Table of Contents
Sigilo de informações
Independente do setor de atuação da empresa no mercado, toda empresa tem, ou deveria ter, sua própria forma de avaliar o nível de sigilo das informações do seu negócio, para assim, proteger a instituição do vazamento de dados. Para ajudar, a LGPD (Lei Geral de Proteção de Dados) foi criada, clique e veja a matéria que a OnSet fez a respeito da nova lei.
Transformação digital
Com a transformação digital surgem diversas ferramentas inovadoras para os processos empresariais, porém, o risco também aumenta e exige uma atenção maior. Por isso, a OnSet irá mostrar como a Política e Cultura Organizacional pode ser fundamental para que sua empresa previna o vazamento de dados. Veja abaixo:
Combatendo riscos
Toda empresa está sujeita ao vazamento de informações, independente do seu tamanho, e o resultado é, muitas vezes, catastrófico, com prejuízos desde a perda de competitividade no mercado até a falência do negócio. Um bom exemplo é quando uma empresa de pequeno porte tem sua lista de clientes ou, até mesmo, seus dados bancários envolvidos em fraudes de cartão de crédito ou acessos às contas bancárias indevidamente, o que resultaria em sérios riscos de processos judiciais por parte dos clientes prejudicados.
Agora, já imaginou se isso ocorrer com uma empresa de grande porte? Com protótipos e projetos ainda sem patentes nas mãos da concorrência ou de pessoas de má índole? Para evitar é indispensável o desenvolvimento de uma política de segurança que inclua a implementação de um costume organizacional extremamente eficaz, tornando assim, Cultura da Empresa e rotina para gestores e colaboradores.
Erros comuns a serem evitados
É interessante compreender quais são os erros mais comuns que podem criar uma certa vulnerabilidade nas empresas antes mesmo de colocar o planejamento no papel. Normalmente eles são os maiores responsáveis pelo vazamento de dados e podem estar diretamente relacionados às más práticas no ambiente digital da instituição.
Veja abaixo os erros mais comuns:
- Indefinição e não aplicação da classificação das informações de risco;
- Instabilidade entre acesso de dados e cargos de funcionários;
- Compartilhamento de logins e senhas indevidamente;
- Processo de desligamento inadequado de colaboradores;
- Processo de troca de equipamentos inadequado;
- Internet ou wi-fi pouco seguros (corporativo e público no mesmo segmento da rede);
- Falta de cultura e conscientização dos colaboradores quanto à Segurança da Informação;
- Falta de política de proteção de acesso físico;
- Inexistência de criptografia no tráfego de dados;
- Vulnerabilidade nos Backups;
- Falta de controle de acesso aos sistemas;
- Mal configuração de firewalls, ou não configuração;
- Portas e downloads sem controle;
- Falta de anti-phishing;
- Políticas rígidas na atualização de segurança da infraestrutura de TI.
- Existem diversas falhas que costumam ser o resultado dos problemas acima, mas tudo isso tem solução, basta o fortalecimento da segurança dos dados, por meio de uma TI eficaz.
Ações práticas e sua importância
Uma forte política de segurança da informação pode garantir o bem-estar corporativo, porém, isso deve ser implantado de forma consistente, para que a segurança da informação vire uma cultura da organização e o vazamento de dados não afete a instituição.
Se o objetivo é estabelecer as práticas de segurança é preciso garantir que elas sejam cumpridas por todos os colaboradores. Para que o processo não tenha falhas, é fundamental que ele comece pela Diretoria da empresa, para antes de tudo discutir as práticas que serão adotadas.
Após o planejamento pronto, as ações tendem a ser muito mais eficazes, pois ao mesmo tempo que as normas são estabelecidas, os colaboradores já tomam ciência, por meio de treinamentos e reuniões de debate aberto, na presença de todos.
É necessário engajamento e resiliência de todos os envolvidos para que a prática passe a ser parte da cultura de uma empresa e, mesmo assim, é o tipo de implantação que não acontece de um dia para o outro, mas sim com a colaboração de todos, fazendo com que os dados fiquem mais seguros e possa existir a confiança entre a empresa e todos os seus colaboradores, melhorando assim até mesmo o impacto na produtividade e gerando ainda mais valor aos negócios.
Comunicação constante
É fundamental ter em mente algumas questões como a comunicação constante entre a empresa e os colaboradores, fazendo com que se envolvam na conscientização dos riscos e os desafios da instituição, além da importância do comprometimento de todos. A implementação de todos os processos de segurança pode ser mais simples, transparentes e extremamente ágil, fazendo com que a segurança dos dados não atrapalhem o dia a dia dos profissionais. Para finalizar, outro destaque é a necessidade de publicações internas de indicadores de segurança e o monitoramento dos processos.
Política e cultura organizacional
Hora de fazer tudo na prática, de estabelecer as normas e guiar os colaboradores ao conhecimento de qual o comportamento e o quanto a empresa espera dele, além de fazer com que essas normas se torne uma cultura no dia a dia. Veja abaixo algumas das principais ações de medidas técnicas a serem seguidas para que não haja vazamento de dados:
- Implementar um sistema de gestão centralizado de acesso, do tipo Active Directory;
- Adicionar a instalação de uma plataforma de criptografia;
- Para acesso externo utilizar conexões criptografadas (VPN);
- Garantir a identidade de quem acessa o sistema com Certificados Digitais;
- Fazer parceria com empresas especializadas para realizar o Pen Test (teste de invasão);
- Utilizar um bom sistema de monitoramento da rede;
- Utilizar solução UEBA – Análise de Comportamento do Usuário e da Entidade para a identificação de suspeitos entre os colaboradores;
- Para o controle de acesso físico (câmeras, biometria, cofres, salas blindadas, entre outros), utilizar ferramentas específicas;
- Atualizar os sistemas operacionais constantemente, assim como os demais softwares;
- Utilizar Firewall e Antivírus profissionais, conceituados e auditá-los com frequência;
- Adicionar um sistema que criptografa backups;
- Utilizar senhas fortes e alterá-las constantemente para a proteção de pontos de acesso a rede Wi-Fi;
- Criar um DMZ (Demilitarized Zone) na rede de TI da empresa para separar os sistemas web com acesso aberto ao mundo e a rede interna;
- Adicionar um File Server para gerenciar o armazenamento de arquivos;
Para uma política de segurança da informação sólida e a impossibilidade de vazamento de dados, as medidas acima são a base, mas que só funcionarão de forma correta se estiverem alinhados à cultura e aos processos. Afinal, não adianta utilizar um mecanismo de ponta se funcionários e diretores não se conscientizarem de todos os riscos que são gerados por ameaças cibernéticas, não é mesmo?
As principais medidas humanas
- Divulgar a política estabelecida;
- Adotar termos contratuais de confidencialidade e fazer com que os colaboradores assinem como política da empresa;
- Treinar e reciclar periodicamente sobre a engenharia social e a segurança da informação;
- Adotar processos claros de controle de inventário e entrada e saída dos ativos;
- Ter controle de acesso à rede interna com a aplicação de uma política clara de BYOD (Bring Your Own Device);
- Não utilizar ferramentas de comunicação privadas (e-mail, WhatsApp, entre outros) para assuntos profissionais;
- Ter o controle de acessos físicos de profissionais terceirizados, fornecedores, clientes etc.;
- Ficar atento com Pendrives, CDs, DVDs, HDs ou qualquer outro dispositivo de armazenamento de dados ou mídias, para que sejam utilizados da forma correta;
- Ter rigor no controle de demissão para evitar vazamento de dados indevidos.
E aí, está pronto para colocar as dicas acima em prática? Siga as instruções e amplie significativamente a proteção de informação e minimize as chances de vazamento de dados criando uma cultura organizacional extremamente eficiente. Basta fazer uma avaliação no ambiente de trabalho para ver como ele pode ser mais seguro para com as informações confidenciais da sua empresa.
O post foi útil para você? Para ter ainda mais informações valiosas sobre o programa de desenvolvimento da política de segurança da informação, ou a implementação de treinamentos para mudança da cultura organizacional da empresa, é só entrar em contato e falar com os profissionais da OnSet.