quarta-feira, 1 de maio de 2013

Como Proteger sua Empresa dos Hackers


Recentemente, empresas especializadas em segurança da informação e combate a ameaças virtuais, tais como ESET, Trend Micro e FireEye, divulgaram determinados estudos constatando que o Brasil está entre os países que mais sofrem com a atuação de cibercriminosos.
Dentre as principais práticas destacam-se a disseminação de malwares, botnets, e tentativas de roubo de propriedade intelectual, especialmente segredos comerciais, sendo que são as empresas de TI o principal alvo desses ataques.
Vejam o comentário de uma dessas empresas:
“Camillo Di Jorge, gerente geral da ESET, explica que isso acontece porque cada vez mais profissionais estão conectados à internet, ampliando o risco aos malwares, ao mesmo tempo em que há uma sofisticação e uma ampliação dos ataques realizados pelos cibercriminosos”. Ressalta ainda que as empresas devem repensar a segurança da informação, “que depende de dois fatores principais: o uso das tecnologias adequadas e a conscientização dos usuários”.

Dentre as empresas entrevistadas, somente 27% mencionaram a preocupação com malwares, enquanto uma em cada quatro empresas não tem planos para contingenciar incidentes que comprometem a segurança.

A situação é preocupante.
Por isso, resolvi criar este post, com objetivo de identificar 5 medidas proativas que essas empresas podem adotar, objetivando a prevenção e o enfrentamento de incidentes relacionados ao vazamento ou destruição de dados dentro de sua infraestrutura de tecnologia da informação. Vamos a elas:

1) Diretrizes, Informativos e Circulares sobre Privacidade e Tratamento de Dados: Ao especificar a maneira como a empresa coleta, usa e protege as informações pessoais de seus empregados e clientes, os citados documentos podem ajudar a companhia a identificar quem tem acesso a dados confidenciais, como estes dados devem ser armazenados e protegidos, e ainda, quais procedimentos devem ser adotados para deleção segura, quando não mais necessários;

2) Políticas de Acesso e Uso de Internet:  Muitas empresas possuem cláusulas contratuais ou manuais de uso de equipamentos, que regulam inclusive o uso e acesso a Internet a partir dos computadores da empresa. É importante que tais políticas sejam atualizadas de maneira regular, tendo em vista o constante aparecimento de novas tecnologias, que podem comprometer a segurança de informações confidenciais;

3) Políticas de Uso de Mídias Sociais: Essas políticas tipicamente regulam o uso, pelos colaboradores, das mídias sociais dentro do ambiente de trabalho, e, em alguns casos, podem também definir diretrizes para o uso particular dessas ferramentas, principalmente quando o nome da empresa está (in)diretamente envolvido. Embora estas políticas ajudem a lembrar aos funcionários que eles devem ser cautelosos ao usar as mídias sociais, evitando a divulgação de informações confidenciais ou próprias da empresa, os empregadores precisam também definir regras consistentes, de modo a impedir o vazamento desses dados, e principalmente, construir e blindar uma reputação digital adequada, perante seus clientes e consumidores.

4) Políticas de BYOD (Bring Your Own Device): De maneira crescente, os empregadores vêm permitindo que seus funcionários usem smartphones, tablets e outros dispositivos pessoais para acessar contas de e-mail corporativo e também a rede interna da empresa. Embora ambos, empregadores e trabalhadores, possam se beneficiar desta prática, as empresas precisam se certificar de que suas políticas de BYOD conscientizem seus funcionários acerca do uso correto de seus dispositivos, bem como sobre os riscos inerentes a acessos a partir do aparelho móvel, e ainda, quais as medidas de contingenciamento que poderão ser tomadas em caso de perda desse aparelho, ou vazamento de dados a partir deste.

5) Política de Segurança da Informação: Esse documento é essencial para qualquer empresa que possua o mínimo de preocupação com riscos referentes à segurança da informação. É um conjunto de normas de uso interno que regulam a utilização de dispositivos informáticos e de toda a infraestrutura de tecnologia da informação. Ou seja, pode ser a combinação de todas as quatro medidas anteriores em um só documento!

Conclui-se que a adoção de uma ou mais medidas darão o necessário suporte técnico e jurídico para validar práticas de monitoramento e tratamento de ativos intangíveis da empresa, bem como ações de contingenciamento, em caso de um incidente relacionado a segurança da informação.

Fonte de Pesquisa computerworld.uol.com.br

Nenhum comentário:

Postar um comentário