Os ataques informáticos às empresas, é um tema que tem surgido com frequência nos meios de comunicação. Por este motivo, a tarefa de proteger a sua organização contra os cibercriminosos, pode parecer verdadeiramente assustadora, especialmente nos negócios com uma dimensão mais modesta e que possuem poucos especialistas em TI. Nas próximas linhas vamos dar-lhe alguns conselhos básicos de sobrevivência, no mundo da segurança informática, de modo a que possa proteger o seu negócio com a maior eficácia.
Pode tornar a tarefa de gerir a segurança da sua empresa mais simples, se a dividir em várias etapas. Um simples programa de seis passos pode ajudá-lo a começar:
A. Avalie os seus activos, riscos, recursos
B. Crie políticas de segurança
C. Escolha os mecanismos de controlo
D. Implemente os mecanismos de controlo
E. Eduque os funcionários, directores, vendedores
F. Avalie, realize auditorias e experimente
Tenha em mente que proteger a sua empresa contra os cibercriminosos não é um projecto, mas sim um processo, que deve ser contínuo. Muitas vezes vemos organizações a sofrerem roubos de informação, porque as medidas de segurança que foram criadas há alguns anos atrás não foram actualizadas, deixando-as vulneráveis.
A. Avalie os seus activos, riscos, recursos
O primeiro passo neste processo é fazer um balanço. Quais os tipos de dados com que a sua empresa lida? Qual o valor dos mesmos? Que ameaças existem? Quais os recursos disponíveis para combater essas ameaças?
Catalogue os bens: digital e fisicamente
Se não sabe o que a sua empresa possui, nunca poderá estar totalmente protegido. Faça uma lista dos dados que fazem a sua empresa funcionar e dos sistemas que os processam. (Exemplo: computadores, routers, pontos de acesso, tablets, impressoras, aparelhos de fax, entre outros).
Certifique-se que inclui os sistemas que recebem e enviam dados, bem como aqueles que os processam e os armazenam. Por exemplo, se a sua empresa depende de uma base de dados central de clientes e consequentes encomendas, este será certamente o seu principal activo digital cuja segurança necessita de estar totalmente garantida. Mas garantir a segurança do servidor que contém a base de dados, pode não ser suficiente, caso as estações de trabalho não estejam seguras.
Determine os riscos
Necessita de responder a esta questão: – Quais são as principais ameaças aos seus dados e aos seus sistemas? Elabore a resposta considerando possíveis motivos e o tipo de acções criminosas que poderão ser concretizadas.
Faça uma lista dos recursos disponíveis
Depois de catalogar todos os bens digitais que necessita de proteger, deverá analisar as ameaças a que os mesmos poderão estar expostos. Posteriormente deverá fazer uma lista de quem o poderá ajudar nesta tarefa, como funcionários com habilidades em segurança informática, consultores externos recomendados por amigos, parceiros e fornecedores. Pode em muitos casos obter auxílio por parte de associações comerciais e grupos empresariais locais.
B. Crie políticas de segurança
A única abordagem sustentável para uma segurança informática eficaz começa, e depende, da implementação de boas políticas. As empresas necessitam de regras de segurança e de um enorme compromisso no cumprimento das mesmas.
Exemplo: Criação de uma política de acesso aos dados dos clientes: O acesso aos dados dos clientes deverá estar restringido aos colaboradores que deles necessitem, para a execução das suas actividades diárias.
C. Escolha os sistemas de controlo para executar as políticas
Os profissionais de segurança informática utilizam o termo controlo para definirem os mecanismos pelos quais as políticas de segurança são reforçadas. Por exemplo, se uma política de segurança afirma que apenas colaboradores autorizados podem aceder aos dados dos clientes, então deverá existir um sistema de controlo que garanta a identificação dos colaboradores no sistema.
Outras regras importantes:
Solicite a identificação e a autenticação de todos os funcionários através de credenciais exclusivas (por exemplo, nome de utilizador e palavra-passe);
Proíba a partilha de credenciais entre os colaboradores;
Guarde todos os acessos aos dados através de um identificador único;
Verifique periodicamente os relatórios de acessos e investigue anomalias.
D. Implemente os mecanismos de controlo
Colocar estes sistemas de controlo a funcionar é tão importante como educar os funcionários. Aliás, as duas tarefas estão ligadas. Assim, se passar a utilizar uma identificação por nome de utilizador e palavra-passe para cada colaborador, terá de explicar-lhes este facto e ainda a importância de os colaboradores não partilharem as credenciais entre si.
Em muitos casos a melhor forma de implementar mecanismos de controlo, é disponibilizá-los, em primeiro lugar, aos utilizadores mais experientes. Deste modo, poderá obter um bom feedback e se for caso disso realizar algumas alterações, antes de proceder à ampla disponibilização dos mecanismos de controlo.
E. Eduque os funcionários, directores, vendedores
Educar os elementos que constituem a sua empresa para as boas práticas de segurança, é um passo muito importante para uma organização segura. Eis o que deverá explicar aos colaboradores:
Quais são as políticas de segurança em vigor;
Como trabalhar de acordo com as políticas de segurança através da utilização das ferramentas de controlo disponíveis;
Porque é importante cumprir estas regras;
As consequências para os colaboradores caso negligenciem estas regras.
O objectivo de tudo isto é garantir que os colaboradores se tornem polícias de si próprios.
F. Avalie, realize auditorias e experimente
O ponto 6 na lista de tarefas que abordámos não significa, de modo algum, o fim da estrada. No fundo, é um lembrete de que o processo continua. Assim que as políticas de segurança e os mecanismos de controlo estiverem em vigor, é tempo de reavaliar a segurança, através de testes e auditorias. Pode fazê-lo internamente ou então contratar uma empresa externa para este trabalho. A melhor prática é sempre reavaliar a segurança numa base periódica e ajustar as “defesas” de acordo com essa avaliação.
Esteja sempre alerta para alterações nos sistemas e ligações aos seus dados.
