ABC da Segurança da Informação para PMEs        A Segurança da Informação é um tema que preocupa as organizações ao redor do mundo de forma tão intensa que já se tornou uma das prioridades de muitos Chief Information Officers.

        Em poucas palavras, a Segurança da Informação reúne todas as iniciativas voltadas para a preservação de um conjunto de dados de propriedade de empresas ou indivíduos, evitando seu uso ou conhecimento por pessoas não autorizadas.

        Ainda que muitos proprietários de pequenas e médias empresas (PMEs) acreditem que a Segurança da Informação seja uma preocupação restrita às grandes organizações, ela pode estar muito mais próxima do dia a dia do que parece.

        O prejuízo trazido por uma vulnerabilidade ou ameaça pode ser difícil de mensurar antes que o problema se manifeste. No entanto, até mesmo as menores brechas podem trazer perdas substanciais de faturamento e, nas piores hipóteses, danos irreparáveis à imagem e reputação de uma empresa.

        De acordo com o Relatório de Segurança na Web divulgado pela empresa White Hat Security, mais de 80% dos websites pesquisados no ano de 2012 apresentaram ao menos uma vulnerabilidade grave. Mesmo que um website inseguro seja somente uma das várias vias de acesso a informações reservadas, esse dado alarmante ajuda a entender como o tema deve entrar para a lista de prioridades dos empreendedores nas PMEs.        As iniciativas relacionadas à Segurança da Informação são muitas e, por isso, são padronizadas por uma norma internacional, a ISO 27002. E se as preocupações são muitas, também são complexas: ao entrar a fundo nas vulnerabilidades dos sistemas e nas possíveis soluções, muitos empresários podem se sentir perdidos em meio a tantos termos técnicos.        Por isso, chegou a hora de arregaçar as mangas, colocar a mão na massa e descobrir nesse e-book as informações essenciais sobre Segurança da Informação, que podem ter grande impacto sobre os negócios da sua empresa. Boa leitura!

Conceitos e atributos básicos

        Qualquer empresa interessada em preservar intacto um conjunto de informações que armazena, precisa compreender os aspectos básicos da Segurança da Informação para que possa tomar medidas eficazes nesse sentido.

        Os principais atributos da Segurança da Informação são conhecidos na academia e no mercado como a tríade ‘CIA’. Em inglês, a sigla corresponde a Confidentiality, Integrity and Availability — quando trazidos para o português, os termos significam Confidencialidade, Integridade e Disponibilidade.

        Saiba o que cada um deles representa para a Segurança da Informação:

Confidencialidade

        Embora algumas pessoas relacionem o termo com segredo ou inacessibilidade, a Confidencialidade diz respeito à restrição de uma informação ser acessada somente por usuários legítimos, ou seja, devidamente autorizados pelo proprietário dos dados.

        Os clientes de uma empresa, por exemplo, podem ter acesso a informações confidenciais de um fornecedor, desde que estejam devidamente autorizados e cientes de sua responsabilidade.

Integridade

        Diz respeito à capacidade de uma organização manter suas informações armazenadas de forma integral, ou seja, conservando todos os aspectos originais que o proprietário estabeleceu ao criá-las ou capturá-las.

        Na integridade também entram os conceitos de controle de alteração das informações, assim como a manutenção do seu ciclo de vida (que vai desde a criação/captura, passando por sua manutenção até o descarte/destruição).

Disponibilidade

        Ainda que as empresas precisem desenvolver políticas, ferramentas e processos para proteger suas informações, elas também precisam torná-las disponíveis para quem precisa acessá-las. Esse é o conceito de disponibilidade: permitir que os usuários legítimos possam consultar ou utilizar uma informação de acordo com seu perfil de acesso.

        Fica claro, então, que a tríade ‘CIA’ serve como um norte para os gestores e equipes nos momentos de análise, planejamento e implementação da Segurança da Informação em uma empresa. Mas, como garantir que esses princípios sejam respeitados? Descubra no próximo capítulo!

Mecanismos de segurança  

        As organizações que querem ter um controle total sobre os dados e informações que armazenam devem ter uma preocupação permanente com normas, procedimentos, controles de acesso, conscientização dos usuários, permissões, e outros fatores.

        No caso das PMEs, que muitas vezes trabalham com equipes e estruturas enxutas, um dos aspectos prioritários a serem conhecidos e levados em conta por seus proprietários são os mecanismos de segurança, que estão divididos nas categorias físicos e lógicos.

Mecanismos físicos     

        Ainda que muitas pessoas pareçam ignorar totalmente a questão, qualquer sistema informatizado funciona somente com a existência de máquinas e equipamentos que estão na própria empresa ou nos prestadores de serviços de tecnologia da informação. Afinal, todos os computadores, servidores, hubs, cabos e outros equipamentos de informática precisam ter proteções físicas para impedir que pessoas não autorizadas consigam acessá-los.

        As estações de trabalho dos próprios funcionários também precisam ser protegidas por mecanismos físicos, pois o acesso liberado a um escritório de uma empresa do século XXI pode permitir centenas de ações criminosas por pessoas ou organizações mal-intencionadas.

        Por isso, as empresas fazem uso de mecanismos de segurança físicos como portas, paredes, blindagem, seguranças armados ou desarmados, alarmes eletrônicos, entre outros. E, quando aliadas a outras soluções, as câmeras também

servem para aumentar o nível de segurança do local onde as organizações mantêm sua estrutura de hardware e software.

Mecanismos lógicos

        Ainda que os mecanismos de segurança físicos sejam indispensáveis, os lógicos jamais podem ser subestimados ou ignorados, pois são eles que preservam a informação dentro do próprio sistema, onde grande parte dos ataques costuma ocorrer.

        Assim como no mundo físico, os mecanismos lógicos tentam impedir o acesso de usuários não autorizados no ambiente. E, para colocá-los em funcionamento, os empreendedores podem adotar uma série de recursos oferecidos no mercado. Entre eles estão a criptografia, a assinatura digital, o uso de login e senha individuais, sistemas biométricos, firewalls, antivírus, antispam, entre outros.

        Ao adotar esse tipo de solução, as empresas aumentam a capacidade de se protegerem das principais ameaças existentes no mundo virtual. Ameaças estas que você conhecerá agora, no terceiro e último capítulo do nosso e-book.

Ameaças à segurança

        Bem, no início de nosso livro digital tratamos da tríade de Confidencialidade, Integridade e Disponibilidade, a CIA. E a melhor forma de conhecer as ameaças à segurança e seus possíveis impactos sobre uma empresa é saber que elas são qualquer tipo de iniciativa que faça um conjunto de informações perder uma das qualidades dessa tríade.

        A principal entrada para as ameaças são as vulnerabilidades nos sistemas, que, nos dias de hoje, infelizmente ainda são muitas. No entanto, aqui é importante ressaltar que essas ameaças podem ser intencionais ou não: até mesmo funcionários exemplares e bem-intencionados podem representar algum tipo de risco para a Segurança da Informação, pois, independentemente da finalidade da ação ser positiva ou não, ela pode trazer grandes danos para a empresa. Por isso, é importante que você conheça algumas das principais ameaças à Segurança da Informação nas PMEs:

Uso da internet

        Ao clicar em links suspeitos, tanto ao acessar websites quanto ao abrir e-mails indevidos, os usuários não imaginam o risco que estão colocando a sua máquina e até mesmo sistemas inteiros da empresa.

Quando o funcionário age assim, um software malicioso (também chamado de malware) pode ser instalado diretamente no disco rígido do computador, trazendo centenas de riscos para seus usuários.

Alguns dos malwares mais comuns na web são:

● Trojans: também conhecidos como Cavalos de Troia, os trojans são programas maliciosos que enganam os usuários se disfarçando como softwares legítimos (como um cartão de fim de ano ou uma apresentação de PowerPoint), abrindo a porta para que diversas ações criminosas sejam realizadas dali em diante;

● Spywares: esse malware representa um grande perigo para empresas, pois, após serem instalados, são capazes de dar ao sujeito mal-intencionado a capacidade de monitorar todas as atividades realizadas pelos funcionários;

● Bots: os bots utilizam brechas de sistemas na web e se propagam, permitindo a comunicação do computador invadido com o usuário invasor para diversas finalidades, principalmente atacar outros computadores e rede utilizando as máquinas da sua empresa. Isto é grave até para a sua reputação, além de deixar toda a rede e links de internet sobrecarregados.

Ataques externos

        A maioria dos sites é desenvolvida de forma pouco segura, deixando brechas para que hackers façam tentativas de invasões com ferramentas automatizadas, capazes de explorar as falhas mais comuns na web.

        Um simples atraso de um mês para fazer a atualização do sistema operacional em uma máquina já pode dar espaço para esse tipo de ameaça, o que a torna uma das mais preocupantes para qualquer empresa.

Falta de organização

        As PMEs costumam passar por períodos de crescimento acelerado. Quando isso acontece, não é raro que continuem entregando produtos e serviços com qualidade, mas, em contrapartida, acabam deixando para trás algumas práticas fundamentais de segurança da informação.

        Por isso, outra grande ameaça para essas empresas é a inexistência de Planos de Contingência para situações relacionadas à Segurança da Informação, pois esta é capaz de frear muitos riscos por meio de ações simples e eficazes.

Abuso em redes públicas

        À medida que as novas tecnologias se tornam mais acessíveis, é cada vez mais comum as PMEs contarem com funcionários que trabalham quando estão em trânsito. Isso também representa uma grande ameaça: as redes wi-fi e hotspots públicos são um prato cheio para a invasão hacker. Em alguns locais, esses usuários mal-intencionados podem oferecer redes gratuitas para conseguir ter acesso a informações confidenciais das pessoas interessadas na conexão.

        Além disso, sabemos que, para conseguir ter acesso à web em notebooks e smartphones, as pessoas estão frequentemente dispostas a fazer vista grossa para alertas e configurações de segurança nativos desses dispositivos, colocando os dados em risco.

Dados perdidos

        Esquecer objetos importantes é um problema comum em tempos acelerados como esses em que vivemos. Quando um funcionário esquece um pendrive ou outro dispositivo móvel em um hotel, restaurante ou carro, a empresa fica vulnerável a várias ameaças.

        Atualmente já existem até mesmo alguns dispositivos que podem ser usados com dados criptografados, evitando que as pessoas que os encontrem tenham acesso a informações de forma indevida.

Compartilhamento

O amplo uso da web também difundiu ferramentas online como o Dropbox e o Sendspace, que ajudam a compartilhar arquivos e informações para a realização de trabalhos em colaboração.

No entanto, ao serem utilizados sem uma política clara da empresa referente à Segurança da Informação, os dados compartilhados podem cair facilmente nas mãos de usuários mal-intencionados, sem que eles precisem fazer qualquer esforço para isso.

Configuração inadequada

A sua PME possui um ‘entendido’ de TI que costuma resolver qualquer tipo de problema? Não se assuste se um dia você identificar ameaças que podem ter sido causadas por um funcionário com esse perfil, mesmo que bem-intencionado: a configuração inadequada de hardwares e softwares, especialmente na montagem de redes, pode trazer grandes ameaças para as informações armazenadas nos sistemas.

Ataques internos

Além de todas essas ameaças que abordamos até aqui, os empresários ainda possuem outra grande preocupação quando o assunto é Segurança da Informação.

Os próprios funcionários da empresa também podem usar suas credenciais para realizar ações indevidas. Por isso, é fundamental contar com políticas e ferramentas para criação e atualização de senhas, além do uso de boas práticas, como o duplo controle (quando mais de um funcionário é capaz de acessar um determinado sistema com perfil de administrador).

Nesse momento, é fundamental ressaltar que essas são apenas 8 das principais ameaças que as empresas podem encontrar quando estão presentes na internet. Por isso, é fundamental que as PMEs desenvolvam não somente políticas, ferramentas e boas práticas para proteger seus dados, mas também programas de conscientização para que seus funcionários compreendam a delicadeza do tema e a importância de sua adesão para evitar problemas mais graves ao negócio.

Conclusão

A Segurança da Informação é um tema que vem ganhando importância crescente à medida que o uso da internet se torna uma rotina na vida das pessoas. Quando pensamos que os hackers já possuem sistemas que encontram vulnerabilidades de forma automatizada ou até mesmo testam todas as variações possíveis de senhas para violar logins, a sensação de insegurança chega a ser quase palpável.

Mas a boa notícia para os empreendedores é que o desenvolvimento de algumas ações voltadas para a Segurança da Informação, ainda que simples e objetivas, já é um bom começo no desafio de proteger todos os dados que tornam sua PME única no mercado. Afinal, somente assim ela será capaz de competir em nível de igualdade e conquistar confiança e credibilidade junto a seus clientes.

Os empresários de sucesso sabem que devem levar esse assunto a sério e, por isso, não devem pensar duas vezes na hora de investir para implementar mecanismos de segurança. Fazendo isso, em pouco tempo será possível perceber como a tranquilidade trazida por soluções de segurança não tem preço quando comparada aos prejuízos irreparáveis que as ameaças virtuais podem trazer para as PMEs.

Sobre a Beytech

A Beytech é uma empresa de tecnologia que se dedica a levar às pequenas e médias empresas o melhor da Tecnologia da Informação e Comunicação. Nossa visão é ajudar as PMEs a competirem no mercado de igual para igual com seus concorrentes maiores, proporcionando ferramentas de TI de nível de excelência com custos que

cabem no bolso do empresário. Para isto, são estabelecidas parcerias com os melhores fabricantes de hardware e software, adicionado ao poder da computação em nuvem e da oferta de serviços gerenciados, que são um tempero especial para tornar a tecnologia palatável à empresas de qualquer porte.