Problemas como fraudes, invasões, roubo de informação e ataques virtuais a servidores desprotegidos são alguns exemplos de desafios enfrentados nas empresas. De acordo com dados da pesquisa global de segurança promovida pela PwC em 2016, o número de ataques virtuais no Brasil aumentou cerca de 274%; a título de comparação, em nível global o aumento foi de apenas 38%.
Não há fórmulas simples para resolver problemas dessa natureza. Porém, algumas diretrizes básicas podem ser levadas em conta quando a internet é utilizada para a condução dos negócios. Uma política de segurança da informação pode preservar as partes envolvidas, além de antecipar soluções para problemas.
Como, então, estruturar uma política de segurança da informação? O primeiro passo é refletir sobre como a empresa enxerga e trata do assunto. Veja dez dicas que podem contribuir neste processo:
- Tipos de informações gerenciadas pela empresa: se são públicas, privadas, confidenciais e como é feito o seu armazenamento. É preciso definir, ainda, as pessoas que podem acessá-las;
- Riscos em potencial da exposição dos dados: para cada tipo de informação, identifique os riscos envolvidos em caso de vazamento e como podem ser roubadas ou vazadas. Este ponto será fundamental para definir o que deve ser protegido e o nível de proteção aplicado;
- Ativos tecnológicos mais importantes: faça uma lista com os softwares, banco de dados e outras soluções importantes para o negócio. Esta atividade facilita o desenvolvimento de estratégias de uso e defesa para cada um deles;
- Internet como ferramenta de trabalho: descrever como a internet deve ser utilizada pelos colaboradores e setores, o que é permitido e proibido/limitado, mesmo quando já são usadas ferramentas para controle dos acessos. No caso das redes sem fio para visitantes e colaboradores, pensar nos critérios de uso e quais as regras aplicáveis, diferenciando o uso público (fornecedores, clientes, dispositivos pessoas de colaboradores) do corporativo;
- Dispositivos móveis e removíveis: se o uso de dispositivos pessoais (smartphones, notebooks, tablets, pendrives, etc.) forem permitidos, especialmente nos casos em que estes estão conectados à rede corporativa, é aconselhado o estabelecimento de regras para o acesso na empresa, incluindo aplicação de soluções para controle dos mesmos;
- Serviço de e-mail e comunicadores instantâneos: indicar as boas práticas para o uso do e-mail corporativo, os tipos de arquivos que podem ser anexados e quais os conteúdos tratados, incluindo comunicadores instantâneos;
- Impressoras, copiadoras, servidores de arquivos e similares: quem pode ou não ter acesso aos equipamentos. No caso da estrutura digital, centralize os arquivos em um único local, com cópias, auditoria e outras facilidades de segurança;
- Acesso remoto à empresa para colaboradores externos: a medida vale para usuários em trânsito ou home office. Que tipo e limitações de acesso podem ser concedidas?
- Instalação e uso de softwares: preze pelo uso de softwares originais, pela potencial redução de riscos de vírus e derivados. Pensar, ainda, como será o controle de quem pode instalar ou utilizar estes aplicativos?
- Resposta e tratamento de incidentes de segurança: em caso de ataques virtuais, é preciso ter um passo a passo detalhado e padronizado respeitando as boas práticas. Evite tomar decisões por impulso.
Uma das regras principais é não usar recursos que você não consiga gerenciar e controlar. Por fim, em conjunto com o setor de recursos humanos, pensar em uma estratégia de divulgação adequada para os usuários, a fim de implementar ou relembrar a política de segurança da informação adotada na empresa. A importância da segurança virtual deve fazer parte da cultura do negócio, sendo atualizada e praticada de forma constante.
Cassio Brodbeck, CEO da OSTEC Business Security.
