Muitos prestadores de serviços fazem pouco caso do tema segurança da informação, acreditando que já estão fazendo tudo ao seu alcance para manter seus clientes seguros contra ataques de cibercriminosos ou, até mesmo, de desastres naturais.

Na verdade, o que acontece na maioria dos casos é que a falta da aplicação de boas práticas leva ao surgimento de uma série de problemas e vulnerabilidades, os quais podem acabar causando prejuízos para ambas as organizações no futuro, prestador de serviço e cliente.

Com o intuito de ajudar você a entender melhor todo o ambiente de proteção da informação e como empregar os principais conceitos e práticas de segurança para a aplicação direta em seus clientes, criamos este guia completo. Continue conosco e boa leitura!

O que é a segurança da informação?

O conceito de segurança da informação é um tanto quanto complexo e envolve uma série de ações de proteção que visam diminuir o risco de perda de dados, protegendo o valor, econômico ou pessoal, de uma organização.

Mesmo que em um primeiro momento possamos acreditar que ela está ligada apenas a softwares e sistemas computacionais, esse conceito vai muito além, passando por equipamentos e, até mesmo, pessoas. Dentro de uma empresa, a segurança da informação pode ser definida como o grupo de políticas, métodos e processos que devem ser aplicados para garantir que a circulação de dados e informações seja controlada e segura, evitando assim que qualquer pessoa, que não seja autorizada, tenha acesso a tais elementos.

A segurança de dados é baseada em três pilares básicos.

Confidencialidade

Esse conceito está ligado à garantia de que a informação não poderá ser acessada ou visualizada por pessoas que não tenham autorização para tal, evitando vazamentos e garantindo a proteção de dados estratégicos.

Esse é um dos principais pilares dentro da segurança da informação, pois tem ligação direta com o sigilo e o segredo dos dados, o que mexe com a curiosidade. Dentro do mundo corporativo, proteger a informação mantém uma abordagem estratégica e protege o capital intelectual de uma empresa, garantindo vantagens competitivas.

Seu cliente pode ter investido muito no desenvolvimento de determinado produto ou, até mesmo, no conhecimento de negócio. Esse know-how pode ser de suma importância para o desenvolvimento de suas atividades e daí vem a importância de protegê-lo.

Sempre que um vazamento ou acesso indevido acontece, outras empresas que não tiveram o esforço e o investimento para produzir aquele conhecimento podem alcançá-lo e acabar lucrando de forma indevida com isso.

Integridade

Dados íntegros são informações que estão sendo armazenadas e transferidas de forma correta, sem a menor dúvida acerca de sua fonte ou forma. Nesse sentido, pode-se confiar que nada foi alterado com o passar do tempo ou por manipulação de terceiros.

Esse pilar não é tão pensado quando tratamos de segurança da informação, sendo deixado de lado por muitos prestadores de serviço de TI. Porém, ele é de suma importância para embasar decisões de negócio, afinal, valida todo o processo de comunicação, interna e externa, da organização.

Toda empresa precisa enviar e receber informações o tempo todo, seja internamente, quando ocorre a troca de dados entre os setores, seja externamente, com clientes e fornecedores. Uma comunicação efetiva só ocorre quando não há interferências e ambas as partes interpretam de maneira comum.

Contudo, a integração de dados não é uma tarefa fácil. Manter a integridade das comunicações deve estar entre as prioridades de um prestador de serviços de TI, para evitar que as informações sejam adulteradas durante sua transmissão ou seu recebimento.

Com o tema mobilidade cada vez mais em alta nos últimos tempos, por conta do uso crescente de dispositivos móveis para trocas de mensagens, é preciso buscar a integridade das comunicações com ainda mais atenção.

Disponibilidade

Para que a informação tenha valor, ela deve estar disponível, ou seja, gestor, colaborador ou qualquer outro interessado que tenha autorização deve poder acessar os dados em hora oportuna no exercício de suas funções.

De nada adianta contarmos com milhões de dados se, quando for necessário realizar uma consulta, eles não estiverem disponíveis. Esse pilar está ligado diretamente à operacionalidade de seu cliente, uma vez que a falta de disponibilidade pode prejudicar suas atividades.

Em um mundo cada vez mais dinâmico, no qual a comunicação é praticamente instantânea, independentemente das distâncias, manter os dados de seus clientes disponíveis o tempo todo também deve ser um dos cuidados de um prestador de serviços de TI. Em caso de indisponibilidade de um conjunto crítico de informações ou de conjuntos de dados, seu cliente pode acabar sendo prejudicado, perdendo negócios e vindo a rescindir o acordo com sua empresa.

Os três pilares citados acima devem ter valor estratégico para um prestador de serviço em TI, pois todos eles podem atingir seus clientes e prejudicá-los. Mesmo que a confidencialidade esteja mais em voga quando pensamos em segurança, deve-se sempre se lembrar dos outros dois.

Por exemplo, um erro de confidencialidade pode expor informações estratégicas da empresa ou de seus clientes, gerando prejuízos — isso é muito claro. Contudo, a falta de integridade, por conta de um corrompimento de disco rígido, pode fazer com que se perca dez anos de dados. Ao mesmo tempo, a disponibilidade pode ser afetada por ataques de ransomware ou sequestro de informações, sem que um backup funcional esteja disponível.

Falhas simples como essas prejudicam seu cliente e também a imagem do prestador de serviço de TI, que não teve capacidade técnica de manter a segurança da informação.

Quer saber mais sobre cibercrimes? Temos um post perfeito para você!

Qual a importância da segurança da informação?

A segurança da informação detém um poder estratégico para as organizações, pois permite que elas garantam a continuidade de seus negócios ao mesmo tempo em que evitam que outras empresas ou pessoas tenham acesso aos seus dados.

O Big Data é um exemplo prático de como as informações vêm sendo utilizadas de forma estratégica dentro de uma organização. No entanto, para que essa prática gere valor, os dados devem estar disponíveis e íntegros e seus resultados devem ser mantidos em confidencialidade.

No caso de falhas na disponibilização dos dados para o servidor, a análise final fica comprometida e a integridade também não é atingida. Com isso, ocorre uma visão errada da situação, levando a decisões equivocadas e possíveis prejuízos ou perdas de oportunidades.

Além disso, o número de ataques cibernéticos tem aumentado muito nos últimos anos, sendo que as empresas estão cada vez mais dependentes da tecnologia e o número de dispositivos conectados em rede é maior. Esse cenário cria uma série de vulnerabilidades que podem ser exploradas por pessoas mal intencionadas na busca por informações confidenciais, visando obter alguma vantagem financeira por parte das empresas.

Outro ponto crucial é: os cibercrimes têm crescido exponencialmente. E não é só para vazamento de informações, mas também para sequestro de dados (como os ataques ransomware), ataques DDoS (que tornam as informações indisponíveis), entre outros.

Segundo dados divulgados pela pesquisa Norton Cyber Security Insights Report, o Brasil está em segundo lugar no mundo no ranking do número de ataques de hackers, atrás apenas da China. Em 2017, segundo o relatório citado, o prejuízo com essas investidas ficou em cerca de US$ 22 bilhões.

Um dos pontos responsáveis por esse crescimento é a popularização dos smartphones e a busca por mobilidade dentro das empresas em contraste com a falta de preparo de muitos prestadores de serviços de TI que não atualizaram suas políticas de segurança.

Estamos sempre trazendo informações interessantes como essas em nossas redes sociais! Aproveite e nos siga no Instagram, LinkedIn, Youtube e Facebook!

Qual é a norma regulamentadora da segurança da informação?

Em 2018, o Congresso Nacional aprovou a Lei Geral de Proteção de Dados (Lei N° 13.709/18), uma nova regulamentação acerca do uso de informação por conta das empresas. Com ela, que deve entrar em vigor no meio do ano de 2020, as empresas terão muito mais responsabilidades.

Até então, os vazamentos eram tratados como problemas internos, sendo que muitas vezes as organizações que sofriam ataques não divulgavam tal informação na mídia com medo da reação do mercado. Contudo, de acordo com o texto da nova legislação, qualquer vazamento deve ser comunicado imediatamente à agência reguladora e aos titulares da informação, ou seja, os donos dos dados vazados, sob pena de multas e sanções.

Com isso, a responsabilidade na garantia da segurança da informação aumenta bastante e torna-se fundamental evitar situações que possam, até mesmo, vir a impedir a continuidade dos negócios por determinação do governo.

Quais são os principais erros de TI na execução da segurança da informação?

Alguns erros de TI são comuns na implementação de uma política de segurança da informação, sendo que eles podem acabar gerando vulnerabilidades e prejudicando seus clientes. A seguir, listamos alguns dos mais comuns.

Falta de investimento em segurança da informação

O primeiro erro, e também o mais comum, é falta de investimentos direcionados exclusivamente para a proteção de dados. Consequentemente, isso é o que traz mais riscos à segurança da informação dentro das corporações. O principal ponto que leva a esse erro é a falta de conhecimento sobre a importância da proteção de dados e acerca dos problemas que um vazamento ou uma perda de informações pode causar aos seus clientes.

A tecnologia está constantemente evoluindo, e é necessário que os prestadores de serviços de TI estejam sempre antenados com as últimas novidades, como tecnologia de antivírus, firewalls, equipamentos e outras formas de proteção.

Ausência de autenticação de usuários

O controle de acesso é fundamental para evitar que determinadas informações, de peso estratégico, estejam disponíveis para colaboradores que não têm interesse direto nesses dados.

Quando qualquer usuário pode visualizar todas as informações da empresa, cria-se uma vulnerabilidade, pois hackers mais experientes podem se valer dessa falha para obter senhas simples e ter acesso a qualquer coisa dentro da empresa.

O roubo de credenciais por meio de várias técnicas, como phishing e engenharia social, é uma das formas mais comuns de ataque utilizadas pelos hackers, a fim de ter acesso aos dados de uma organização.

Falta de políticas de segurança

Outra falha comum é a falta de uma política de segurança bem definida sobre as ações permitidas dentro da empresa e seus níveis de acesso, assim como exemplos e orientações para cada decisão que tenha de ser tomada com relação aos dados.

Quando existe alguma coisa nesse sentido, muitas vezes os colaboradores não são treinados ou desconhecem o padrão estabelecido pelo documento, ou seja, ele não desempenha o seu papel de manter a proteção da informação.

A falta de uma política de segurança bem estruturada acaba eximindo todos os envolvidos de suas responsabilidades com a proteção das informações da empresa, sendo que é preciso envolver todos os colaboradores nesse processo.

Equipe inexperiente

Uma equipe inexperiente e sem certificações pode ser um problema para um prestador de serviços de TI, uma vez que é preciso lidar com várias infraestruturas de TI diferentes presentes em cada cliente. Assim sendo, isso pode acabar dificultando o processo de implementação de tecnologias.

Investir na contratação de colaboradores que já tenham uma boa vivência no mercado pode ser uma boa ideia no começo. Mesmo que o salário desses profissionais seja um pouco mais alto, sua experiência pode ser repassada ao restante da equipe. Deixar de investir nos colaboradores pode ser um risco, pois a inexperiência do time pode gerar vulnerabilidade e falhas aos seus clientes.

Criação de rotinas de backup falhas

A rotina de backup é uma das principais ações dentro da segurança da informação para garantir a continuidade dos negócios. Entretanto, muitas vezes, só observamos sua real importância quando ela se faz necessária e sua restauração falha.

É comum encontrarmos rotinas simples e sem eficiência dentro das organizações quando falamos em backup. Em alguns casos, apenas se copiam os dados para dentro de um CD, e a mídia fica esquecida em uma prateleira qualquer.

Contudo, no caso de um delete total de todas as informações da empresa, a única forma de recuperação pode ser o backup. Então, caso ele não esteja totalmente funcional, seu cliente pode ter um prejuízo incalculável, inclusive encerrando as operações.

Falta de controle sobre atualizações

A falta de gerenciamento de patches é outro problema comum que é de responsabilidade dos prestadores de serviço de TI. Essa é uma porta de entrada muito utilizada pelos cibercriminosos, que se valem da falta de atualização para explorar vulnerabilidades já eliminadas pelos fabricantes de software.

Contudo, nem todos os prestadores de serviços de TI mantêm seus clientes atualizados, o que gera riscos para a integridade de seus dados. Sempre que uma atualização é lançada, a utilização dessa falha pelos criminosos aumenta muito, buscando atingir todos aqueles que não realizaram as atualizações.

Um dos principais exemplos é o ransomware WannaCry, que se valia de uma brecha no Windows Server 2003. Mesmo que tenha sido corrigido, a falta de atualização fez com que esse vírus tenha sido um dos mais propagados até hoje na rede.

Como aprimorar a segurança da informação na empresa?

Para proteger seus clientes, não basta apenas utilizar boas práticas, é preciso garantir que não existam vulnerabilidades por meio de ações planejadas. Na sequência, separamos alguns dos principais pontos a serem observados na hora de prestar serviços de TI, visando assegurar a proteção de dados.

Fique de olho nas novidades do mercado

A tecnologia não para, por isso é preciso se manter atualizado sobre as últimas novidades não apenas em tecnologia de proteção, mas também sobre quais são as tendências em invasão e quais são as técnicas que estão surgindo entre os hackers.

Com novas ferramentas surgem também novas brechas, e, acredite, os cibercriminosos estão sempre de olho nos lançamentos de tecnologia e testando novas formas de invasão de sistemas em busca de falhas que possam ser utilizadas.

Por conta disso, é essencial tirar um tempo para se atualizar acerca do que está acontecendo no mundo da segurança da informação, verificando soluções e estratégias de proteção cada vez mais avançadas.

Aproveite e já dê uma olhada em nosso artigo sobre as últimas tendências tecnológicas para 2019!

Mantenha seus clientes atualizados

Como dito, os hackers se utilizam muito de falhas de atualização em softwares e sistemas operacionais, o que demanda que o prestador de serviço mantenha um controle eficaz sobre as rotinas de atualização de seus clientes. Em vista disso, é indispensável acompanhar os fornecedores, a fim de manter os softwares atualizados, sendo também preciso analisar o impacto de tais mudanças no negócio do cliente.

Crie políticas de segurança para seus clientes

Cada um dos colaboradores da empresa deve ser um agente de segurança da informação. Para tanto, é preciso que sejam criadas diretrizes claras de proteção e responsabilidade ao lidar com os dados da organização.

É essencial criar normas de conduta a serem seguidas por todos os colaboradores e registrá-las em uma documentação de fácil leitura e com acesso a todos. Dessa forma, diminui-se o risco de falhas e vazamentos e inibe-se o uso de técnicas de phishing e de engenharia social, por exemplo.

Estabeleça controle de acesso

A informação deve ser compartimentada, sendo que o acesso só deve ser liberado aos colaboradores que, devido às suas atribuições dentro da organização, têm interesse direto em um determinado dado, excluindo-se o restante.

Muitas vezes, a perda de informações se deve a ações inadequadas ou equivocadas de usuários que não deviam ter acesso àquele dado. Ao estabelecer um controle por meio de autenticação de usuário e senha, elimina-se esse problema.

Bloqueie ações indevidas

O uso pessoal da infraestrutura de rede de uma empresa pode ser um problema de segurança, uma vez que o usuário navega por redes sociais e utiliza seu e-mail no ambiente da organização. Nesse contexto, o clique em um link suspeito pode gerar riscos.

Determinadas ações podem ser bloqueadas, assim como a navegação em alguns sites que sejam conhecidos por infectar máquinas com vírus. Com isso, evita-se o roubo de informação e a contaminação das máquinas do cliente.

Ofereça treinamentos

Apenas estabelecer uma política de segurança pode não ser o bastante em alguns casos, sendo necessário oferecer treinamentos completos aos colaboradores de seu cliente, visando evitar falhas e vazamentos de dados.

Em circunstâncias nas quais os funcionários não estão bem familiarizados com a tecnologia, ações como essa podem ter um efeito melhor na proteção das informações, pois conseguem mostrar, na prática, como agir nas mais variadas situações. Dentro desse treinamento, já se pode demonstrar por que a navegação em redes sociais e e-mail pessoal pode acabar gerando riscos para a empresa.

Invista em ferramentas de monitoramento

Como prestador de serviço de TI, é preciso monitorar constantemente as atividades realizadas em seus clientes, de modo a garantir que nenhuma falha ou vulnerabilidade está ocorrendo. Contudo, movimentar seus colaboradores pode ter um alto custo.

Uma das formas de garantir uma visão macro ao mesmo tempo em que se minimiza a necessidade de deslocamento é por meio do uso de uma ferramenta de monitoramento, que permite controlar, de maneira remota, várias questões dentro da infraestrutura de TI do cliente.

O SolarWinds RMM é uma dessas ferramentas. Com um quadro geral e informações gráficas, é possível receber notificações acerca de qualquer mudança no estado de qualquer um de seus clientes diretamente no painel de controle da ferramenta. Saiba mais!

Crie uma rotina de backup funcional

O backup é a última saída em caso de perda de dados e, mesmo assim, muitos prestadores de serviços em TI não dão a devida importância a essa prática. O ideal é seguir uma regra básica: três cópias, no mínimo dois locais diferentes e dois tipos de armazenamento para garantir a disponibilidade no caso de necessidade. Além disso, é preciso manter uma rotina de testes de recuperação, para garantir que as cópias estão sendo criadas sem problemas e, caso sejam necessárias, poderão suprir a demanda.

Então, chegamos ao final deste post e esperamos ter trazido o máximo de informações acerca de segurança da informação para você. Lembre-se de que um prestador de serviços de TI deve sempre garantir a proteção dos dados de seu cliente.

Quer receber mais conteúdos completos como este diretamente no seu e-mail? Assine agora mesmo a nossa newsletter!

Rodrigo Gazola
Autor

Com muitos anos de experiencia em TI, trabalhando 24 horas por dia, 7 dias por semana, dá aula sobre excelência em workaholic. Apesar de ser especialista em MSP, adora quando o assunto é backup. Rodrigo esbanja bom humor (diz a lenda que seu segredo é cerveja, churrasco e Rock'N'Roll) e é o mais ativo daqui, já até pensou em rodar o mundo em cima da sua bike.

Escreva um comentário

Share This