Como eu crio uma política de segurança?

De acordo com Mercedes Martin Security & Privacy Initiatives – Microsoft, 8 entre 10 softwares e sistemas operacionais encontram-se de alguma forma contaminados com algum tipo específico de vírus ou sujeito a invasões. Devido a este quadro de riscos que cada vez mais as empresas e usuários de sistemas devem tomar medidas preventivas. Elas precisam ir além da compra de softwares: devem criar política de segurança.

A informação é algo que deve ser protegida e garantida por meio das políticas de segurança. Ela é tão importante que devemos dedicar os mesmos esforços (se não mais) que a proteção aos nossos bens e recursos financeiros. A empresa que não garante a sua segurança tem mais chance de depender de outros serviços para que não tenha prejuízos.

A adequação de metodologias que permitem tornar problemas que podem ser evitados antecipadamente por meio de padrões de comportamentos e de normas, são essenciais para a vida das empresas e das pessoas.

Entenda qual é o objetivo da política de segurança

O aumento do uso das redes sociais e mailing lists, bem como outras necessidades modernas (aplicações novas, compras online, compartilhamento de arquivos etc.) criam novos riscos. Por isso é tão importante que a empresa tenha um programa de formação sobre política de segurança.

O principal objetivo de uma política de segurança é melhor orientar todos os colaboradores (equipe interna e todo o setor de gerência e administração) sobre os padrões e normas a serem seguidos para a proteção e sigilo da informação. Ela especifica claramente quais são os requisitos que devem ser obedecidos.

Os principais valores de uma política de segurança

Existem certos princípios que, se forem aplicados, os demais requisitos serão fáceis de seguir. Isso por que estes se adequam na relação direta com a intencionalidade. Ou seja, os colaboradores passam a internalizar um comportamento seguro (uma lógica), que torna-se natural e usual.

Podemos chamar estes valores de princípios básicos, que são:

Confidencialidade: o acesso garantido à informação somente para pessoas autorizadas;

Integridade: a informação completa sem alteração, sendo ela legítima em seu formato original;

Disponibilidade: a garantia de que os usuários possam ter acesso direto à informação.

Toda política de segurança deve definir os direitos e as responsabilidades de cada operador em relação à manutenção do patrimônio. Ele deve estar ciente de que está sujeito a penalidades e responsabilidades.

Veja os principais pontos que devem constar em sua política de segurança

Há situações que são consideradas como “abusivas em relação ao mau uso de gerência da informação e por isso, para falarmos de segurança, teremos que considerar alguns pontos importantes.

Política de senhas: definição das regras sobre o uso correto de senhas e emails. Isso também deve gerar uma política de confidencialidade sobre as informações institucionais e como elas devem ser repassadas a terceiros. O compartilhamento de senhas deve ser proibido;

Instalação de aplicativos: simplificar o gerenciamento de aplicativos e dispositivos é muito importante, pois evita a descentralização de serviços desnecessários. Por exemplo, o Microsoft Intune oferece recursos de gerenciamento de dispositivos móveis, gerenciamento de aplicativos e gerenciamento de PCs na nuvem.

Política de armazenamento (backup): definição das regras sobre cópias de segurança, tipos de mídias, frequência de execução e padrão de armazenamento de dados.

Política de privacidade: definição do tratamento das informações corporativas ou não. O acesso ao conteúdo web deve ser de fácil acesso sem jamais perder o foco na segurança. A divulgação de informações confidenciais também caracteriza dano.

Estes quatro princípios são muito importantes. Se não há uma política que cuide destes aspectos, o monitoramento não será capaz de evitar danos e prejuízos nem as restrições que deveria impor.

É verdade que existe um custo para o investimento em segurança para evitar os riscos, mas também existem custos diferentes para cada tipo de segurança, como por exemplo: aquisição de softwares (como firewalls ou geradores de senha), e praticidade de navegação.

Também é importante considerar que os custos que danos e invasões irão gerar a empresa, que podem chegar a perdas irrecuperáveis (de tempo, dinheiro e competitividade). Prevenir ainda é o melhor caminho, além de o mais barato.

Como o envio de e-mails afeta a segurança da informação

O envio de mensagens informais ou de conteúdo interno, são consideradas como padrões não aceitos. Além de gerar desconfiança, podem também espalhar spams e vírus.

Devido à crescente preocupação com todos estes números relacionados aos riscos, a Microsoft vem elaborando Guias de Segurança. Ele tem por objetivo ajudar às empresas a decidirem os caminhos a tomar.

Além disso, programas como o Exchange Online permitem ajudar na defesa dos dados de usuários mediante filtros antimalware e antispam. Também atuam na prevenção contra perda de dados evitando que os usuários enviem informações confidenciais por engano e pessoas não autorizadas. Existem servidores que recuperam dados em caso de desastres e uma equipe de especialistas age monitorando o Exchange Online 24 horas por dia.

Quais são os riscos que uma empresa corre com a falta de segurança?

Existem muitos tipos de riscos e de diferentes padrões. Confira alguns deles:

  • perda de dados corporativos: Informações furtadas, corrompidas ou deletadas. Estas informações podem ser dados financeiros, sobre novos produtos e projetos etc.
  • perda de privacidade: informações que são adquiridas via acesso não permitido a alheios;
  • perda de serviços: informações armazenadas que desconfiguram o espaço utilizado disponível, muitas vezes impossibilitando acesso à rede.
  • perda de backup: muitas empresas utilizam ainda o backup em fita, o que por si só é um risco. Trata-se de uma tecnologia obsoleta, e segundo Gartner Group, 50% das fitas de backup falham durante o processo de restauração. Além disso representa um alto custo. Para diminuir o alto custo e ter total segurança com os backups, o ideal é que a empresa adote uma solução de Cloud Backup.

As ameaças podem ser de diferentes naturezas:

  • naturais: causadas por fenômenos da natureza, externos como desastres naturais, acidentes e desprovidas de qualquer intenção para causar algum dano
  • não naturais: causadas por ações intencionais, ou seja, que geram danos e perdas.

O descuido com estes pontos importantes pode acarretar em danos irreparáveis, chegando até mesmo a prejudicar todo o futuro da empresa.

Por exemplo, imagine se a sua equipe passa anos desenvolvendo um produto, porém tem essas informações roubadas por uma concorrente, que o lança primeiro? Se todo o trabalho intelectual da sua empresa estiver alocado em um servidor local, e por algum desastre natural ele é perdido? São anos e anos de trabalho que jamais poderão ser recuperados.

Por isso é extremamente necessário elaborar conjuntamente um padrão de procedimento para a gestão de riscos. Estes devem ser reconhecidos e classificados de acordo com a ação e a expansão de acesso que a empresa possui.

Há diversas práticas que irão aumentar essa segurança de acordo com as suas necessidades. Por exemplo, o SAM (Software Asset Management) é um tipo de gerenciamento de ativos de Software dos mais eficazes em termos de custo. Confira algumas das ações do SAM que aumentam a segurança da empresa:

  • mapeamento de todos os softwares da empresa;
  • controle e identificação de aplicações que são cópias não autorizadas (programas piratas geralmente escondem ameaças virtuais),;
  • criação de um padrão de segurança para a instalação de softwares (evitando a instalação de softwares de terceiros que podem conter ameaças).

É importante que a empresa saiba desenvolver e implementar uma gestão própria de política de segurança. Os ambientes de TI empresariais estão se complexificando em todo o mundo.  Isso exige que ações preventivas sejam rigorosamente aplicadas.

O papel do antivírus na segurança da informação

O crime virtual cresce na medida em que os métodos se tornam mais audazes. A segurança e gerenciamento de TI tem de ser redobrada contra estas ameaças.

Os antivírus não são mais apenas um software que rastreia ameaças no computador. Hoje ele atua ativamente tanto na prevenção quanto na solução de pragas virtuais. Além disso é comum oferecerem uma série de recursos para blindar ainda mais o ambiente digital da empresa.

Um exemplo de solução completa de antivírus é o Kaspersky Endpoint Security for Business ADVANCED tem beneficiado muitas empresas. As tecnologias de verificação de vulnerabilidades da Kaspersky ajudam a erradicar problemas dentro de seus sistemas operacionais e do software.

O Kapersky cria uma criptografia de dados que protege informações corporativas confidenciais. Dado o aumento das eficiências de gerenciamento dos sistemas de TI, existe um volume cada vez maior de tarefas de gerenciamento de sistemas que precisam ser automatizados. Por isso uma solução de antivírus completa deve ir além do uso comum, que é rastrear ameaças.

Transparência interna nas políticas de segurança

A empresa deve fornecer um manual, sistema, treinamento, comunicado interno, regras e normas que tragam todas as normas e recomendações de segurança da informação. Toda esta comunicação deve ser clara, fácil e rápida de entender e não dar margem a dúvidas e dupla interpretação.

A comunicação entre os usuários, gestores e clientes deve ser feita mediante um acordo denominado “política de segurança das informações”. Existe um tipo de padrão internacional adotado que se chama “Política de uso aceitável” (Acceptable Use Policy) ou “Termo de Uso” que configura as normas de uso em relação aos direitos e responsabilidades do usuário. Tais medidas são importantes porque podem ajudar perante procedimentos que envolvam casos judiciais ou de ação criminosa.

Outra medida que pode oferecer recursos sem causar despesas ao gerenciar infraestruturas menores, são as opções de gerenciamento flexível, ou seja, aquelas que mantém o controle necessário para atender aos requisitos de conformidade da empresa.

Compartilhamento de arquivos e trabalho a distância

Hoje há uma grande necessidade de acessar o ambiente de trabalho remotamente. Seja devido a uma viagem de negócios, trabalhos home office ou ainda apenas o compartilhamento de arquivos entre a equipe, a Cloud Computing permite trabalhar de qualquer lugar e a qualquer momento.

E será que acessar a empresa por meio de redes públicas e / ou domésticas, bem como por computadores de terceiros não representa risco? Se a empresa possuir um ambiente em nuvem seguro, o risco é minimizado.

Manter-se seguro e com o nível de produção intacta, em qualquer lugar onde estiver, já é possível graças a novos aplicativos como o SharePoint. Ele, além de garantir os recursos da empresa para realizar os serviços, permite deixar à disposição toda a segurança necessária.

A vantagem do SharePoint como um file server é que ele armazena melhor do que os já conhecidos OneDrive, GoogleDrive e Dropbox. Soluções que sejam dimensionáveis e que cumpram com os requisitos de segurança e conformidade vão garantir que as políticas de segurança sejam aplicadas.

A mudança de concepções sobre segurança é necessária e urgente. As transformações tecnológicas são velozes e as políticas necessitam de atualização. A evolução tecnológica rompe fronteiras de oportunidades, porém o número de ameaças também recebe um aumento. Ciente destas necessidades relacionadas ao uso de políticas, você não acha que está na hora de de empreender esta mudança?

Assine a nossa Newsletter e receba as melhores dicas sobre políticas de segurança

A N1 IT possui consultoria em TI qualificada para disponibilizar a infraestrutura necessária para a área de tecnologia da informação da sua empresa, no que tange a aquisição de softwares e de hardwares, storage, virtualização de ambientes, suporte técnico e serviços na nuvem

Leave a comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Assine a Newsletter
Mantenha-se informado com as principais dicas de tecnologia para a sua empresa.