Escolar Documentos
Profissional Documentos
Cultura Documentos
“Eu percebi que tinha uma propriedade do tamanho de Búzios que estava cercada por um muro de meio
metro de altura que qualquer um poderia entrar.”
Não existe nenhuma fórmula simples para tratar de um problema tão complexo,
mas existem algumas diretrizes básicas que devem ser levadas em consideração
quando se usa a internet para a condução de negócios, especialmente quando a
internet é o próprio negócio. Essas diretrizes devem estar em um documento,
formal ou não, chamado de política de segurança da informação.
Por problemas externos pode-se destacar os ataques que vêm da internet com
destino a empresa, enquanto que os internos são no sentido contrário, muito
relacionados a perda ou vazamento de informações confidenciais, que em
muitos cenários acaba ocorrendo por colaboradores mal-intencionados.
Segurança de e-mails
Um dos conceitos mais utilizados para garantir essa segurança chama-se VPN
(Virtual Private Network) que utiliza-se de protocolos e tecnologias com
criptografia forte para entregar segurança aos usuários. Uma VPN pode ser
utilizada de um dispositivo móvel, de um notebook ou qualquer outro aparelho.
Essa facilidade permite que o acesso seja o máximo seguro, impedindo que
mesmo diante de redes públicas compartilhadas, o ingresso à rede da
empresa não seja comprometido.
Gestão de conteúdo
Para finalizar as macro áreas, que devem ser contempladas pela política de
segurança da informação, vamos falar sobre gestão de conteúdo?
Na sua empresa, o acesso a todos os sites está permitido ou existem algumas
restrições? Na prática, o ideal é criar procedimentos que indiquem quais sites
têm acesso permitido, restrito ou controlado, podendo ser personalizada para a
necessidade de cada área da organização.
Segurança de end-point
Talvez o termo não seja tão familiar, mas esse segmento de segurança é o mais
conhecido por boa parte dos usuários. São soluções multipropósito instaladas
no dispositivo final, seja um notebook, um smartphone, tablet e etc. O mais
comum, e que a grande maioria possui, são os softwares antivírus.
O antivírus é uma das soluções que se encaixam nesta área, que sempre vai ter
como finalidade proteger única e exclusivamente aquele dispositivo em que está
instalado. Trata-se de uma estratégia de defesa complementar, servindo de
apoio quando as camadas anteriores não coibirem determinado ataque.
Essas cinco macro áreas oferecem uma visão importante para empreendedores
que pretendem dar os primeiros passos no universo de segurança da
informação. Agora que você está mais familiarizado com esses conceitos,
podemos entender como implementar na prática uma política de segurança.
De forma mais clara e prática, o “porquê” pode ser caracterizado como a forma
das empresas estarem minimamente preparadas para os desafios internos e
externos no que diz respeito à segurança das informações em todo seu ciclo de
vida. Partindo para o lado do “como”, o primeiro passo a ser dado é refletir
sobre alguns temas básicos, que ao final, ajudarão a consolidar o documento
que pode ser chamado de política ou diretrizes de segurança. Lembre-se, esse
documento nada mais é do que a maneira que a empresa enxerga e trata da
segurança.
1. Quais são os tipos de informações gerenciados pela empresa: levante todo o tipo de informação que transita
na empresa, onde são armazenadas, se são informações públicas, privadas, confidenciais. Para cada informação
identifique o local de armazenamento e quais pessoas podem acessá-las;
2. Quais são os riscos de exposição das informações: para cada tipo de informação, identifique quais os riscos
estariam envolvidos no caso de vazamento. Isso é importante para definir as prioridades daquilo que deve ser protegido
e o nível de proteção a ser aplicado;
3. Quais as possibilidades de vazamento da informação: caracterize quais as possíveis formas que as informações
podem ser roubadas ou vazadas, isso envolve aquela gerenciada através de meios eletrônicos, mas também documentos
físicos;
4. Quais são os ativos tecnológicos mais importantes: liste e classifique quais são os softwares, banco de dados e
outras soluções que são altamente importantes para o business. É orientado a elaboração de estratégias de uso e defesa
adequadas para cada um deles;
5. Utilização da internet como ferramenta de trabalho: descreva como a internet deve ser utilizada pelos
colaboradores e setores, aquilo que é permitido e o que é proibido/limitado, independentemente de a empresa possuir
ferramentas para controle dos acessos. Para os setores, crie eventuais particularidades para atender necessidades
específicas, não deixando de lado o propósito de segurança;
6. Utilização de dispositivos móveis e removíveis: como será gerenciado o uso de dispositivos pessoais no trabalho,
serão permitidos o ingresso dos mesmos nas redes corporativas, haverá redes específicas para esse propósito, não será
permitido o uso em determinados ambientes, etc. E quanto ao uso de pendrives e similares, quais são as orientações
para o uso dentro da empresa?;
7. Utilização do serviço de e-mail e comunicadores instantâneos: quais são as boas práticas para o uso de e-mail
corporativo, o que pode ou não ser anexado, que tipo de conteúdo pode ser tratado por e-mail. Isso inclui também
comunicadores instantâneos para empresas que precisam utilizá-los;
8. Utilização de redes sem fio para visitantes e colaboradores: defina como será oferecido o acesso wireless na
empresa, quais os critérios de utilização, para quem se destina e quais as regras aplicáveis, procure segmentar o que é
público (fornecedores, clientes, dispositivos pessoas de colaboradores) do que é corporativo;
14. Estratégia de divulgação e reciclagem: construa com o setor de recursos humanos, ou você mesmo, uma forma
adequada de conscientizar os usuários da importância da segurança, além de comunicar isso ao longo do tempo com
dicas práticas relevantes. Uma das regras de ouro para segurança é não permitir utilizar recursos que você não consiga
controlar ou ter visibilidade. E isso faz todo sentido, porque dessa maneira você tem um elemento que opera totalmente
no escuro e determinadas atividades, ilícitas ou não, podem passar somente por ele, sem que seja visto.
Com base nas 14 reflexões citadas é possível começar a pensar diferente sobre o
tema segurança e conhecer um pouco mais a empresa e como cada uma destas
áreas (e existem várias outras) podem ser devidamente protegidas. Esse
primeiro passo de entendimento é fundamental e fará toda a diferença no
momento de iniciar a aplicação prática.
Auditoria e conformidade
Por conta disso é altamente saudável que a empresa defina sazonalidade para
realizar auditorias de alinhamento entre a política (aquilo que está escrito) e as
ferramentas (aquilo que ocorre na prática). É comum em pequenas empresas
que as solicitações de mudança ocorram de maneira menos organizada, por isso
é importante tomar cuidado para evitar potenciais furos.
Visibilidade em segurança
Quando sua empresa estiver rodando bem as políticas de segurança, já tendo
passado por algumas evoluções ao longo do tempo e você considerar que já está
madura, é hora de comunicar aos clientes e mercado a importância que seu
negócio dá para o tema. Dependendo do tipo de mercado, a segurança da
informação será uma premissa de existência; para outros isso é secundário, as
medidas preventivas geralmente não entram em pauta, e o aprendizado acaba
sendo na dor. Seja qual for seu cenário, avalie a importância que seus processos
de segurança oferecem para seus clientes. Se isso for positivo, é o momento
adequado para informar, dentro de estruturas comerciais públicas ou privadas
(somente para clientes), como que sua empresa se posiciona em relação à
segurança da informação. Isso trará muita credibilidade para os clientes e vai
reforça a imagem da organização perante o mercado. Pense nisso!
1. Faça uma reflexão com as principais pessoas do seu time sobre as opções levantadas no Item 3;
2. Comunique a todos que a empresa implantará uma política de segurança, qual sua abrangência e propósitos;
3. Contrate uma empresa especializada em segurança e apresente suas definições, oalinhamento entre a teoria e a prática é
fundamental, e nem sempre possível;
4. Implante as soluções de segurança mais prioritárias, para resolver os problemas emergenciais, mas nunca esquecendo
que a fortaleza sempre vai ser tão grande quanto o ponto mais fraco;
5. Faça auditorias regulares e procure transformar colaboradores em auditores independentes ao longo do processo, isso
aumentará também o engajamento;
6. Faça revisões ao longo do tempo, adaptando sempre a política as novas necessidades do negócio, mas oriente o que fazer
ou não pela política;
7. Eleja uma pessoa ou um comitê responsável por endereçar o assunto internamente, que possa controlar todo o processo
e também oferecer apoio interno aos usuários.
Bom trabalho
Se você tiver interesse em estudar mais sobre o tema, confira alguns materiais
de aprofundamento: