizou o trabalho remoto e as competências digitais em todo o mundo, várias empresas

Tudo sobre soluções de segurança da informação?

10/04/2024 Nenhum comentário

As soluções de segurança da informação são produtos ou serviços projetados para proteger sistemas e dados digitais contra ataques cibernéticos.

Consultoria em segurança da informação

03/04/2024 Nenhum comentário

Segundo o Gartner, a consultoria em segurança da informação são serviços de assessoria e consultoria relacionados ao design, avaliação e

Perguntas
frequentes

Já tenho quem me atenda hoje, como funciona a transição?

Nós falamos com o seu fornecedor atual e colhemos todas as informações necessárias diretamente com eles. Também podemos fazer o mapeamento de todas as informações diretamente na sua empresa.

Gostaria de reduzir custos e melhorar o desempenho, isso é possível?

SIM, é possível melhorar a qualidade e o desempenho e ainda reduzir custos. Essa eficiência é possível graças ao sistema de melhoria contínua que aplicamos há anos.

Tenho um time interno, vocês podem absorver os profissionais?

SIM, o time interno pode ser absorvido, com os profissionais se tornando colaboradores da Infonova.

Vocês cuidam da LGPD?

SIM. Em conjunto com seu departamento, ou consultoria jurídica, ajudamos a implantar as ações de TI necessárias para adequação da LGPD.

Como funciona a transição?

A transição pode ocorrer com ou sem o apoio do fornecedor atual. A Infonova vai mapear todas as informações, identificar os itens críticos e realizar a transição de forma segura, sempre em alinhamento com o cliente.

Quanto tempo leva a transição?

Em geral é rápida. O tempo exato depende de cada situação. O prazo mais comum de transição em paralelo é entre 1 semana e 15 dias.

Vou precisar investir muito?

NÃO. Temos soluções para empresas de 10 a 2.500 colaboradores. Desenvolvemos uma metodologia para atender empresas em diversos segmentos, em situações de crescimento ou retenção.

Como ficam os usuários home office?

Temos diversas soluções para proteger o acesso de usuários que ficam externos ou em home office.

Vocês trabalham com Azure, AWS ou Google Cloud?

SIM, trabalhamos com os principais provedores de nuvem e possuímos um datacenter próprio.