No mundo que caminha para uma digitalização complexa, empresas e pessoas precisam estar cada vez mais conscientes da segurança da informação. Esta é uma área sensível que precisa ser curada por empresários, independentemente de a empresa ser uma gigante de tecnologia do Vale do Silício, a startup da universidade ou a mercearia do bairro.

Cuidar da segurança da informação significa garantir que dados sensíveis como informações bancárias, dados de clientes e funcionários, resultados de pesquisas de mercado ou desenvolvimento de produtos estarão protegidos de divulgações indesejáveis.

Por que empresas devem se preocupar com segurança da informação?

Segundo reportagem da revista Forbes Brasil, dados da empresa de segurança da informação SonicWall revelam que 2018 bateu recorde em ataques cibernéticos. Esta empresa calcula que foram registrados mais de 6 bilhões de ameaças a sistemas de rede pelo mundo de janeiro a junho. Este número é mais do que o dobro do registrado no mesmo período de 2017.

Um dos pontos a ser considerado nessas constantes ameaças é que embora a tecnologia e a digitalização tenham avançado a passos astronômicos, a segurança da informação não acompanhou esta evolução na mesma velocidade. Por isso, do ambiente virtual ao físico, é fundamental que negócios estabeleçam políticas de segurança da informação para assegurar a integridade e até na continuidade da operação dos negócios.

Entre os riscos que companhias correm estão:

  • Infecção por malware: ocorre por qualquer software ou parte de um software escrito ou reescrito com código malicioso. Esta parte do código pode danificar tanto dados quanto dispositivos da empresa. Existem diversos tipos de malwares, entre eles: cavalo de troia, spyware, worms, ransomware, adware, etc.
  • Ataque às áreas vulneráveis: hackers vivem de rastrear falhas na segurança digital empresas. Os fatores que expões empresas à riscos são muitos e, na maioria das vezes bem óbvios, tais como falta de atualizações, configurações mal feitas, redes desprotegidas, proteções ineficazes e falta de treinamento dos funcionários.
  • Phishing: É um tipo de fraude eletrônica, em que o hacker se faz passar por uma pessoa ou empresa de confiança e através de uma comunicação eletrônica que parece oficial – e-mail, mensagem instantânea ou SMS – para roubar logins e senhas de acesso, identidade, informações bancárias etc.
  • Fraude interna: Bom, quando funcionários se aproveitam da possibilidade de acessos ou burlam sistemas de proteção para roubar ou vazar informações que são exclusivas da empresa. Outro problema de segurança da informação atual é o gerado pelos smartphones corporativos. Afinal, diariamente funcionários carregam os telefones e informações sensíveis para a empresa para fora do local de trabalho.
  • Indisponibilidade:  este é o caso de ataques a estabilidade de sistemas. São comuns e podem prejudicar fluxos produtividade e afetar diretamente o lucro e, o pior, a imagem da empresa.

Vale lembrar que, atualmente, com aumento no número de colaboradores trabalhando remotamente, é preciso planejamento para ter uma rede segura, mesmo com o home office.

O que considerar na hora de definir uma política de segurança da informação

Teoricamente, a segurança da informação se baseia na tríade CIA (Confidentiality, Integrity and Availability). Estes três pilares, que em português significam Confidencialidade, Integridade e Disponibilidade, asseguram a qualidade e preservação de dados.

  • Confidencialidade: o acesso à informação é limitado somente às entidades legítimas, autorizadas pelo proprietário da informação.
  • Integridade: é o princípio que garante que a informação não seja deturpada e mantenha as características estabelecidas pelo proprietário da informação.
  • Disponibilidade: este pilar trata de quem tem acesso às informações sensíveis do seu negócio. Este acesso deve ser habilitado e controlado pelo proprietário da informação.

É fundamental elaborar uma estratégia de segurança da informação que leve em consideração estes três conceitos listados acima. Já entre as ações que sua empresa, independente da área de atuação ou porte, pode adotar estão:

1.    Qualifique seu pessoal: nem todos os funcionários têm a obrigação de ser tech savvy. Então, ofereça treinamento para que eles saibam as políticas de tratamento da informação da empresa e também para que eles aprendam como reconhecer ameaças de malware e phishing.

2.    Tenha backups: Faça cópias de dados da sua empresa em outros lugares (físicos e virtuais) e as faça constantemente em diferentes repositórios. Se possível, tenha estas informações resguardadas também em um local sem conexão com a internet, para se prevenir de possíveis ataques – confira artigo sobre backup na nuvem como serviço.

3.    Antivírus: Parece óbvio, porém muitas empresas não têm um bom antivírus ou esquecem de mantê-lo atualizado. Esta é a ferramenta que vai salvar seu banco de dados da instalação de arquivos secretos e bloquear vírus como ransonware.

4.    Internet dedicada: Se a sua empresa precisa garantir a estabilidade de sistemas, contrate internet dedicada, que é muito mais estável do que internet comum. E lembre-se: a migração para nuvem precisa de segurança adequada.

5.    Atualize softwares: sempre que houver uma atualização de seus softwares disponível, baixe. Além das funcionalidades extras, bugs são corrigidos nessas atualizações.

6.    Preserve seus logins e senhas: crie senhas fortes, alfanuméricas e com caracteres especiais e as atualize periodicamente. E, caso estas senhas e acessos sejam armazenados em algum lugar, garanta que seja em algum lugar a salvo.

7.    Defina níveis de privilégio de uso: você não quer que alguém que começou a trabalhar ontem para você tenha acesso a todos os dados da sua empresa, certo? Defina níveis de acesso conforme a confiança e a responsabilidade dos funcionários.

8.    Tenha um plano de contingência: Sim, esteja preparado para o caso de o pior acontecer. Escreva um passo a passo de como proceder em casos de vazamento de informações importantes, perda de senhas, queda do sistema etc. Assim, com ações bem claras, a reação em caso de qualquer incidente será a mais rápida possível.

Segurança em nuvem

Um tipo de segurança da informação que cresce atualmente é o serviço para nuvem. Segundo a Amazon, a segurança da computação na nuvem oferece muitas das mesmas funcionalidades que a segurança de TI tradicional. Isso inclui a proteção de informações essenciais contra roubo, vazamento de dados e exclusão.

A diferença para os serviços de segurança da informação tradicional, é que no caso da nuvem, o custo é baseado no uso, o investimento inicial é reduzido e pode ser expandida com rapidez.

Ainda é difícil encontrar profissionais nesse setor de segurança da informação para cloud computing, porém já existem alguns tipos de certificações para quem trabalha com segurança em nuvem, como a CEH (Certified Ethical Hacking), a CCSK (Certificate of Cloud Security Knowledge) e a CCSP (Certified Cloud Security Professional).

Quer saber mais sobre segurança da informação na nuvem? Acompanhe o blog da ADTsys.

Aproveite e converse com nossos especialistas!


Conteúdos que você pode gostar também:

Case de Sucesso ADTsys-São Luiz: modernização com DevOps

Case de Sucesso ADTsys-São Luiz: modernização com DevOps

Conheça mais um Case de Sucesso ADTsys, desta vez você confere como a cultura Devops, suas metodologias e tecnologias…

Case de Sucesso ADTsys-Rede Século 21: o brilho da nuvem

Case de Sucesso ADTsys-Rede Século 21: o brilho da nuvem

Case de Sucesso ADTsys-Rede Século 21: o brilho da nuvem: Como o poder do cloud computing ajudou a Rede Século 21 a…

Case de Sucesso ADTsys-Philips revela potencial de Analytics BI

Case de Sucesso ADTsys-Philips revela potencial de Analytics BI

Este Case de Sucesso ADTsys-Philips comprova como a implementação de Analytics BI pode transformar dados em insumos…