Cloud

8 DICAS DE SEGURANÇA PARA PEQUENAS

E MÉDIAS EMPRESAS
 Pequenos e médios negócios têm um
grande desafio de segurança: eles são tão
vulneráveis quanto grandes multinacionais,
mas frequentemente não possuem os
recursos necessários para garantir a proteção
dos dados e dos sistemas digitais. Em
diversas PME’s, uma ou duas pessoas são
encarregadas de garantir que as tecnologias
de segurança instaladas na empresa
funcionem adequadamente. No entanto,
não recebem nenhum tipo de treinamento
específico sobre essas tecnologias. Pensando
Introdução nisso, criamos esse whitepaper com dicas
sobre os 8 maiores riscos e os principais
serviços de segurança que são necessários
para a empresa não ter nenhuma surpresa
negativa com seus dados.

2
As empresas, sejam elas PMEs ou grandes empresas, dependem de dados corporativos importantes para ter
sucesso nos negócios e crescerem. Então o que aconteceria a elas se perdessem informações sigilosas? Este
guia vai apresentar os principais riscos de segurança de dados que as empresas, em especial as pequenas e
médias, devem conhecer.

Com base em um estudo organizado pelo departamento de negócios, inovação e perícia do governo
britânico, 93% das grandes empresas experienciaram algum tipo de violação de dados no ano passado.
Já as pequenas e médias empresas viram um crescimento de 9% na violação de segurança de dados,
alcançando 87%. Essas porcentagens mostram números alarmantes que revelam o grande problema com o
armazenamento e segurança dos dados.

Esses números levantam uma importante reflexão: independente de quem seja responsável pela perda
dos dados - colaboradores negligentes ou invasores da rede - é necessário que a companhia tenha o
conhecimento e as habilidades para proteger e recuperar informações roubadas ou perdidas. Isso porque, de
acordo com uma pesquisa recente feita pela OnePoll:

envolvendo cartões de
crédito ou débido 86%
Porcentagem de empresas
que não negociaram com
envolvendo informações
sobre endereços pessoais 82%
PMES Atacadas:
envolvendo números
de telefone 80%
envolvendo endereços
de e-mail 76%
3
As informações mostram a desconfiança de empresas com relação a outras companhias que tenham sofrido
invasões no sistema de segurança de dados. Esse é um dos principais motivos pelo qual os sistemas de
armazenamento e proteção de dados das empresas devem estar protegidos contra invasões ou violações,
pois a sua reputação pode ser fortemente afetada por um erro nesta segurança.

Outro dos grandes motivos é que, se caso uma dessas violações ocorra, uma série de responsabilidades
financeiras, na maioria dos casos insuperáveis, surgirão. Reembolsos a clientes e custos com recuperação
de dados são apenas algumas delas. Além disso, a companhia também tem a responsabilidade de recriar os
dados do zero, o que demanda bastante tempo e colaboradores dedicados a resolver esse problema.

4
 O descuido de um colaborador com os
equipamentos que utiliza pode colocar a empresa
em risco. Isso porque vivemos em uma era onde
a mobilidade e acessibilidade de informações
representam um papel importante no aumento
1. NEGLIGÊNCIA DO da produtividade.
COLABORADOR

5
Segundo o estudo da Ponemon, 35% das 277 empresas pesquisadas apontaram o fator humano como
causa principal de violações de segurança de dados. 37% apontaram ataques criminosos e 28% disseram
que alguma falha no sistema pode ter ocasionado essa invasão. No Brasil, a falha humana tem uma
influência muito maior no vazamento de dados: 42%.

28% 35% 37%

Falha no Sistema Fator Humano Ataques Criminosos

A falha humana se caracteriza pela atitude deliberada do colaborador em abrir anexos ou clicar em links
com spams embutidos, deixar o sistema do dispositivo menos atento à ameaças, não mudar frequentemente
as senhas de acesso e visitar sites restritos sem autorização. Essas negligências arriscam os dados sigilosos e
chamam a atenção de cibercriminosos e invasores.

Isso é especialmente preocupante já que, só no ano passado, foram criados cerca de 30 milhões de novas
ameaças malware. Esse número representa 20% de todos os malwares já criados na história.

6
 A maioria das pequenas e médias empresas
disseram que, no geral, não conseguem
proteger os dados de forma suficiente
com as tecnologias e medidas que elas
atualmente utilizam. Boa parte delas
também duvida da capacidade de impedir
ameaças avançadas e persistentes ou
ataques de hackers, principalmente porque
2. PEQUENAS E MÉDIAS a detecção ou a descoberta de violações de
dados entre as PMEs ocorrem quase sempre
EMPRESAS NÃO ESTÃO
acidentalmente.
PROTEGIDAS O SUFICIENTE

7
As empresas já não estão apenas correndo risco de perder dados devido a ameaças externas, como hackers
e intransigências. Na verdade, o perigo maior recai sobre o risco citado acima, que é a negligência do
colaborador. E para resolver isso, acaba sendo necessário redesenhar toda a arquitetura da infraestrutura de
segurança contra hackers ou invasores maliciosos que tentam roubar dados.

Esses esforços podem exigir um foco maior em segurança de Data Center para informações confidenciais, o
que implica na dependência não somente da segurança tradicional de fora para dentro, mas também na
segurança de dentro para fora.

8
 O BYOD vem se tornando um modelo de
trabalho em diversas empresas, pois os
dispositivos móveis possibilitam que a equipe
acesse dados de qualquer lugar a qualquer
hora. Isso também aumenta a flexibilidade
e produtividade, mas traz consigo uma
3. A MOBILIDADE DOS liberdade que tem um preço.
COLABORADORES PODE
SER UM DESASTRE

9
De acordo com um relatório feito pela Cisco, 46% dos colaboradores de empresas de todo o mundo
admitiram terem transferido arquivos entre computadores pessoais e corporativos quando estavam em casa
trabalhando. Além disso, mais de 75% dos colaboradores não usam alguma proteção de privacidade quando
estão trabalhando remotamente em uma rede pública. Esse número é ainda mais alto em países como Brasil,
China e Índia onde o comportamento do funcionário pode ser mais imprudente.

Essas informações mostram um fato bastante preocupante no sentido de que dados confidenciais podem
parar nas mãos de pessoas erradas. E é quase impossível que as empresas acabem com a utilização de
dispositivos móveis, já que o BYOD veio para ficar.

À medida que mais e mais dados de negócios estão sendo armazenados ou acessados por dispositivos, que
não são totalmente controlados pelos CIOs, a probabilidade de incidentes envolvendo a perda de dados
causados por dispositivos móveis sem o devido sistema de segurança vai continuar a crescer.

10
 43% das PMEs britânicas e 53% das norte-
americanas afirmaram gastar mais tempo
trocando senhas de acesso do que fazendo
backups dos dados. Isso juntamente com o
risco que os colaboradores trazem, o BYOD,
e a falta de segurança adequada, estão
fazendo com que as empresas corram riscos
4. HÁ UMA FALHA NO enormes de perderem seus dados.
BACKUP DE DADOS NAS
PMES

11
Sem um backup automático e uma estratégia de recuperação de dados, as pequenas e médias empresas
têm poucas formas de se proteger contra um ataque. Por isso, é preciso organizar essas duas estratégias
da melhor forma, mesmo com um orçamento baixo ou falta de recursos. Atualmente, é possível encontrar
serviços de backup gratuitos ou com preços em conta, que conseguem armazenar os dados corporativos de
forma eficiente.

12
 Com o número crescente de vazamento
de dados, as pequenas e médias
empresas correm o risco de perder dados,
produtividade de seus colaboradores, lucro e
o mais importante, valor de mercado.
5. PMES NÃO APLICAM
POLÍTICAS DE SEGURANÇA
DE DADOS DE FATO

13
As tecnologias são importantes para a proteção dos dados, mas gerenciar o fator humano da forma correta
também pode ajudar bastante as empresas a não se tornarem vítimas de uma violação de segurança e de
um roubo de dados. Isso significa que as PMEs deveriam se assegurar de que as políticas de segurança estão
sendo seguidas, foram bem comunicadas a todos os colaboradores da empresa, sejam funcionários ou
clientes, e rigorosamente implementadas.

É muito importante que os CIOs saibam exatamente em qual momento, como e quem está acessando os
dados. Essas PMEs poderiam se beneficiar ao criar políticas para o uso de mídias sociais e e-mail pessoal, já
que vários dos ataques se iniciam a partir do simples acesso a esse tipo de conteúdo.

14
MAS QUAIS SERVIÇOS SÃO NECESSÁRIOS
PARA PROTEGER OS DADOS
DAS EMPRESAS?

15
A utilização de serviços com foco na proteção dos
dados e sistemas da companhia conseguem ajudá-
la a se tornar mais segura e a se proteger melhor.
Entretanto, da mesma forma que a instalação de
hardware On-premise e softwares de segurança
possuem diversos formatos, há centenas de opções
de serviços de segurança. Isso pode trazer algumas
dificuldades para saber por onde começar e como
desenvolver uma estratégia que incorpore diversos
serviços. No entanto, é possível construir uma base
sólida para proteger a empresa contra ataques
maliciosos.
A maior parte das pequenas e médias empresas
lutam para implementar e manter controles de
segurança robustos a fim de proteger seus dados e
de seus clientes. Uma possível razão para explicar
essa luta é a falta de recursos e know-how.
Felizmente, muitos processos de segurança de TI
possibilitam que sejam terceirizados. Esses serviços
geralmente são mais baratos se uma empresa
especializada for contratada do que a própria
companhia financiar o treinamento de seu pessoal
e a compra de equipamentos.
A terceirização de segurança de TI pode realmente
garantir mais estabilidade, além de ser uma
opção que se baseia em um capital reduzido e
que pensa nas despesas operacionais. Serviços de
segurança de todos os tipos estão disponíveis, por
isso é importante que as companhias escolham
os serviços que irão melhorar a segurança de uma
forma geral. A explicação se deve ao fato de que
pequenos e médios negócios geralmente possuem
um orçamento limitado de segurança para se
trabalhar.
16
CONFIRA ALGUNS DOS SERVIÇOS DE
SEGURANÇA QUE QUALQUER SMALL
BUSINESS DEVE UTILIZAR.

17
 Na recente pesquisa “Understand The
State Of Data Security And Privacy: 2013
To 2014”, do Instituto Forrester, a má
utilização de dados internos por parte dos
colaboradores foi responsável por 36% das
violações de dados corporativos em 2013.
É claro que isso não é uma surpresa, dado
1. TREINAMENTO DE que o treinamento de conscientização de
CONSCIENTIZAÇÃO DE segurança é desvalorizado.

SEGURANÇA

18
 “
Os colaboradores têm acesso aos dados, mas
não entendem as políticas de uso dos mesmos
e utilizam e armazenam informações o tempo A má utilização de dados internos
todo, por meio de vários dispositivos diferentes. por parte dos colaboradores foi
Isso porque dos colaboradores de PMEs e responsável por 36% das violações
grandes empresas norte-americanas e europeias,
de dados corporativos em 2013.”
por exemplo, só 42% afirmaram que receberam
treinamento de como se proteger de ameaças
virtuais no trabalho, e 57% deles disseram ter
noção das políticas de segurança de dados da
empresa em que trabalham.

19
Isso ainda é bastante preocupante, pois a BYOD
depende bastante da rede corporativa e para
que o acesso a ela seja possível, é necessário Colaboradores
que a equipe responsável pela segurança esteja norte-americanos
atuando efetivamente na conscientização de seus e europeus
colaboradores. Políticas de segurança são quebradas
com a melhor das intenções: terminar o projeto,
aumentar a produtividade, entregar todo o trabalho
com mais eficiência. No entanto, essas ações
“ 42% afirmam que receberam
treinamento de como se proteger
de ameaças virtuais no trabalho.”
enfraquecem a segurança de TI e abrem portas
para potenciais ameaças. Como eles muitas vezes
não percebem as consequências que ações como
essas podem causar, acabam não seguindo as regras
pré-definidas, acreditando que o fato de utilizarem
“57% disseram ter noções das
políticas de segurança de dados
dispositivos próprios os excluem de seguir as políticas da empresa em que trabalham.”
de proteção de dados da empresa. Os colaboradores
são o alvo principal de ataques de phishing, por isso é
importante inclui-los e treiná-los bastante com relação
à estratégia de segurança de TI.

20
 Todas as empresas possuem algum tipo de
controles físicos para proteger ativos dentro
do prédio. Ainda assim, a maioria deles
não considera necessário proteger ativos
de informação quando é hora de eliminá-
los. Na verdade, a destruição adequada de
dados é uma parte essencial no processo de
2. ELIMINAÇÃO DE DADOS segurança de dados.

21
É possível instalar softwares que destroem arquivos armazenados, mas destruir todos os dados corporativos
desnecessários pode se tornar uma tarefa onerosa, especialmente para PMEs. O fato de boa parte das
companhias não terem o know-how ou equipamento necessário para limpar completamente os HDs
redundantes ou mídias de armazenamento também torna esse processo complicado.

Para escolher o serviço de destruição de dados certo, é ideal que a empresa cheque o certificado ISO 9001
do serviço e que todos os departamentos envolvidos no processo estejam com acesso liberado a todos os
dados para executar a tarefa de destruição. A empresa contratada para o serviço deve ter um acordo de
nível de serviço declarando que os caminhos adequados de auditoria serão mantidos, com uma certificação
serializada de destruição como prova legal de que todos os dados corporativos foram eliminados com
sucesso.

Também é uma boa ideia assistir pelo menos a um processo por completo, desde a seleção dos dados até a
eliminação deles. Além disso, provedores de serviços de eliminação de dados muitas vezes poderão descartar
outros itens sigilosos de forma segura, como CDs e fitas de vídeo de segurança.

22
 A maior parte dos sites das PMEs é
hospedados por provedores que possuem
equipes de segurança com bastante
experiência trabalhando 24 horas por dia
para garantir que as redes das empresas
que eles atendem estão protegidas. É por
isso que companhias consagradas preferem
3. TESTES DE INVASÃO terceirizar a hospedagem de seus dados web
com um provedor de boa reputação.

23
Aqui entram os testes de invasão, que devem ser
executados contra o site da companhia e não contra
o serviço de hospedagem. Eles são feitos com um
Pen Test Team (do inglês Penetration Testing Team
ou Equipe de Testes de Invasão), pois se forem feitos
pela própria empresa, esses testes podem acarretar
em uma suspensão da conta da organização com o
provedor.

De acordo com um estudo feito pela WhiteHat, 86%

de todos os sites testados por eles na pesquisa tinham
“ Em uma pesquisa feita
pelo menos uma vulnerabilidade séria e 56% desses pela Whitehat, 86% de
casos, mais de uma. Este tipo de vulnerabilidade é todos os sites testados
caracterizada por uma necessidade crítica de proteção, tinham pelo menos uma
que pode levar a vazamento de dados sigilosos.
vulnerabilidade séria e
Atualmente, é muito comum as empresas criarem 56% desses casos, mais
sites com design customizado. Esse tipo de site deve
ser submetido a um teste de invasão devido ao fato
de uma. “
de boa parte dos webdesigners ter um background de
conhecimento gráfico, mas não ter muitas habilidades
de segurança web. A não ser que o desenvolvedor
já tenha escrito o código do site com a questão
de segurança em mente, qualquer ponto do site é
passível de ataque. Isso é extremamente perigoso,
pois pode comprometer os dados de um cliente e a
credibilidade da empresa.

24
Testes de invasão avaliam o site pelas fraquezas na validação de entradas, autenticação e no vazamento
de informação. Qualquer aplicação, processo ou transmissão de dados importantes deveria ser testada. As
vulnerabilidades mais comuns encontradas tendem a ser falhas de design, erros de configuração e bugs de
desenvolvimento. Esses erros aparecem na hora do desenvolvimento do código e na implementação dele,
geralmente por acidente ou por erro do desenvolvedor.

Testar uma aplicação web é o método mais pró-ativo de analisar a habilidade de um site de aguentar
um ataque ou de encontrar as vulnerabilidades antes que o invasor encontre. Quando os problemas
são encontrados com antecedência, podem ser rapidamente resolvidos na maioria dos casos. Por isso, é
importante que as empresas busquem especialistas para realizar testes de invasão a fim de trazer ainda mais
qualidade para o sistema de segurança de dados.

25
Fontes:

http://reports.informationweek.com/abstract/21/9615/Security/Best-Practices:-6-Security-Services-Every-Small-Business-Must-Have.html
http://www.itproportal.com/2013/12/16/93-of-organisations-suffered-a-data-breach-in-2013/
http://www.mobility-sp.com/images/gallery/FORRESTER-Understand-The-State-Of-Data-Security-And-Privacy-2013-To-2014.pdf
https://www.whitehatsec.com/assets/WPstatsReport_052013.pdf
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/sb_5-reasons-why-small-business-lose-critical-data.pdf
http://www.ponemon.org/local/upload/file/2013%20Report%20GLOBAL%20CODB%20FINAL%205-2.pdf
http://www.itproportal.com/2013/12/16/93-of-organisations-suffered-a-data-breach-in-2013/
http://collaboristablog.com/2014/04/data-breaches-affect-business-bottom-line/
http://www.pcworld.com/article/2109210/report-average-of-82-000-new-malware-threats-per-day-in-2013.html
http://www.cisco.com/c/en/us/solutions/collateral/enterprise-networks/data-loss-prevention/white_paper_c11-499060.pdf

26
 VISITE NOSSO BLOG:

O blog dos negócios de T.I.

blogbrasil.comstor.com

27
 SÃO PAULO (11) 5186-4343
RIO DE JANEIRO (21) 3590-6201
www.comstor.com.br
querocisco.br@comstor.com

28