Segurança da informação: crie uma política de redução de riscos na sua empresa

Sua empresa já sofreu um ataque virtual ou foi vítima de fraude? Entenda como se proteger criando e implementando uma política segura de segurança da informação. 

Certo dia, o empreendedor Marcos Macedo, fundador da iBooking, recebeu um e-mail de um desconhecido. Nele, o rapaz gentilmente alertava Marcos das brechas encontradas no sistema de segurança dele e oferecia seus serviços para solucionar o problema. Ele era um cracker. O empreendedor decidiu ignorar o e-mail, mas dias depois, os servidores dele foram invadidos. A partir desse dia, Marcos passou um ano inteiro vivendo um inferno, como ele mesmo conta. O cracker descobria uma fragilidade do sistema e Marcos corria para cobrir.

 “Eu percebi que tinha uma propriedade do tamanho de Búzios que estava cercada por um muro de meio metro de altura que qualquer um poderia entrar.”

Fraudes, invasões, roubo de informações, ataques virtuais a servidores desprotegidos… Esse tem sido o pesadelo de muitos empreendedores, principalmente quando os procedimentos de segurança da informação nunca foram criados na empresa. Segundo pesquisa global de segurança, realizada pela PwC, o número de ataques virtuais no Brasil aumentou cerca de 274%, sendo que o aumento global foi de 38%. Se esse é o seu caso, conheça o Guia criado especialmente para empreendedores com o objetivo de esclarecer dúvidas sobre segurança digital para você criar uma política própria para a sua empresa.

Não existe nenhuma fórmula simples para tratar de um problema tão complexo, mas existem algumas diretrizes básicas que devem ser levadas em consideração quando se usa a internet para a condução de negócios, especialmente quando a internet é o próprio negócio. Essas diretrizes devem estar em um documento, formal ou não, chamado de política de segurança da informação.

LEMBRE-SE, SEGURANÇA DA INFORMAÇÃO NÃO É PARA GRANDES EMPRESAS, MAS PARA EMPRESAS QUE PENSAM GRANDE.

As políticas podem seguir premissas e aprendizados ao longo do tempo, mas também podem seguir recomendações de normas. Neste sentido, a família ISO 27000 que define o Sistema de Gestão de Segurança da Informação (SGSI), é uma excelente referência para desenvolvimento do documento que servirá de base para a construção da política de segurança da informação, obviamente ajustando para a realidade de cada negócio. As normas abrangem áreas complementares, sendo algumas delas elencadas abaixo:

ISO/IEC 27000 – São informações básicas sobre as normas da série.
ISO/IEC 27001 – Bases para a implementação de um SGSI em uma organização.
ISO/IEC 27002 – Certificação profissional, traz códigos de práticas para profissionais.
ISO/IEC 27003 – Diretrizes mais específicas para implementação do SGSI.
ISO/IEC 27004 – Normas sobre as métricas e relatórios do SGSI.
ISO/IEC 27005 – Diretrizes para o processo de gestão de riscos de segurança da informação.

UMA PREMISSA BÁSICA DE ENTENDIMENTO DA ISO 27000 SÃO OS PILARES DE CONFIDENCIALIDADE, INTEGRIDADE E DISPONIBILIDADE DAS INFORMAÇÕES.

Por confidencialidade entende-se a privacidade de uma informação, em trânsito ou armazenada, impedindo o acesso não autorizado. A integridade está relacionada à capacidade do dado ou informação não ser alterado, e caso seja, que possa ser facilmente identificado. Estas duas premissas estão muito vinculadas a conceitos e tecnologias de criptografia. Por último, mas não menos importante, está a disponibilidade, que consiste em garantir que as informações estejam disponíveis para seus usuários no momento que eles desejarem ou tiverem acesso habilitado.

Estes pilares são fundamentais para estabelecer as premissas básicas de um ambiente seguro, e como as ferramentas de segurança podem auxiliar empresas e pessoas a se tornarem mais seguras, seja na internet, ou mesmo no cuidado de armazenamento de informações.

A POLÍTICA DE SEGURANÇA DEVE CONTEMPLAR A SEGURANÇA DE PERÍMETRO, SEGURANÇA DE E-MAIL, ACESSO REMOTO SEGURO, GESTÃO DE CONTEÚDO E SEGURANÇA END-POINT.

Conhecer, superficialmente, cada uma destas vertentes é primordial para a segmentação e construção da política, além de facilitar o processo de gestão e identificação de soluções a serem aplicadas na empresa, trazendo conformidade às diretrizes propostas no documento.

O perímetro normalmente trata do limite entre as redes, onde o mais comum são as redes privadas empresariais, chamadas geralmente de LAN (Local Area Network), e as redes públicas, neste caso representada fortemente pela internet, chamadas de WAN (Wide Area Network).

Além dos aspectos técnicos que envolvem o perímetro, é necessário construir uma barreira para que a internet não possa acessar de maneira indiscriminada aquilo que estejam nas redes locais das empresas, escritórios, residências e outros.

Dessa maneira, a segurança de perímetro, ou perimetral, permite que empresas conectem e utilizem a internet de maneira segura, criando uma blindagem para as ameaças virtuais, evitando problemas para o negócio.

As soluções de mercado que atendem as necessidades de proteção do perímetro são os firewalls, que ao longo dos últimos anos receberam algumas evoluções de nomenclatura e tecnologia, como Gerenciamento Unificado de Ameaças (UTM) e Firewalls de Próxima Geração (NGFW). Estas soluções, seja por meio de um dispositivo fechado, ou em software, possibilitam a criação de regras para regulamentar o uso da internet, minimizando problemas externos ou até mesmo internos.

Por problemas externos pode-se destacar os ataques que vêm da internet com destino a empresa, enquanto que os internos são no sentido contrário, muito relacionados a perda ou vazamento de informações confidenciais, que em muitos cenários acaba ocorrendo por colaboradores mal-intencionados.

Existem muitos produtos e empresas no mercado destinados a segurança de e-mail, contudo, o mais conhecido é o anti-spam. Vale ressaltar que segurança de e-mails não é somente minimizar o recebimento de mensagens não solicitadas (spams), que podem ou não ter conteúdo malicioso, mas também contemplar conceitos associados ao trânsito seguro dos e- mails, criptografia, autenticação forte, controle de acesso, auditoria, arquivamento e retenção, armazenamento seguro, recursos de prevenção contra vazamento de informações, e outros. As regras de uso do e-mail, presentes na política de segurança, devem ser balizadas pela criticidade do recurso para a empresa. Empresas com alta dependência do e-mail devem aplicar medidas mais rígidas de controle, enquanto as demais podem prever regras mais brandas.

No meio corporativo a mobilidade traz possibilidades altamente impactantes para o negócio, como é o caso do home office. Trabalhar em casa possibilita maior conforto e comodidade para colaboradores, evitando deslocamentos que podem consumir muito tempo e energia, principalmente em grandes centros. O home office é apenas um exemplo para ilustrar a necessidade de estruturação de diretrizes que protejam o dado corporativo, tendo em vista que a informação não está mais presente apenas no perímetro da empresa, mas sim em dispositivos pessoais, transitando em redes públicas dos mais variados tipos.

Um dos conceitos mais utilizados para garantir essa segurança chama-se VPN (Virtual Private Network) que utiliza-se de protocolos e tecnologias com criptografia forte para entregar segurança aos usuários. Uma VPN pode ser utilizada de um dispositivo móvel, de um notebook ou qualquer outro aparelho. Essa facilidade permite que o acesso seja o máximo seguro, impedindo que mesmo diante de redes públicas compartilhadas, o ingresso à rede da empresa não seja comprometido.

Para finalizar as macro áreas, que devem ser contempladas pela política de segurança da informação, vamos falar sobre gestão de conteúdo? Na sua empresa, o acesso a todos os sites está permitido ou existem algumas restrições? Na prática, o ideal é criar procedimentos que indiquem quais sites têm acesso permitido, restrito ou controlado, podendo ser personalizada para a necessidade de cada área da organização.

No mercado existem soluções especializadas que possibilitam a implementação de regras para trazer conformidade a política de segurança definida. Estas soluções são responsáveis por classificar conteúdos e sites na internet, montando listas com bilhões de registros para que empresas possam personalizar o uso da internet em seus ambientes. Em vez de pesquisar e construir uma lista com os sites que podem ou não ser acessados, as soluções já oferecem categorias de conteúdo previamente classificadas, como entretenimento, jogos, religião, conteúdo adulto, entre outras, facilitando o processo de implementação das regras de acesso. Desta maneira, é possível personalizar o uso da internet com base em demandas setoriais, sem deixar de levar em consideração a segurança e produtividade do ambiente. Isso porque essas soluções mantêm categorias somente de conteúdo malicioso, o que impede usuários, mesmo com acesso liberado, de infectar seus dispositivos.

A gestão de conteúdo pode ser implementada com a aplicação de soluções que atuam diretamente no dispositivo, como antivírus (Kaspersky, Bitdefender, G-Data etc), e também soluções para proteção de gateway, tais como OSTEC FireBox, Barracuda Web Security Gateway, Cisco Web Security Appliance e Cloud, além de outras soluções de Firewall de Próxima Geração (NGFW) que oferecem nativamente, ou através de pacotes adicionais, este recurso.

Talvez o termo não seja tão familiar, mas esse segmento de segurança é o mais conhecido por boa parte dos usuários. São soluções multipropósito instaladas no dispositivo final, seja um notebook, um smartphone, tablet e etc. O mais comum, e que a grande maioria possui, são os softwares antivírus.

O antivírus é uma das soluções que se encaixam nesta área, que sempre vai ter como finalidade proteger única e exclusivamente aquele dispositivo em que está instalado. Trata-se de uma estratégia de defesa complementar, servindo de apoio quando as camadas anteriores não coibirem determinado ataque.

Essas cinco macro áreas oferecem uma visão importante para empreendedores que pretendem dar os primeiros passos no universo de segurança da informação. Agora que você está mais familiarizado com esses conceitos, podemos entender como implementar na prática uma política de segurança.

Antes do “como” o ideal seria validar o “porquê” construir uma política de segurança. Essa é a parte mais complexa pois envolve um processo de conscientização e entendimento, que muitas vezes é levado, erroneamente, para o lado de bloqueios, limitações, desvirtuando o real propósito.

Uma política de segurança da informação, acima de tudo, define as diretrizes básicas de como as informações são tratadas durante seu ciclo de vida dentro de uma organização, respeitando direitos, deveres, responsabilidades de todos os envolvidos. Além disso, a política não consiste somente naquilo que pode ou não ser realizado, mas trata de boas práticas, de gestão de incidentes, crises, planos de continuidade de negócios e diversos outros aspectos que vão depender muito da maturidade do negócio, exigência de órgãos reguladores, entre outros. Então, acima de tudo, a política preserva as partes envolvidas e busca antecipar comportamentos a serem executados diante de determinadas ocorrências. De forma mais clara e prática, o “porquê” pode ser caracterizado como a forma das empresas estarem minimamente preparadas para os desafios internos e externos no que diz respeito à segurança das informações em todo seu ciclo de vida. Partindo para o lado do “como”, o primeiro passo a ser dado é refletir sobre alguns temas básicos, que ao final, ajudarão a consolidar o documento que pode ser chamado de política ou diretrizes de segurança. Lembre-se, esse documento nada mais é do que a maneira que a empresa enxerga e trata da segurança.

1. Quais são os tipos de informações gerenciados pela empresa: levante todo o tipo de informação que transita na empresa, onde são armazenadas, se são informações públicas, privadas, confidenciais. Para cada informação identifique o local de armazenamento e quais pessoas podem acessá-las;

2. Quais são os riscos de exposição das informações: para cada tipo de informação, identifique quais os riscos estariam envolvidos no caso de vazamento. Isso é importante para definir as prioridades daquilo que deve ser protegido e o nível de proteção a ser aplicado;

3. Quais as possibilidades de vazamento da informação: caracterize quais as possíveis formas que as informações podem ser roubadas ou vazadas, isso envolve aquela gerenciada através de meios eletrônicos, mas também documentos físicos;

4. Quais são os ativos tecnológicos mais importantes: liste e classifique quais são os softwares, banco de dados e outras soluções que são altamente importantes para o business. É orientado a elaboração de estratégias de uso e defesa adequadas para cada um deles;

5. Utilização da internet como ferramenta de trabalho: descreva como a internet deve ser utilizada pelos colaboradores e setores, aquilo que é permitido e o que é proibido/limitado, independentemente de a empresa possuir ferramentas para controle dos acessos. Para os setores, crie eventuais particularidades para atender necessidades específicas, não deixando de lado o propósito de segurança;

6. Utilização de dispositivos móveis e removíveis: como será gerenciado o uso de dispositivos pessoais no trabalho, serão permitidos o ingresso dos mesmos nas redes corporativas, haverá redes específicas para esse propósito, não será permitido o uso em determinados ambientes, etc. E quanto ao uso de pendrives e similares, quais são as orientações para o uso dentro da empresa?;

7. Utilização do serviço de e-mail e comunicadores instantâneos: quais são as boas práticas para o uso de e-mail corporativo, o que pode ou não ser anexado, que tipo de conteúdo pode ser tratado por e-mail. Isso inclui também comunicadores instantâneos para empresas que precisam utilizá-los;

8. Utilização de redes sem fio para visitantes e colaboradores: defina como será oferecido o acesso wireless na empresa, quais os critérios de utilização, para quem se destina e quais as regras aplicáveis, procure segmentar o que é público (fornecedores, clientes, dispositivos pessoas de colaboradores) do que é corporativo;

      9. Utilização de impressoras, copiadoras, servidores de arquivos e outros: cuide também daquilo que é físico, valide como deve ser a utilização de impressoras e copiadoras, quem pode ou não ter acesso aos mesmos. A premissa também é válida para a estrutura digital, centralize os arquivos em um único local, com cópias, auditoria e outras facilidades de segurança;

     10. Acesso remoto à empresa para colaboradores externos: como será o acesso para usuários em trânsito ou home office? Quem terá esse tipo de acesso e quais recursos internos estarão disponíveis para serem usados por estes usuários.

11. Política de instalação e utilização de softwares: uma das premissas básicas de segurança é o uso de softwares originais, isso reduz potencialmente riscos de vírus e derivados. Quais são os softwares homologados pela empresa e como será o controle de quem pode instalar ou utilizar. Ter um controle centralizado e inventariar os softwares corporativos é fundamental.

12. Resposta e tratamento de incidentes de segurança: o que acontece quando um ataque ou incidente for detectado? É preciso ter um passo a passo detalhado e padronizado para que as ações ocorram com integridade respeitando as boas práticas, no calor do momento movimentos errados podem custar muito caro para as empresas;

  13. Plano de continuidade e recuperação de desastres: ninguém espera que algo possa ocorrer, especialmente no que diz respeito a desastres naturais. É importante que a empresa esteja minimamente preparada, com planos de contingenciamento adequados para seu porte. Portanto, independentemente do tamanho, sempre tenha descrito um plano B para cenários que podem ocorrer, mesmo que com poucas chances ou histórico;

14. Estratégia de divulgação e reciclagem: construa com o setor de recursos humanos, ou você mesmo, uma forma adequada de conscientizar os usuários da importância da segurança, além de comunicar isso ao longo do tempo com dicas práticas relevantes. Uma das regras de ouro para segurança é não permitir utilizar recursos que você não consiga controlar ou ter visibilidade. E isso faz todo sentido, porque dessa maneira você tem um elemento que opera totalmente no escuro e determinadas atividades, ilícitas ou não, podem passar somente por ele, sem que seja visto.

Com base nas 14 reflexões citadas é possível começar a pensar diferente sobre o tema segurança e conhecer um pouco mais a empresa e como cada uma destas áreas (e existem várias outras) podem ser devidamente protegidas. Esse primeiro passo de entendimento é fundamental e fará toda a diferença no momento de iniciar a aplicação prática.

No primeiro momento, não se preocupe em construir um documento limpo como uma espécie de contrato, cheio de cláusulas e considerações. Pense mais como um documento direcionador, com diretrizes de como a empresa trata cada um dos 14 temas, e outros tantos que podem ser considerados necessários, de acordo com o perfil do negócio.

Diversas literaturas e especialistas afirmam que o fator humano é o elo mais fraco da segurança da informação. Isso porque muitas pessoas têm uma posição natural em querer ser útil e ajudar as outras pessoas, o que pode ser um ponto de fragilidade, pois uma pessoa mal- intencionada, de dentro ou fora da empresa, pode aproveitar-se de tal situação para obter informações específicas.
Existem muitos ataques que são realizados de maneira intencional, mas a grande maioria das ocorrências são em virtude do mau uso de dispositivos e da internet, sem intenção alguma de causar danos para o negócio.
Neste sentido as tecnologias de segurança e a política tem funções muito importantes, porque mesmo diante de um colaborador com pouca instrução, as ferramentas asseguram que a empresa minimize os riscos/impactos de sinistros. Isso não diminui, por outro lado, a necessidade de conscientização e treinamento dos usuários. Se o fator humano é o elo mais fraco, cabe aos empreendedores criarem campanhas internas de treinamento e reciclagem dos colaboradores, deixando claro quais são os riscos do mau uso de um equipamento ou internet. Isso é um trabalho de médio e longo prazo, mas vale a pena inserir na pauta pois reduz de maneira substancial a exposição da empresa, e automaticamente engaja o colaborador, tornando este um entusiasta para disseminação dos conceitos de segurança dentro da empresa.

A cultura da empresa é algo que pode facilitar a aderência dos profissionais para um dia a dia que leve em consideração, de forma consciente, os riscos associados à segurança da informação. Quanto mais aberta é a cultura e as relações de trabalho, mais tranquilo será o processo de envolvimento dos colaboradores e implantação da política. Quanto mais fechada for a cultura empresarial, maior será a possibilidade de implantação de uma política, pouco discutida, sem a devida aderência por parte dos colaboradores da empresa.

Empresas que possuem mais tempo de mercado, com um modelo de gestão tradicional, geralmente apresentam maior resistência tanto para a implantação, quanto para a percepção de necessidade, com exceção daquelas em que há um nível de governança adequado, onde segurança da informação entra em pauta de maneira natural. Estas empresas buscam o mercado de segurança após passar por uma situação ruim envolvendo um incidente, sendo raros os casos onde isso ocorre de maneira preventiva. Por conta do incidente, a empresa busca blindar-se de todas as formas possíveis para que aquilo não ocorra outra vez, e geralmente esquece a boa prática de conduzir este processo internamente de maneira contínua.

O uso intensivo de tecnologia para segurança da informação conduz às empresas para situações muito positivas nesse cenário, mas quanto mais essas decisões são tomadas de maneira unilateral, maior a resistência para a disseminação do conceito para outros níveis da organização. É de grande valia evitar conflitos no momento da implantação de uma política de segurança, ouça as partes envolvidas, independentemente do grau hierárquico da mesma, e faça os ajustes necessários. Para empresas que possuem uma cultura mais aberta, especialmente aquelas ligadas a setores que usam tecnologia de forma intensiva, é natural que o conhecimento dos colaboradores de boas práticas de segurança, inclusive de uma eventual política dentro da empresa, seja muito maior. Isso por que essas pessoas de alguma maneira passaram pelo processo, ou tem um fluxo de informação claro dentro da empresa que trata deste assunto. 

Segurança da informação não protege somente a empresa no que diz respeito aos seus sócios, acionistas e etc. A proteção oferecida é para todos, incluindo colaboradores, clientes e mercado. Por conta disso, a pauta deve envolver o maior número de pessoas para que se consiga um engajamento adequado. Empresas que possuem colaboradores engajados com segurança são aquelas que apresentam a menor ocorrência de incidentes, enquanto que aquelas que não deixam claro o propósito, são as que mais sofrem com o tema.

Portanto, de maneira resumida, o envolvimento de pessoas dos mais variados níveis nas decisões é um fator crítico de sucesso para a política rodar bem e realmente dar resultado. Ter uma política no papel, que não funciona, é o mesmo que não ter política alguma.

A política de segurança digital normalmente passa por um conjunto de revisões ao longo do tempo, especialmente nos primeiros meses de implantação, onde muitas coisas acabam entrando em revisões pelo fato de não terem sido previstas no momento da consolidação. Isso é natural e cada revisão deve gerar uma nova versão de documento, que deve ser devidamente comunicado a todos, e que as ferramentas de segurança utilizadas sejam também atualizadas para refletir à conformidade da nova política. Isso é um movimento importante e por vezes ignorado, é necessário ter um alinhamento da tecnologia com a política.

Por conta disso é altamente saudável que a empresa defina sazonalidade para realizar auditorias de alinhamento entre a política (aquilo que está escrito) e as ferramentas (aquilo que ocorre na prática). É comum em pequenas empresas que as solicitações de mudança ocorram de maneira menos organizada, por isso é importante tomar cuidado para evitar potenciais furos.

E por fim, defina períodos semestrais ou anuais para revisão da política, como o negócio e mercado passam por transformações, garantir que a política continua atendendo os interesses de todas as partes envolvidas é fundamental.

Quando sua empresa estiver rodando bem as políticas de segurança, já tendo passado por algumas evoluções ao longo do tempo e você considerar que já está madura, é hora de comunicar aos clientes e mercado a importância que seu negócio dá para o tema. Dependendo do tipo de mercado, a segurança da informação será uma premissa de existência; para outros isso é secundário, as medidas preventivas geralmente não entram em pauta, e o aprendizado acaba sendo na dor. Seja qual for seu cenário, avalie a importância que seus processos de segurança oferecem para seus clientes. Se isso for positivo, é o momento adequado para informar, dentro de estruturas comerciais públicas ou privadas (somente para clientes), como que sua empresa se posiciona em relação à segurança da informação. Isso trará muita credibilidade para os clientes e vai reforça a imagem da organização perante o mercado. Pense nisso!

Agora que você já conhece um pouco sobre as áreas de cobertura de segurança da informação e como direcionar os esforços para montar uma política de segurança para sua empresa, vamos resumir um passo a passo para você começar logo a obter os resultados.

1. Faça uma reflexão com as principais pessoas do seu time sobre as opções levantadas no Item 3;
2. Comunique a todos que a empresa implantará uma política de segurança, qual sua abrangência e propósitos;
3. Contrate uma empresa especializada em segurança e apresente suas definições, oalinhamento entre a teoria e a prática é fundamental, e nem sempre possível;

4. Implante as soluções de segurança mais prioritárias, para resolver os problemas emergenciais, mas nunca esquecendo que a fortaleza sempre vai ser tão grande quanto o ponto mais fraco;

5. Faça auditorias regulares e procure transformar colaboradores em auditores independentes ao longo do processo, isso aumentará também o engajamento;

6. Faça revisões ao longo do tempo, adaptando sempre a política as novas necessidades do negócio, mas oriente o que fazer ou não pela política;

7. Eleja uma pessoa ou um comitê responsável por endereçar o assunto internamente, que possa controlar todo o processo e também oferecer apoio interno aos usuários.

Bom trabalho

Se você tiver interesse em estudar mais sobre o tema, confira alguns materiais de aprofundamento:

Firewall corporativo, entenda a real importância para seu negócio

Anti-spam: 8 benefícios para o uso corporativo

Autor: Cassio Brodbeck

O post Segurança da informação: crie uma política de redução de riscos na sua empresa aparece em Endeavor.

Publicação Original