Sua empresa está segura?

As empresas estão diariamente expostas a riscos digitais e, em grande parte, não possuem uma maneira adequada de se protegerem dos mesmos, especialmente as pequenas e médias empresas. Muitos gestores acreditam que por serem empresas menores, estão menos suscetíveis a ataques digitais, e por isso não providenciam uma proteção adequada, ou até mesmo não conhecem uma solução financeiramente viável para a empresa.

Mas, na realidade, é o contrário: estudos comprovam que a maioria dos invasores buscam empresas menores, justamente por saberem que estas tendem a estar menos protegidas. Mais da metade dos ataques virtuais em 2017 foram direcionados a empresas menores, e cerca de 60% dessas empresas fecham as portas cerca de 6 meses após a investida, pois não conseguem se recuperar.1

Além disto, os ataques podem atingir a empresa por qualquer lugar, até mesmo usando como porta qualquer dispositivo vulnerável conectado à internet, não necessariamente um computador de dentro da empresa. Isto nos faz pensar que, em se tratando de cibersegurança nas empresas, todo o cuidado é pouco, e um simples antivírus não basta para que os dados estejam seguros.

Segurança da Informação: o que é?

Tudo o que está diretamente relacionado com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. O nível de segurança é estabelecido de acordo com o valor das informações e os potenciais prejuízos causados por seu uso indevido.

Nesse sentido, praticar a segurança da informação significa implementar mecanismos e ferramentas que se fundamentam nos seguintes princípios:

  • Confidencialidade: garante que apenas pessoas autorizadas tenham acesso à informação.
  • Autenticidade: permite que os dados originados de determinada fonte anunciada não sofram mutações ao longo de um processo.
  • Integridade: preserva as características originais da informação e dos métodos de processamento.
  • Conformidade: tem como objetivo garantir que o sistema siga os regulamentos, leis e normas desse tipo de processo.
  • Disponibilidade: permite que os usuários autorizados pelo proprietário da informação possam acessá-la sempre que necessário.
  • Irretratabilidade: impossibilita a negação da autoria de uma transação feita anteriormente.

Camadas de segurança

A gestão da segurança da informação pode ser dividida em três camadas para garantir que todos os seus dados sejam salvos com o máximo de segurança. São elas:

  • Hardware: refere-se ao ambiente físico em que computadores, servidores, meios de comunicação, etc. estão instalados; também é onde as informações são geradas, atualizadas e armazenadas.
    • É necessária uma estrutura que ofereça proteção contra ameaças de diversas naturezas, como incêndios, desabamentos, relâmpagos, alagamentos ou qualquer desastre que afete o espaço. Também deve-se considerar a proteção do local contra usuários não autorizados.
  • Softwares: é a parte virtual, deve ser a principal barreira contra os ataques. Eles são responsáveis por todo o funcionamento dos hardwares, pelas movimentações dos dados da organização e pela criptografia das senhas e mensagens. Desse modo, se você mantiver os sistemas sempre atualizados e fazer backups periódicos, é possível conservar sua empresa segura e livre de ataques cibernéticos e erros intencionais.
    • Os antivírus, firewalls e o proxy compõem a segurança.
  • Humana: está relacionada aos colaboradores, principalmente aos responsáveis pela área de TI. São as pessoas que irão criar, manipular e extrair os dados.
    • Essa é uma das camadas mais complexas para se gerenciar, pois está muito ligada à forma como os funcionários lidam com os incidentes de segurança, como um ataque cibernético ou a manipulação psicológica para que realizem ações ou divulguem informações confidenciais. É necessário instruir e treinar muito bem cada membro da sua equipe para que saibam lidar com qualquer eventualidade ou abordagem indevida.

Por que investir em segurança da informação?

Como falado anteriormente, diversos são os riscos que uma empresa desprotegida corre. Reunimos aqui os problemas mais frequentes e mais graves que uma empresa pode enfrentar ao sofrer um ataque virtual. Entenda:

  • Perda de confidencialidade: há uma quebra de sigilo de uma determinada informação, como a senha de um usuário ou administrador de sistema, por exemplo, permitindo que sejam expostas informações restritas. Isto pode resultar no roubo de dados sigilosos, sejam da empresa ou dos clientes. Uma vez que alguém mal-intencionado tenha acesso a dados financeiros da empresa, por exemplo, esta pessoa pode executar transferências e pagamentos em nome da instituição, causando prejuízo financeiro.
  • Perda de integridade: determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.
  • Indisponibilidade de serviço: a informação deixa de estar acessível para quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado ao equipamento. Tal situação é muito comum em casos de ataques de ransomware e DDoS. Com isso, a empresa se torna temporariamente incapaz de atender aos seus consumidores, gerando transtornos aos mesmos e perda de lucros.
  • Ataques de phishing: um criminoso simula ser outra pessoa ou empresa afim de captar dados pessoais de pessoas. Uma vez em posse desses dados, ele pode fazer pagamentos e transferências não autorizadas em nome da vítima. Nos casos de empresas, e-mails falsos bem elaborados podem convencer um funcionário a fazer pagamentos indevidos de boletos direcionados à empresa ou digitar informações confidenciais da empresa em sites falsos, como conta e senha de bancos, por exemplo.
  • Conformidade: a LGPD entrará em vigor dentro de aproximadamente um ano, isso significa que até lá, todas as empresas que trabalham com processamento de dados pessoais de indivíduos brasileiros precisarão ter tomado medidas que garantam a proteção dos mesmos para manterem a conformidade com a lei. Caso contrário, a empresa estará sujeita à multas e sanções severas, e em caso da perda, roubo ou exposição indevida desses dados, a multa pode chegar a até 2% de sua receita total no Brasil no ano anterior à multa ou até R$50.000.000,00, o que for maior.
  • Credibilidade: a empresa perde, também, confiança pública, ou seja, a credibilidade, que talvez possa ser a mais grave das perdas. Uma vez que seus clientes não se sentem mais seguros em confiar seus dados a tal empresa, estes tendem a procurar outras companhias que forneçam o mesmo serviço, mas com a segurança devida.

Como melhorar a segurança da sua empresa?

Para ajudá-lo a manter a conformidade e a segurança cibernética adequadas para a sua empresa, listamos alguns itens que farão a diferença na qualidade da proteção de dados armazenados:

  • Conheça seus ativos: O primeiro passo para gerenciar a segurança da informação de forma eficaz é conhecer seus ativos (computadores, servidores, aplicações, documentos, outros elementos de rede, etc.) e as vulnerabilidades de cada ativo para que seja possível entender os riscos associados às atividades e criar um plano para mitigá-los.
  • Estabeleça políticas de segurança: crie um conjunto formal de regras que devem ser seguidas pelos funcionários. As políticas de segurança devem ter implementação realista e definir claramente as áreas de responsabilidade de cada funcionário, da gestão de sistemas e redes e da diretoria da empresa. Deve também adaptar-se às possíveis alterações na organização.
  • Conscientize e eduque os funcionários: Algumas questões elaboradas nas políticas de segurança podem não ser tão claras para os colaboradores, principalmente por envolverem questões específicas da área de tecnologia. Para evitar confusões, dúvidas e ações errôneas, é imprescindível realizar treinamento com todos os envolvidos, a fim de normatizar as condutas de todos, bem como ensinar medidas básicas de segurança e conscientizar cada um sobre a importância delas.
  • Mantenha seus sistemas atualizados: As empresas fornecedoras estão sempre lançando novas atualizações, corrigindo falhas que permitem o acesso de invasores e tornando os sistemas mais seguros. Porém, não adianta este trabalho se os gestores de TI não atualizarem os sistemas regularmente. Desta forma, as brechas permanecem e os cibercriminosos continuam tendo seus mecanismos de ação facilitados.
  • Faça backup regularmente: Existe uma regra de backup chamada 3-2-1, que consiste em três cópias independentes de seus dados, de preferência duas em locais externos. Com isso, havendo a necessidade, as empresas podem recuperar-se facilmente em caso sofra alguma perda de dados.
  • Invista em softwares externos especializados em segurança da informação: Não hesite em procurar meios externos de garantir a segurança de sua empresa. Existem diversos recursos especializados nessa área no mercado, como antivírus, firewalls, criptografia de dados, entre outros. Para tal, indicamos o GFI Unlimited.

GFI Unlimited

O GFI Unlimited é um plano da GFI Software, que oferece aos clientes uma biblioteca de aplicativos adequados para pequenas e médias empresas e que pode ser utilizada ao fazer uma única assinatura anual com valor muito em conta. O GFI Unlimited hoje inclui 10 soluções de informática, dentre as quais podemos citar o Kerio Connect, Kerio Control, GFI LanGuard, GFI MailEssentials e outros.

Para conhecer melhor os softwares, acesse nossa página e saiba como o GFI Unlimited pode ajudar a sua empresa.

1: https://www1.folha.uol.com.br/mpme/2019/01/pequenos-negocios-sao-os-que-mais-sofrem-com-hackers-saiba-como-se-proteger.shtml