Segurança da informação: crie

uma política de redução de riscos

na sua empresaa informação Crie uma polítde

Sua empresa já sofreu um ataque virtual ou foi vítima de fraude?

Entenda como se proteger criando e implementando uma política
segura de segurança da informação.

Certo dia, o empreendedor Marcos Macedo, fundador da iBooking, recebeu um

e-mail de um desconhecido. Nele, o rapaz gentilmente alertava Marcos das
brechas encontradas no sistema de segurança dele e oferecia seus serviços para
solucionar o problema. Ele era um cracker. O empreendedor decidiu ignorar o
e-mail, mas dias depois, os servidores dele foram invadidos. A partir desse dia,
Marcos passou um ano inteiro vivendo um inferno, como ele mesmo conta. O
cracker descobria uma fragilidade do sistema e Marcos corria para cobrir.

“Eu percebi que tinha uma propriedade do tamanho de Búzios que estava cercada por um muro de meio
metro de altura que qualquer um poderia entrar.”

Segurança da informação não é para grandes empresas, mas

para empresas que pensam grande

Fraudes, invasões, roubo de informações, ataques virtuais a servidores

desprotegidos… Esse tem sido o pesadelo de muitos empreendedores,
principalmente quando os procedimentos de segurança da informação nunca
foram criados na empresa. Segundo pesquisa global de segurança, realizada pela
PwC, o número de ataques virtuais no Brasil aumentou cerca de 274%, sendo
que o aumento global foi de 38%. Se esse é o seu caso, conheça o Guia criado
especialmente para empreendedores com o objetivo de esclarecer dúvidas sobre
segurança digital para você criar uma política própria para a sua empresa.

Não existe nenhuma fórmula simples para tratar de um problema tão complexo,
mas existem algumas diretrizes básicas que devem ser levadas em consideração
quando se usa a internet para a condução de negócios, especialmente quando a
internet é o próprio negócio. Essas diretrizes devem estar em um documento,
formal ou não, chamado de política de segurança da informação.

A família ISO 27000

As políticas podem seguir premissas e aprendizados ao longo do tempo, mas
também podem seguir recomendações de normas. Neste sentido, a família ISO
27000 que define o Sistema de Gestão de Segurança da Informação
(SGSI), é uma excelente referência para desenvolvimento do documento que
servirá de base para a construção da política de segurança da informação,
obviamente ajustando para a realidade de cada negócio. As normas abrangem
áreas complementares, sendo algumas delas elencadas abaixo:

ISO/IEC 27000 – São informações básicas sobre as normas da série.

ISO/IEC 27001 – Bases para a implementação de um SGSI em uma
organização.
ISO/IEC 27002 – Certificação profissional, traz códigos de práticas para
profissionais.
ISO/IEC 27003 – Diretrizes mais específicas para implementação do SGSI.
ISO/IEC 27004 – Normas sobre as métricas e relatórios do SGSI.
ISO/IEC 27005 – Diretrizes para o processo de gestão de riscos de segurança da
informação.

Uma premissa básica de entendimento da ISO 27000 são

os pilares de confidencialidade, integridade e
disponibilidade das informações.

Por confidencialidade entendeUma premissa básica de entendimento da iso

27000 são os pilares de confidencialidade, integridade e disponibilidade das
informações.-se a privacidade de uma informação, em trânsito ou armazenada,
impedindo o acesso não autorizado.

A integridade está relacionada à capacidade do dado ou informação não ser

alterado, e caso seja, que possa ser facilmente identificado.

Estas duas premissas estão muito vinculadas a conceitos e tecnologias de

criptografia. Por último, mas não menos importante, está a disponibilidade,
que consiste em garantir que as informações estejam disponíveis para
seus usuários no momento que eles desejarem ou tiverem acesso habilitado.

Estes pilares são fundamentais para estabelecer as premissas básicas de um

ambiente seguro, e como as ferramentas de segurança podem auxiliar empresas
e pessoas a se tornarem mais seguras, seja na internet, ou mesmo no cuidado de
armazenamento de informações.

Áreas de cobertura de uma política

de segurança da informação
A política de segurança deve contemplar a segurança de perímetro,
segurança de e-mail, acesso remoto seguro, gestão de conteúdo e
segurança end-point.

Conhecer, superficialmente, cada uma destas vertentes é primordial para a

segmentação e construção da política, além de facilitar o processo de gestão e
identificação de soluções a serem aplicadas na empresa, trazendo conformidade
às diretrizes propostas no documento.

Áreas de cobertura de uma política

de segurança da informação

O perímetro normalmente trata do limite entre as redes, onde o mais comum

são as redes privadas empresariais, chamadas geralmente de LAN (Local Area
Network), e as redes públicas, neste caso representada fortemente pela internet,
chamadas de WAN (Wide Area Network).

Além dos aspectos técnicos que envolvem o perímetro, é necessário construir

uma barreira para que a internet não possa acessar de maneira indiscriminada
aquilo que estejam nas redes locais das empresas, escritórios, residências e
outros.

Dessa maneira, a segurança de perímetro, ou perimetral, permite que

empresas conectem e utilizem a internet de maneira segura, criando uma
blindagem para as ameaças virtuais, evitando problemas para o negócio.

As soluções de mercado que atendem as necessidades de proteção do perímetro

são os firewalls, que ao longo dos últimos anos receberam algumas evoluções de
nomenclatura e tecnologia, como Gerenciamento Unificado de Ameaças (UTM)
e Firewalls de Próxima Geração (NGFW). Estas soluções, seja por meio de um
dispositivo fechado, ou em software, possibilitam a criação de regras para
regulamentar o uso da internet, minimizando problemas externos ou até mesmo
internos.

Por problemas externos pode-se destacar os ataques que vêm da internet com
destino a empresa, enquanto que os internos são no sentido contrário, muito
relacionados a perda ou vazamento de informações confidenciais, que em
muitos cenários acaba ocorrendo por colaboradores mal-intencionados.
 Segurança de e-mails

Existem muitos produtos e empresas no mercado destinados a segurança de e-

mail, contudo, o mais conhecido é o anti-spam. Vale ressaltar que segurança
de e-mails não é somente minimizar o recebimento de mensagens não
solicitadas (spams), que podem ou não ter conteúdo malicioso, mas também
contemplar conceitos associados ao trânsito seguro dos e- mails, criptografia,
autenticação forte, controle de acesso, auditoria, arquivamento e
retenção, armazenamento seguro, recursos de prevenção contra vazamento de
informações, e outros. As regras de uso do e-mail, presentes na política de
segurança, devem ser balizadas pela criticidade do recurso para a empresa.
Empresas com alta dependência do e-mail devem aplicar medidas mais rígidas
de controle, enquanto as demais podem prever regras mais brandas.

Acesso remoto seguro

No meio corporativo a mobilidade traz possibilidades altamente impactantes

para o negócio, como é o caso do home office. Trabalhar em casa possibilita
maior conforto e comodidade para colaboradores, evitando deslocamentos que
podem consumir muito tempo e energia, principalmente em grandes centros. O
home office é apenas um exemplo para ilustrar a necessidade de estruturação de
diretrizes que protejam o dado corporativo, tendo em vista que a informação
não está mais presente apenas no perímetro da empresa, mas sim em
dispositivos pessoais, transitando em redes públicas dos mais variados tipos.

Um dos conceitos mais utilizados para garantir essa segurança chama-se VPN
(Virtual Private Network) que utiliza-se de protocolos e tecnologias com
criptografia forte para entregar segurança aos usuários. Uma VPN pode ser
utilizada de um dispositivo móvel, de um notebook ou qualquer outro aparelho.
Essa facilidade permite que o acesso seja o máximo seguro, impedindo que
mesmo diante de redes públicas compartilhadas, o ingresso à rede da
empresa não seja comprometido.

Gestão de conteúdo

Para finalizar as macro áreas, que devem ser contempladas pela política de
segurança da informação, vamos falar sobre gestão de conteúdo?
Na sua empresa, o acesso a todos os sites está permitido ou existem algumas
restrições? Na prática, o ideal é criar procedimentos que indiquem quais sites
têm acesso permitido, restrito ou controlado, podendo ser personalizada para a
necessidade de cada área da organização.

No mercado existem soluções especializadas que possibilitam a implementação

de regras para trazer conformidade a política de segurança definida. Estas
soluções são responsáveis por classificar conteúdos e sites na internet,
montando listas com bilhões de registros para que empresas possam
personalizar o uso da internet em seus ambientes. Em vez de pesquisar e
construir uma lista com os sites que podem ou não ser acessados, as soluções já
oferecem categorias de conteúdo previamente classificadas, como
entretenimento, jogos, religião, conteúdo adulto, entre outras, facilitando o
processo de implementação das regras de acesso.

Desta maneira, é possível personalizar o uso da internet com base em demandas

setoriais, sem deixar de levar em consideração a segurança e produtividade do
ambiente. Isso porque essas soluções mantêm categorias somente de conteúdo
malicioso, o que impede usuários, mesmo com acesso liberado, de infectar seus
dispositivos.

A gestão de conteúdo pode ser implementada com a aplicação de soluções que

atuam diretamente no dispositivo, como antivírus (Kaspersky, Bitdefender, G-
Data etc), e também soluções para proteção de gateway, tais como OSTEC
FireBox, Barracuda Web Security Gateway, Cisco Web Security Appliance e
Cloud, além de outras soluções de Firewall de Próxima Geração (NGFW) que
oferecem nativamente, ou através de pacotes adicionais, este recurso.

Segurança de end-point

Talvez o termo não seja tão familiar, mas esse segmento de segurança é o mais
conhecido por boa parte dos usuários. São soluções multipropósito instaladas
no dispositivo final, seja um notebook, um smartphone, tablet e etc. O mais
comum, e que a grande maioria possui, são os softwares antivírus.

O antivírus é uma das soluções que se encaixam nesta área, que sempre vai ter
como finalidade proteger única e exclusivamente aquele dispositivo em que está
instalado. Trata-se de uma estratégia de defesa complementar, servindo de
apoio quando as camadas anteriores não coibirem determinado ataque.

Essas cinco macro áreas oferecem uma visão importante para empreendedores
que pretendem dar os primeiros passos no universo de segurança da
 informação. Agora que você está mais familiarizado com esses conceitos,
podemos entender como implementar na prática uma política de segurança.

Como construir uma política de

segurança?

Antes do “como” o ideal seria validar o “porquê” construir uma política de

segurança. Essa é a parte mais complexa pois envolve um processo de
conscientização e entendimento, que muitas vezes é levado, erroneamente, para
o lado de bloqueios, limitações, desvirtuando o real propósito.

Uma política de segurança da informação, acima de tudo, define as

diretrizes básicas de como as informações são tratadas durante seu ciclo de vida
dentro de uma organização, respeitando direitos, deveres, responsabilidades de
todos os envolvidos. Além disso, a política não consiste somente naquilo que
pode ou não ser realizado, mas trata de boas práticas, de gestão de incidentes,
crises, planos de continuidade de negócios e diversos outros aspectos que vão
depender muito da maturidade do negócio, exigência de órgãos reguladores,
entre outros. Então, acima de tudo, a política preserva as partes envolvidas e
busca antecipar comportamentos a serem executados diante de determinadas
ocorrências.

De forma mais clara e prática, o “porquê” pode ser caracterizado como a forma
das empresas estarem minimamente preparadas para os desafios internos e
externos no que diz respeito à segurança das informações em todo seu ciclo de
vida. Partindo para o lado do “como”, o primeiro passo a ser dado é refletir
sobre alguns temas básicos, que ao final, ajudarão a consolidar o documento
que pode ser chamado de política ou diretrizes de segurança. Lembre-se, esse
documento nada mais é do que a maneira que a empresa enxerga e trata da
segurança.

1. Quais são os tipos de informações gerenciados pela empresa: levante todo o tipo de informação que transita
na empresa, onde são armazenadas, se são informações públicas, privadas, confidenciais. Para cada informação
identifique o local de armazenamento e quais pessoas podem acessá-las;

2. Quais são os riscos de exposição das informações: para cada tipo de informação, identifique quais os riscos
estariam envolvidos no caso de vazamento. Isso é importante para definir as prioridades daquilo que deve ser protegido
e o nível de proteção a ser aplicado;

3. Quais as possibilidades de vazamento da informação: caracterize quais as possíveis formas que as informações
podem ser roubadas ou vazadas, isso envolve aquela gerenciada através de meios eletrônicos, mas também documentos
físicos;

4. Quais são os ativos tecnológicos mais importantes: liste e classifique quais são os softwares, banco de dados e
outras soluções que são altamente importantes para o business. É orientado a elaboração de estratégias de uso e defesa
adequadas para cada um deles;
5. Utilização da internet como ferramenta de trabalho: descreva como a internet deve ser utilizada pelos
colaboradores e setores, aquilo que é permitido e o que é proibido/limitado, independentemente de a empresa possuir
ferramentas para controle dos acessos. Para os setores, crie eventuais particularidades para atender necessidades
específicas, não deixando de lado o propósito de segurança;

6. Utilização de dispositivos móveis e removíveis: como será gerenciado o uso de dispositivos pessoais no trabalho,
serão permitidos o ingresso dos mesmos nas redes corporativas, haverá redes específicas para esse propósito, não será
permitido o uso em determinados ambientes, etc. E quanto ao uso de pendrives e similares, quais são as orientações
para o uso dentro da empresa?;

7. Utilização do serviço de e-mail e comunicadores instantâneos: quais são as boas práticas para o uso de e-mail
corporativo, o que pode ou não ser anexado, que tipo de conteúdo pode ser tratado por e-mail. Isso inclui também
comunicadores instantâneos para empresas que precisam utilizá-los;

8. Utilização de redes sem fio para visitantes e colaboradores: defina como será oferecido o acesso wireless na
empresa, quais os critérios de utilização, para quem se destina e quais as regras aplicáveis, procure segmentar o que é
público (fornecedores, clientes, dispositivos pessoas de colaboradores) do que é corporativo;

9. Utilização de impressoras, copiadoras, servidores de arquivos e

outros: cuide também daquilo que é físico, valide como deve ser a utilização de
impressoras e copiadoras, quem pode ou não ter acesso aos mesmos. A premissa
também é válida para a estrutura digital, centralize os arquivos em um único
local, com cópias, auditoria e outras facilidades de segurança;

10. Acesso remoto à empresa para colaboradores externos: como

será o acesso para usuários em trânsito ou home office? Quem terá esse tipo de
acesso e quais recursos internos estarão disponíveis para serem usados por estes
usuários.

11. Política de instalação e utilização de softwares: uma das premissas

básicas de segurança é o uso de softwares originais, isso reduz potencialmente
riscos de vírus e derivados. Quais são os softwares homologados pela empresa e
como será o controle de quem pode instalar ou utilizar. Ter um controle
centralizado e inventariar os softwares corporativos é fundamental.

12. Resposta e tratamento de incidentes de segurança: o que acontece

quando um ataque ou incidente for detectado? É preciso ter um passo a passo
detalhado e padronizado para que as ações ocorram com integridade
respeitando as boas práticas, no calor do momento movimentos errados podem
custar muito caro para as empresas;

13. Plano de continuidade e recuperação de desastres: ninguém espera

que algo possa ocorrer, especialmente no que diz respeito a desastres naturais. É
importante que a empresa esteja minimamente preparada, com planos de
contingenciamento adequados para seu porte. Portanto, independentemente do
tamanho, sempre tenha descrito um plano B para cenários que podem ocorrer,
mesmo que com poucas chances ou histórico;

14. Estratégia de divulgação e reciclagem: construa com o setor de recursos humanos, ou você mesmo, uma forma
adequada de conscientizar os usuários da importância da segurança, além de comunicar isso ao longo do tempo com
dicas práticas relevantes. Uma das regras de ouro para segurança é não permitir utilizar recursos que você não consiga
controlar ou ter visibilidade. E isso faz todo sentido, porque dessa maneira você tem um elemento que opera totalmente
no escuro e determinadas atividades, ilícitas ou não, podem passar somente por ele, sem que seja visto.
Com base nas 14 reflexões citadas é possível começar a pensar diferente sobre o
tema segurança e conhecer um pouco mais a empresa e como cada uma destas
áreas (e existem várias outras) podem ser devidamente protegidas. Esse
primeiro passo de entendimento é fundamental e fará toda a diferença no
momento de iniciar a aplicação prática.

No primeiro momento, não se preocupe em construir um documento limpo

como uma espécie de contrato, cheio de cláusulas e considerações. Pense mais
como um documento direcionador, com diretrizes de como a empresa trata cada
um dos 14 temas, e outros tantos que podem ser considerados necessários, de
acordo com o perfil do negócio.

Segurança e o fator humano

Diversas literaturas e especialistas afirmam que o fator humano é o elo mais

fraco da segurança da informação. Isso porque muitas pessoas têm uma posição
natural em querer ser útil e ajudar as outras pessoas, o que pode ser um ponto
de fragilidade, pois uma pessoa mal- intencionada, de dentro ou fora da
empresa, pode aproveitar-se de tal situação para obter informações específicas.
Existem muitos ataques que são realizados de maneira intencional, mas a
grande maioria das ocorrências são em virtude do mau uso de dispositivos e da
internet, sem intenção alguma de causar danos para o negócio.
Neste sentido as tecnologias de segurança e a política tem funções muito
importantes, porque mesmo diante de um colaborador com pouca instrução, as
ferramentas asseguram que a empresa minimize os riscos/impactos de sinistros.
Isso não diminui, por outro lado, a necessidade de conscientização e
treinamento dos usuários. Se o fator humano é o elo mais fraco, cabe aos
empreendedores criarem campanhas internas de treinamento e reciclagem dos
colaboradores, deixando claro quais são os riscos do mau uso de um
equipamento ou internet. Isso é um trabalho de médio e longo prazo, mas vale a
pena inserir na pauta pois reduz de maneira substancial a exposição da
empresa, e automaticamente engaja o colaborador, tornando este um entusiasta
para disseminação dos conceitos de segurança dentro da empresa.

Segurança como parte da cultura

organizacional
A cultura da empresa é algo que pode facilitar a aderência dos profissionais para
um dia a dia que leve em consideração, de forma consciente, os riscos
associados à segurança da informação. Quanto mais aberta é a cultura e as
relações de trabalho, mais tranquilo será o processo de envolvimento dos
colaboradores e implantação da política. Quanto mais fechada for a cultura
empresarial, maior será a possibilidade de implantação de uma política,
pouco discutida, sem a devida aderência por parte dos colaboradores da
empresa.

Empresas que possuem mais tempo de mercado, com um modelo de gestão

tradicional, geralmente apresentam maior resistência tanto para a implantação,
quanto para a percepção de necessidade, com exceção daquelas em que há um
nível de governança adequado, onde segurança da informação entra em pauta
de maneira natural. Estas empresas buscam o mercado de segurança após
passar por uma situação ruim envolvendo um incidente, sendo raros os casos
onde isso ocorre de maneira preventiva. Por conta do incidente, a empresa
busca blindar-se de todas as formas possíveis para que aquilo não ocorra outra
vez, e geralmente esquece a boa prática de conduzir este processo internamente
de maneira contínua.

O uso intensivo de tecnologia para segurança da informação conduz às

empresas para situações muito positivas nesse cenário, mas quanto mais essas
decisões são tomadas de maneira unilateral, maior a resistência para a
disseminação do conceito para outros níveis da organização. É de grande valia
evitar conflitos no momento da implantação de uma política de segurança, ouça
as partes envolvidas, independentemente do grau hierárquico da mesma, e faça
os ajustes necessários. Para empresas que possuem uma cultura mais aberta,
especialmente aquelas ligadas a setores que usam tecnologia de forma intensiva,
é natural que o conhecimento dos colaboradores de boas práticas de segurança,
inclusive de uma eventual política dentro da empresa, seja muito maior. Isso
por que essas pessoas de alguma maneira passaram pelo processo, ou tem um
fluxo de informação claro dentro da empresa que trata deste assunto.

Segurança da informação não protege somente a empresa no que diz respeito

aos seus sócios, acionistas e etc. A proteção oferecida é para todos, incluindo
colaboradores, clientes e mercado. Por conta disso, a pauta deve envolver o
maior número de pessoas para que se consiga um engajamento
adequado. Empresas que possuem colaboradores engajados com segurança são
aquelas que apresentam a menor ocorrência de incidentes, enquanto que
aquelas que não deixam claro o propósito, são as que mais sofrem com o tema.

Portanto, de maneira resumida, o envolvimento de pessoas dos mais variados

níveis nas decisões é um fator crítico de sucesso para a política rodar bem e
realmente dar resultado. Ter uma política no papel, que não funciona, é o
mesmo que não ter política alguma.

Auditoria e conformidade

A política de segurança digital normalmente passa por um conjunto de revisões

ao longo do tempo, especialmente nos primeiros meses de implantação, onde
muitas coisas acabam entrando em revisões pelo fato de não terem sido
previstas no momento da consolidação. Isso é natural e cada revisão deve gerar
uma nova versão de documento, que deve ser devidamente comunicado a todos,
e que as ferramentas de segurança utilizadas sejam também atualizadas para
refletir à conformidade da nova política. Isso é um movimento importante e por
vezes ignorado, é necessário ter um alinhamento da tecnologia com a política.

Por conta disso é altamente saudável que a empresa defina sazonalidade para
realizar auditorias de alinhamento entre a política (aquilo que está escrito) e as
ferramentas (aquilo que ocorre na prática). É comum em pequenas empresas
que as solicitações de mudança ocorram de maneira menos organizada, por isso
é importante tomar cuidado para evitar potenciais furos.

E por fim, defina períodos semestrais ou anuais para revisão da

política, como o negócio e mercado passam por transformações, garantir que a
política continua atendendo os interesses de todas as partes envolvidas é
fundamental.

Visibilidade em segurança
 Quando sua empresa estiver rodando bem as políticas de segurança, já tendo
passado por algumas evoluções ao longo do tempo e você considerar que já está
madura, é hora de comunicar aos clientes e mercado a importância que seu
negócio dá para o tema. Dependendo do tipo de mercado, a segurança da
informação será uma premissa de existência; para outros isso é secundário, as
medidas preventivas geralmente não entram em pauta, e o aprendizado acaba
sendo na dor. Seja qual for seu cenário, avalie a importância que seus processos
de segurança oferecem para seus clientes. Se isso for positivo, é o momento
adequado para informar, dentro de estruturas comerciais públicas ou privadas
(somente para clientes), como que sua empresa se posiciona em relação à
segurança da informação. Isso trará muita credibilidade para os clientes e vai
reforça a imagem da organização perante o mercado. Pense nisso!

Os primeiros passos na prática

Agora que você já conhece um pouco sobre as áreas de cobertura de segurança

da informação e como direcionar os esforços para montar uma política de
segurança para sua empresa, vamos resumir um passo a passo para você
começar logo a obter os resultados.

1. Faça uma reflexão com as principais pessoas do seu time sobre as opções levantadas no Item 3;
2. Comunique a todos que a empresa implantará uma política de segurança, qual sua abrangência e propósitos;
3. Contrate uma empresa especializada em segurança e apresente suas definições, oalinhamento entre a teoria e a prática é
fundamental, e nem sempre possível;
4. Implante as soluções de segurança mais prioritárias, para resolver os problemas emergenciais, mas nunca esquecendo
que a fortaleza sempre vai ser tão grande quanto o ponto mais fraco;
5. Faça auditorias regulares e procure transformar colaboradores em auditores independentes ao longo do processo, isso
aumentará também o engajamento;

6. Faça revisões ao longo do tempo, adaptando sempre a política as novas necessidades do negócio, mas oriente o que fazer
ou não pela política;

7. Eleja uma pessoa ou um comitê responsável por endereçar o assunto internamente, que possa controlar todo o processo
e também oferecer apoio interno aos usuários.
Bom trabalho

Materiais para se aprofundar

Se você tiver interesse em estudar mais sobre o tema, confira alguns materiais
de aprofundamento:

Firewall corporativo, entenda a real importância para seu negócio

Anti-spam: 8 benefícios para o uso corporativo