SUMÁRIO. Compartilhe este e-book. Introdução melhores práticas de segurança da informação 11.

(1)

(2)

SUMÁRIO

Gestão de seGurança da informação: conheça as melhores práticas

03.

04.

11.

Introdução

12 melhores práticas de segurança da informação

A importância de investir em gestão da segurança da informação

(3)

INTRODUÇÃO

Além de todos os desafios existentes na gestão de uma empresa, a segurança da informação é um assunto que tem tirado o sono de empresários.

Incomuns no passado, hoje os ciberataques e as invasões têm se tornado cada vez mais frequentes, tanto pela falta de uma boa gestão de riscos e segurança da informação,

quanto pelo aumento da dependência que as empresas têm da tecnologia, o que atrai criminosos virtuais que conseguem se aproveitar disso e lucrar em cima do sequestro de dados, por exemplo.

Muitas empresas desconhecem o risco que correm e só investem em segurança após terem sido vítimas de um desses criminosos. Um ataque virtual pode ser extremamente danoso à operação de uma empresa. Entre outras consequências,

existem ocorrências em que a empresa interrompe sua operação por dias, contas

bancárias são invadidas e sistemas de gestão são completamente apagados, deixando a empresa sem nenhuma informação histórica.

além do impacto operacional causado pela perda dos dados, ainda existe a chance de

que informações confidenciais sejam vazadas, podendo ser acessadas até mesmo por

concorrentes.

Nós estamos no mercado há 15 anos e conhecemos todos esses riscos. Por isso, desenvolvemos este e-book com o intuito de oferecer informações para te ajudar a

criar estratégias de segurança. Falaremos sobre as 12 melhores práticas de segurança

da informação para proteger sua empresa de crimes virtuais. Boa leitura!

3

(4)

12 MelhOReS pRÁTIcaS De

SegURaNÇa Da INfORMaÇÃO

a defasagem tecnológica torna vulnerável toda a infraestrutura e a segurança de TI e gera consequências como perda de competitividade, ineficiência operacional,

insatisfação de colaboradores e clientes, além de morosidade e ineficácia do processo decisório.

Além da defasagem tecnológica, os hardwares estão sujeitos a defeitos de fabricação, instalação ou utilização incorreta, quebra ou queima de componentes e má

conservação. Enquanto isso, os softwares estão sujeitos a falhas técnicas e de configurações de segurança, mal uso ou descuidos com login e senha de acesso, o que pode comprometer a segurança das informações.

É por isso que hardwares e softwares precisam ser acompanhados de perto e substituídos quando necessário. Mas essa aquisição não deve levar em conta apenas o quesito preço. É preciso considerar os aspectos técnicos e de qualidade.

Nesse processo, é preciso analisar as vulnerabilidades dos hardwares e dos softwares, além de adotar práticas de segurança específicas para cada elemento da infraestrutura de TI. São necessários ainda treinamentos para a equipe de TI e os usuários dos recursos tecnológicos, já que inabilidade técnica também gera vulnerabilidades de hardware e

software.

4

Compartilhe este e-book

1. DeTecÇÃO De vUlNeRabIlIDaDeS De

haRDwaRe e SOfTwaRe

(5)

2. cópIaS De SegURaNÇa

As cópias de segurança, também conhecidas como backups, são um mecanismo fundamental para garantir a disponibilidade das informações, caso as bases onde

elas estão armazenadas sejam danificadas ou roubadas.

O backup pode ser armazenado em dispositivos físicos ou em nuvem. O mais

importante é que haja pelo menos duas cópias das bases de dados, armazenadas em locais distintos da instalação original, ou seja, guardadas em locais seguros fora do prédio da empresa.

Essa é a forma mais segura de recuperar informações perdidas acidentalmente ou

em consequência de desastres como enchentes, incêndios, ataques ou roubos.

5

Compartilhe este e-book

3. ReDUNDâNcIa De

SISTeMaS

A redundância de sistemas é uma prática que dispõe de infraestrutura replicada,

seja ela física ou virtualizada. Isso permite a alta disponibilidade das informações. Dessa forma, se um servidor ou outro equipamento de TI (como roteador, nobreak etc.) falhar, o seu substituto entra em operação imediatamente, permitindo a

(6)

4. efIcÁcIa NO cONTROle

De aceSSO

A empresa precisa dispor de mecanismos de controle de acesso à informação eficazes,

que podem ser físicos, lógicos ou combinados. Entre os principais mecanismos

físicos, estão restringir o acesso à sala de infraestrutura de TI e usar sistemas de câmeras de monitoramento e travas especiais nas portas, acionadas por senha. Já os principais mecanismos lógicos são:

Firewall: mecanismo de controle do tráfego de dados entre os computadores

de uma rede interna e destes com outras redes externas. Ele trabalha segundo protocolos de segurança (TCP/IP, IPSec, HTTP etc.) que garantem o correto funcionamento da comunicação entre as duas pontas, impedindo intrusões.

Assinatura digital: identificação do usuário que está acessando os recursos de

TI, dando validade legal aos documentos digitais e assegurando a autenticidade do emissor da informação.

Biometria: recurso que dá acesso às informações somente para pessoas

autorizadas, levando em consideração as suas características físicas (impressão digital, voz ou padrões da íris do olho ou do rosto inteiro).

Outro importante fator do controle de acesso é o uso de equipamentos próprios dos colaboradores para operação de sistemas e aplicativos empresariais, o chamado BYOD (Bring Your Own Device, ou Traga seu Próprio Dispositivo, em português).

Empresas que adotam esse tipo de modelo precisam reforçar os mecanismos de

validação da autenticidade do usuário e as barreiras contra ataques cibernéticos, já que não podem ter controle sobre as configurações de segurança dos dispositivos particulares dos colaboradores.

6

Compartilhe este e-book

5. pOlíTIca De SegURaNÇa

Da INfORMaÇÃO

Trata-se de um documento que estabelece diretrizes comportamentais para

os colaboradores da empresa, estipulando regras de uso dos recursos de

tecnologia da informação.

Essas regras servem para impedir invasões de cibercriminosos, que podem

resultar em fraudes ou vazamento de informações, evitar a entrada de vírus na rede ou o sequestro de dados e garantir a confidencialidade,

confiabilidade, integridade, autenticidade e disponibilidade das informações. Essa política deve ser desenvolvida de forma participativa entre a equipe

de TI e os colaboradores das demais áreas, sendo aprovada pela direção da empresa. Assim, de comum acordo, fica muito mais fácil gerir a segurança

da informação. É imprescindível que o texto da política seja curto e objetivo, para facilitar e estimular a leitura e tornar o processo de divulgação e

(7)

6. DecISÃO pela eSTRUTURa De NUveM

públIca, pRIvaDa OU híbRIDa

Uma das formas mais avançadas de garantir a segurança da informação é a decisão pela utilização de uma estrutura de computação em nuvem. Essa

estrutura pode ser de nuvem pública, privada ou híbrida.

Nuvem pública: toda a infraestrutura de TI, a sua manutenção, os seus mecanismos de segurança e a atualização são de responsabilidade do

provedor do serviço. A instalação é rápida e os recursos são escalonáveis, de acordo com o perfil de demanda da empresa contratante.

Nuvem privada: é de propriedade da empresa e fica instalada em sua área física, requerendo infraestrutura de hardware, software, segurança e

pessoal próprios para o seu gerenciamento.

Nuvem híbrida: combina o melhor dos dois tipos. Com isso, parte dos dados (aqueles que exigem sigilo) é disponibilizada na nuvem privada e outra

parte (dados não confidenciais) fica na nuvem pública.

Os três tipos de estrutura de computação em nuvem respeitam altos padrões de segurança da informação. Para a definição da melhor solução, é preciso

avaliar qual é o mais adequado para as necessidades e para as expectativas da organização.

A popularização da computação em nuvem viabilizou serviços como Infraestrutura como Serviço (IaaS), Plataforma como Serviço (PaaS) e Software como Serviço (SaaS). Essas modalidades permitem terceirizar importantes serviços de tecnologia da informação, reduzindo custos, assegurando agilidade e

atualização permanente e elevando o patamar de segurança de hardware e software.

7

(8)

Os principais riscos à segurança da informação estão relacionados com:

Falta de orientação: não saber como operar os recursos de TI e desconhecer

as técnicas de proteção colocam em risco a segurança da informação. Por isso, proporcionar treinamentos sobre as novas tecnologias aos usuários comuns e à equipe de TI é uma prática muito importante. Vale a pena desenvolver profissionais C-Level em TI, que ampliem os horizontes tecnológicos da empresa, tornando a área de TI alinhada à estratégia empresarial.

Erros de procedimentos internos: procedimentos de gestão da segurança da

informação mal-estruturados ou desatualizados podem acarretar vulnerabilidades e perdas de dados. Essas vulnerabilidades podem se manifestar em hardwares,

softwares ou pessoas despreparadas para lidar com as ameaças que se renovam a cada dia.

Negligência: deixar de cumprir as regras da política de segurança da informação

ou os procedimentos internos de TI por negligência pode custar caro, causando prejuízos financeiros, de imagem ou materiais. Assim, são fundamentais as

campanhas de conscientização dos colaboradores para redobrar os cuidados em e-mails, sites e arquivos maliciosos, que provocam a propagação de vírus, malwares e trojans.

Ações mal-intencionadas: colaboradores internos insatisfeitos e pessoas

externas podem tornar instável a segurança da informação, especialmente, se não houver mecanismos de detecção de intrusões. Conhecer as principais fontes de

riscos é o ponto de partida para mapear os diversos cenários que podem configurar ameaças e tornar possível o desenvolvimento de boas práticas de gestão de riscos.

as informações críticas devem ser identificadas e as regras de negócios

referentes ao acesso, à manutenção (inclusão, alteração, exclusão) e ao tempo de guarda devem ser estabelecidas de forma criteriosa para garantir total segurança.

As regras de negócios são indispensáveis para a configuração de permissões

de acesso em softwares, hardwares e redes lógicas. Essas regras precisam ser melhoradas continuamente, agregando novos mecanismos físicos e lógicos e novas práticas comportamentais que contribuam para minimizar os riscos à

segurança da informação.

8

Compartilhe este e-book

7. geSTÃO De RIScOS

apROpRIaDa

8. RegRaS De NegócIOS

beM DefINIDaS

(9)

Hoje, tecnologias sociais, computação em nuvem, dispositivos móveis e tecnologias de análise de dados são combinadas para promover a conectividade permanente, romper as fronteiras da mobilidade e gerar informação em tempo real sobre o comportamento dos consumidores.

Esse movimento fez com que as metodologias de gestão da segurança da informação ganhassem uma nova dinâmica de readequação e realinhamento constantes, para bloquear as novas rotas de ataques cibernéticos às bases de dados das empresas, proporcionadas pelas novas tecnologias.

Tudo isso impacta diretamente a cultura organizacional, que precisa se adequar a essa transformação digital, modernizando os seus processos internos,

sem descuidar da segurança. Por isso, velhos conceitos, práticas e formas de pensar e trabalhar precisam ser revistas e até reinventadas, para que todos estejam cientes dos riscos e sobre como proteger as informações empresariais.

Os colaboradores internos de uma organização e os terceirizados, especialmente aqueles vinculados à área de TI, no exercício de suas atividades, muitas vezes, têm acesso a informações sigilosas, que precisam ser resguardadas.

A melhor forma de preservar a segurança da informação, nesses casos, é fazer um contrato de confidencialidade com todas as pessoas que conhecem

e acessam informações sigilosas. É importante que esse contrato de confidencialidade seja redigido considerando os requisitos legais aplicáveis à organização e eventuais acordos desse gênero pactuados com clientes, fornecedores, prestadores de serviços e parceiros de negócios.

9

Compartilhe este e-book

9. cUlTURa ORgaNIzacIONal

(10)

O plano de Disaster Recovery é uma prática que busca estabelecer ações de emergência para resposta rápida a eventos adversos, como desastres naturais,

explosões, incêndios, fraudes financeiras, atentados, sabotagens, falhas nos sistemas informatizados ou nos equipamentos etc.

Esse plano deve minimizar ou evitar os impactos negativos que possam ser causados, como paralisações na produção e/ou prestação de serviços, perdas

financeiras e danos à imagem ou à credibilidade do negócio.

O benchmarking é um importante instrumento de gestão, que parte do

princípio de comparar produtos, serviços, processos e práticas empresariais

com os de terceiros, concorrentes ou não.

Muitos insights surgem da análise de situações de empresas de ramos diferentes e que podem ser replicadas ou evitadas com as devidas

adaptações para o negócio.

Há quem pense que o benchmarking foca somente nas situações de sucesso do mercado empresarial para gerar conhecimento, mas ele também extrai

lições das experiências ruins que são divulgadas. Portanto, conhecer os casos

malsucedidos de gestão da segurança da informação serve como base para não cometer os mesmos erros e impedir prejuízos.

10

Compartilhe este e-book

11. plaNO De DISaSTeR

RecOveRy

(11)

a IMpORTâNcIa De INveSTIR eM

geSTÃO Da SegURaNÇa Da INfORMaÇÃO

Com base nas últimas pesquisas sobre ciberataques a empresas brasileiras, é possível concluir que é de enorme importância que as organizações conheçam e apliquem as melhores práticas de gestão da segurança da informação.

É essencial que haja uma conscientização dos gestores quanto à necessidade da utilização da tecnologia, associada a políticas claras e educação dos usuários, a fim de reduzir os riscos relacionados à segurança dos dados.

a AWS Brit é uma empresa especializada em segurança da informação, capaz de indicar as soluções ideais não apenas para proteger as informações sigilosas

do seu negócio, mas também evitar que elas sejam alvo de hackers mal-intencionados.

Para saber mais sobre o trabalho da AWS Brit, basta entrar em contato conosco clicando no link abaixo.

Contate a AWS Brit

11

(12)