Softwares piratas na empresa? Cuidado!

É comum noticiarmos em nosso blog um golpe por malware. Porém, não se engane em pensar que isso acontece apenas em grandes empresas. Usuários comuns têm se tornado alvo dos hackers pela facilidade de infiltração.

Uma das formas mais comuns, é por meio de softwares piratas, afinal, é tentador ver um software que pode ajudar nos processos da empresa, e estão disponíveis de forma “gratuita”.

Porém, trazem consigo diversos problemas de segurança de dados, afinal, são versões modificadas do original, onde foram retiradas principalmente funcionalidades de segurança e verificação de originalidade.

A seguir, você verá os motivos pelos quais você deve ter cuidado com o uso de softwares piratas na sua empresa.

Fontes duvidosas

softwares piratas

Os famosos softwares “crackeados” não são distribuídos em sites oficiais, como você já deve imaginar. Para que o usuário faça o download, deve procurar sites alternativos, que normalmente envolvem plataformas de torrent ou sites de download de ferramentas, repletos de softwares deste tipo.

Em alguns casos, existem portais abertos para publicação por qualquer usuário, onde o arquivo pode carregar qualquer tipo de conteúdo, nocivo inclusive.

Nestas páginas existe normalmente uma quantidade enorme de pop-ups de propaganda de forma sequencial. Em alguns casos existe a obrigatoriedade de click para fazer o download.

Além disso, muitas destas páginas abertas podem iniciar downloads automaticamente, novamente entregando possíveis soluções maliciosas diretamente para o computador do usuário. Estes executáveis podem ser de diversos tipos, com sistemas sob controle de hackers como mineradores de criptomoedas, registro de dados digitados ou roubo de informações da empresa, como dados bancários.

Antivírus desligado

antivirus

Outro grande risco aparece no momento do download. Os softwares piratas normalmente acompanham uma ferramenta para burlar o sistema de ativação original do produto. Assim, o seu sistema operacional acredita estar instalando uma versão oficial.

Entretanto, aí se escondem grandes perigos. A grande maioria deles são detectados como maliciosos por softwares de segurança antes mesmo da execução, assim que é feito o download. Por esse motivo, acabam exigindo que o antivírus e outros sistemas de proteção sejam desligados para que o processo de “crackear” o software aconteça. Expondo o usuário a riscos adicionais que também podem fazer parte do download pirata.

Como citado anteriormente, o programa pirata pode trazer junto malwares que usam a máquina do usuário para minerar criptomoedas ou instalar aplicativos de roubo de dados, conhecido como ransomware. Como os softwares são distribuídos livremente e passam por diversas mãos até chegar à sua, não há uma garantia de que não exista nada além do software embutido ali.

Atualizações

atualizações

As atualizações disponibilizadas pelas empresas de software não são apenas formas de introduzir novos recursos ou resolver erros, mas servem também para corrigir falhas de segurança.

Programas piratas não recebem atualizações deste tipo, permanecendo com sistemas de segurança antigos e desatualizados, colocando os usuários em risco.

A grande maioria dos softwares originais, se conectam à internet para receber tais atualizações, que são liberadas de acordo com a validação de credenciais de assinantes legítimos. Já as versões pirateadas não realizam esse tipo de conexão, já que elas iriam descobrir o estado crackeado do software e bloqueariam sua execução.

Mal funcionamento

softwares piratas

As ferramentas que burlam a verificação de legitimidade do software, funcionam enganando o sistema operacional. Atualizações do Windows, por exemplo, podem “quebrar” alguns recursos ou impossibilitar a utilização de outros.

Imagine utilizar um software pirata em sua empresa, e alguns meses depois do início do uso, com diversas informações, e alguns processos produtivos da empresa dependerem de tal software, ele parar por completo, após uma atualização do sistema operacional. Vai ser uma dor de cabeça.

Você não paga, mas não é como esse software realmente saísse de graça. De alguma forma você acaba “pagando” por isso.

Questões legais

softwares piratas

Além dos riscos de segurança e confiabilidade que acabei de escrever, em ambientes corporativos, há questões de privacidade de dados de clientes e integridade de dados confidenciais. O uso destes programas podem levar a questões legais devido à não aquisição de licenças para uso profissional.

A ideia de obter de graça os aplicativos necessários para o cotidiano do trabalho pode parecer tentadora e capaz de reduzir custos. Na prática, as perdas podem ser bem maiores, com multas, que no Brasil, podem ser de até três mil vezes o valor da aquisição do software. O valor é calculado de acordo com o tamanho da companhia e o número de versões irregulares utilizadas.

Isso vale para instalações feitas pelos próprios funcionários sem o consentimento de superiores inclusive. Falaremos mais sobre o tema a seguir.

“Liberdade” dos funcionários

softwares piratas

Em grande parte das empresas, funcionários instalam softwares piratas sem consentimento de seus superiores. Em muitos casos pela falta de preocupação dos gestores, ou pela necessidade e agilidade do próprio funcionário realizar esta tarefa.

Porém, como falamos acima, mesmo sendo instalado pelo funcionário sem a autorização de seus superiores também pode gerar problemas legais em relação ao uso não autorizado do software na empresa.

Além disso, usuários despreocupados e com falta de conhecimento, podem fazer o download de fontes nocivas contendo todos os malwares que falamos anteriormente.

Conscientizar os colaboradores sobre a existência de problemas relacionados a instalação de softwares piratas, e também sobre a segurança de dados da empresa é algo a ser considerado, independente do porte empresarial. Porém, apenas treinamentos não garantem o correto comportamento do colaborador.

Uma boa forma de resolver problemas assim, é utilizar sistemas de controle de acesso à internet, bloqueando acessos a sites considerados nocivos, com baixa reputação e instalações de softwares desse tipo.

Software original é caro?

softwares piratas

Depende do ponto de vista e da necessidade da empresa. Em casos de uso do software esporadicamente, talvez o custo realmente se torne caro. Porém, se sua empresa necessita diariamente do software, considerar a aquisição da licença original pode se tornar relevante em questões financeiras. Além disso, o funcionamento dos programas originais normalmente são muito superiores aos pirateados, e também, evita-se todos os problemas de segurança e produtividade citados aqui no artigo.

Espero ter ajudado você e sua empresa a entender sobre os perigos dos softwares piratas e manter seus dados e processos seguros e produtivos.

Até a próxima!

LGPD: a minha empresa precisa se preocupar?

Empresários do ramo da tecnologia já estão familiarizados com temas relacionados à privacidade dos usuários.

Isso ocorre porque a utilização de dados de usuários e clientes na internet gera debates acalorados no universo tecnológico.

Para muitos, os limites ainda não estão bem definidos.

Com a introdução da Lei Geral de Proteção de Dados Pessoais (LGPD), o cenário muda.

Não há mais espaço para a incerteza.

Empresas que possuem bancos de clientes e usuários necessitam entender sobre o que se trata a lei, a fim de não entrarem na ilegalidade!

Se você é um empresário que atua no ramo tecnológico ou que não sabe ao certo sobre o que versa a lei, fique ligado na sequência.

A privacidade na mira dos europeus

Recentemente, o uso indevido de dados pessoais em diversos vazamentos – inclusive, com influência nas eleições americanas de 2016 – motivou o parlamento da União Europeia a desenvolver uma legislação específica sobre o tema.

Assim, em 2018, foi criado o GDPR – General Data Protection Regulation ou Regulamento Geral sobre a Proteção de Dados.

O regulamento disciplina a maneira como dados provenientes dos residentes na União Europeia devem ser processados e influencia empresas em todo o mundo, já que a internet permite que cidadãos europeus entrem em contato com sites estrangeiros e vice-versa.

Em suma, a lei europeia protege os cidadãos do uso indevido e da comercialização das suas informações pessoais.

É importante frisar que a LGPD brasileira foi fortemente influenciada pelo regulamento colocado em vigor no velho mundo.

Mas, afinal, o que diz a Lei Geral de Proteção de Dados Pessoais?

A Lei Geral de Proteção de Dados

A Lei 13.709/2018, mais conhecida como a Lei Geral de Proteção de Dados, foi criada no contexto global da discussão sobre a privacidade e visa proteger clientes, usuários e consumidores da má utilização dos seus dados pessoais por empresas.

Apesar de aprovada em 2018, a lei deu prazo de dois anos para as adequações.

O prazo de início da vigência da Lei Geral de Proteção de Dados (LGPD) foi adiado para 1º de janeiro de 2021 devido a pandemia.

Antes de mais nada, é importante sublinhar que a lei brasileira disciplina toda e qualquer informação sensível de clientes, seja ela guardada em meio físico ou digital.

Deste modo, todas as empresas devem se adequar à legislação, incluindo aquelas que não são do ramo da tecnologia da informação!

Os principais fundamentos da LGPD se dão da seguinte maneira:

  • Respeito à privacidade

  • Autodeterminação informativa

  • Inviolabilidade da intimidade […]

  • Livre iniciativa, a livre concorrência e a defesa do consumidor e

  • Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Como se depreende da leitura, o principal foco da lei é proteger os cidadãos.

Exatamente por conta do foco legal, é necessário que as empresas entendam a LGPD.

O não cumprimento das suas regras acarreta em punições severas, como será visto adiante.

Com todos os fatores em consideração, quem são os principais afetados pela Lei Geral de Proteção de Dados Pessoais?

Os sujeitos da Lei Geral

A LGPD elenca quatro sujeitos nas operações de processamento de dados sensíveis:

  • Titular é a pessoa cujos dados se pretende proteger
  • Controlador é a pessoa natural ou jurídica, de direito público ou privado, que decide o que será feito com os dados pessoais
  • Operador é a pessoa natural ou jurídica, de direito público ou privado indicada pelo controlador que efetivamente realiza o processamento dos dados pessoais
  • Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre todas as partes, incluindo a autoridade reguladora e fiscalizadora.

Caso a sua empresa possua um banco de dados pessoais dos clientes, ela certamente se encaixa em uma ou mais das hipóteses acima e poderá ser responsabilizada por infringir a Lei.

Outro ponto importante é que as pessoas físicas também são atingidas pelo rigor legal, caso possuam informações pessoais acerca dos seus clientes.

É difícil imaginar, portanto, uma empresa que não esteja sob o escrutínio da nova legislação.

Mas, afinal, do que trata a Lei Geral de Proteção de Dados Pessoais?

Principais pontos da LGPD

A Lei Geral de Proteção de Dados Pessoais possui princípios que são de importante conhecimento das empresas:

Finalidade

Os dados pessoais devem ser utilizados com a finalidade a que foram destinados e informados ao titular. Qualquer desvio nesta utilização, incluindo a comercialização por terceiros, é um desrespeito flagrante à LGPD.

Adequação 

Além de respeitar a finalidade para a qual se destinam os dados, a empresa deve garantir que o uso seja adequado ao contexto, ou seja: que o processamento dos dados seja contextualizado e faça sentido com o seu propósito inicial.

Necessidade

A lei prevê a limitação do tratamento dos dados ao mínimo necessário para a realização de suas finalidades.

Livre acesso

Os titulares devem ter a garantia de consulta facilitada e gratuita sobre a forma e a duração do tratamento das informações, bem como sobre a integralidade de seus dados pessoais.

Qualidade dos dados

Os dados pessoais deverão ser exatos, claros, relevantes e atualizados em relação à finalidade para a qual foram coletados.

Transparência

O conteúdo dos dados guardados deve ser transparente, ou seja, o titular deve ter fácil acesso as suas informações.

Segurança

A empresa deve proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção

O responsável pelo tratamento dos dados deve adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Não discriminação

Os dados não podem ser utilizados para fins discriminatórios ilícitos ou abusivos.

Responsabilização e prestação de contas

O agente deve adotar medidas eficazes e capazes de comprovar a observância e o cumprimento das normas.

O que ocorre caso a empresa infrinja a lei? Vejamos a seguir.

O que ocorre se a empresa desrespeitar a Lei

A Lei prevê sanções graves em caso do seu descumprimento:

  • Advertência, com indicação de prazo para adoção de medidas corretivas
  • Multa simples, de até 2% (dois por cento) do faturamento limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração
  • Multa diária por descumprimento
  • Publicização da infração
  • Bloqueio dos dados pessoais até a regularização
  • Eliminação dos dados pessoais a que se refere a infração
  • Suspensão parcial do funcionamento do banco de dados pelo período máximo de 6 (seis) meses, prorrogável por igual período
  • Suspensão do exercício da atividade de tratamento dos dados pessoais pelo período máximo de 6 (seis) meses, prorrogável por igual período
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados

A Lei Geral de Proteção de Dados Pessoais é extremamente rigorosa, o que nos faz voltar à pergunta do início:

Afinal, minha empresa deve se preocupar com a LGPD?

Sim!

Atualmente, praticamente todas as empresas possuem bancos de dados sobre os seus clientes e, portanto, são afetadas pela LGPD.

Quem não se adequar está sujeito ao rigor da lei, que pode significar desde uma multa milionária até a proibição de exercer as atividades, dependendo do caso e do setor.

Não se engane sobre a possível falta de fiscalização.

A tendência é o aumento contínuo da proteção do direito à privacidade dos consumidores.

Não espere até receber uma notificação legal ou uma multa!

A equipe da Lumiun Tecnologia possui profissionais especializados no assunto.


Continue informado sobre o assunto

Veja nosso outro artigo com 14 dicas para ficar em conformidade com a LGPD.

Se você tem interesse em saber mais sobre este e outros assuntos do universo tecnológico, assine nossa newsletter Semana da Segurança da Informação para receber semanalmente um conteúdo seletivo sobre o assunto.

Continue visitando também o nosso blog. São diversos artigos relacionados à segurança da informação e produtividade da equipe!

Vantagens da Rede Virtual Privada (VPN) para empresas

É bem provável que você já deve ter ouvido falar ou até utilizado uma rede virtual privada (VPN) para deixar o acesso da internet mais seguro. Mas e na sua empresa, já foi cogitado a utilização dessa tecnologia como uma ferramenta para melhorar a segurança e a mobilidade dos funcionários?

Neste artigo, vamos explicar o que é VPN, como essa tecnologia funciona, alguns exemplos de uso e quais as vantagens e benefícios para o ambiente corporativo das empresas.

O que é VPN?

A sigla VPN significa Virtual Private Network, traduzindo Rede Virtual Privada. É uma tecnologia de rede que utiliza a internet para conectar um grupo de computadores e manter a segurança dos dados que trafegam entre eles.

Em um cenário comum, quando você se conecta na internet e navega pelos sites, faz download de materiais e envia documentos por e-mail, o seu dispositivo é identificado através do número IP, e boa parte de seus dados (excluindo os mais sensíveis) trafegam abertamente podendo ser interceptado pelos provedores ou softwares maliciosos. Com uma rede privada, os dados são criptografados, o usuário se protege e não pode ser facilmente identificado.

Essa tecnologia é usada por pessoas que desejam principalmente garantir privacidade da navegação e acessar conteúdo com restrição no país. Mas, empresas do mundo inteiro estão descobrindo como tirar proveito da VPN para aumentar a segurança dos seus dados e do trabalho remoto.

Como funciona uma VPN?

Semelhante a um firewall que protege as informações no seu computador, a VPN protege os seus dados na internet. As VPNs podem ser usadas tanto para acesso remoto, conectando computador a uma rede, quanto site a site, conectando duas redes.

Navegando na internet sem uma VPN, você se conecta ao servidor do seu ISP (Provedor de Serviços de Internet), que, por sua vez, o conecta ao site de sua escolha. Isso significa que toda a sua atividade de tráfego da internet passa pelo provedor e este pode aplicar ou não o monitoramento de suas ações. Porém, quando você navega através de uma VPN, o seu tráfego utiliza um “túnel” criptografado. Isso significa que ele não está acessível para ninguém, além de você e do servidor VPN.

Exemplos de usos da VPN

Por si só, uma VPN apenas ajuda a aumentar a segurança dos dados e acessar recursos numa rede que você não está fisicamente conectado. Porém, vamos listar aqui alguns exemplos de uso de como um usuário normalmente utiliza:

  • Colaborador/funcionário: utiliza a VPN fornecida pela empresa quando está em casa ou viajando para acessar recursos na rede local;
  • Fazer downloads: para evitar que alguma empresa coloque-o na lista negra por estar baixando torrents, esse usuário utiliza VPN para se manter seguro enquanto usa as redes peer to peer;
  • Para manter a privacidade: esse tipo de usuário sempre acha que estão lendo o que ele envia ou recebe. Por isso, para ter uma comunicação segura e criptografada, longe de olhos curiosos, este perfil utiliza conexão VPN;
  • Viajante: serviços como Netflix e Amazon Prime disponibilizam um conteúdo distinto para cada país, de acordo com sua língua e costumes. Por isso, esse usuário viajante possui uma conexão VPN com o país de origem para ter acesso ao seu conteúdo preferido.

Caso você não se identifique com nenhum desses exemplos acima, lembre-se que não é o tipo de perfil do usuário que faz a utilização do VPN ser útil, mas sim suas necessidades. Como exemplo, podemos citar sua participação em um evento ou workshop, onde todas as pessoas utilizam da mesma rede pública para se conectar à internet. Essa é uma situação que consideramos ter um grande risco de interceptação do tráfego. Já imaginou alguém interceptando as senhas do seu e-mail profissional?

Vantagens e benefícios da VPN para empresas

A utilização da VPN em ambiente corporativo está se mostrando uma boa oportunidade para gestores de TI que se preocupam com segurança, produtividade e redução de custos.

Segurança da informação

A principal vantagem para uma empresa que utiliza VPN é com certeza o aumento da segurança da informação quando há necessidade de trafegar dados sigilosos entre filiais ou para os funcionários que trabalham remotamente e necessitam acessar dados na rede local.

Redução de custos

O investimento para disponibilizar uma conexão VPN na sua empresa é muito baixo se considerar custos com danos e perdas que um vazamento de dados sigilosos pode causar. Só para você ter uma ideia, em 2019 o Brasil perdeu mais de R$ 80 bilhões com ataques cibernéticos.

Aumento da produtividade

A tranquilidade para trabalhar sem se preocupar com tantas questões de segurança faz com que os funcionários fiquem focados apenas no que interessa e consequentemente sua produtividade aumente. Por esse motivo a VPN pode ser uma grande aliada em ambientes corporativos.

Mobilidade

Com a VPN uma empresa pode disponibilizar o acesso seguro a recursos da rede interna, como documentos ou softwares, para qualquer funcionário ou cliente de qualquer lugar do mundo. Com esse benefício de mobilidade conseguimos comprovar as vantagens anteriores como segurança, redução de custos com deslocamento e aumento de produtividade.

Powered by Rock Convert

Pra finalizar

Espero que com esse artigo você possa ter compreendido o funcionamento da VPN e como ela pode ser útil para sua empresa. Existe ainda, muitas informações que podem complementar o seu estudo sobre esse assunto. Porém, fica evidente que essa tecnologia se torna cada vez mais necessária em dias atuais onde nos deparamos com problemas de segurança e produtividade.

A questão agora é que existem muitas soluções de VPN para empresas, cada uma com suas características e preços. Você quer saber qual é a ideal para sua? É sobre esse assunto que vou escrever no próximo artigo.

Acompanhe os artigos do blog assinando nossa Newsletter “Semana da Segurança da Informação” onde enviamos semanalmente para seu e-mail links de conteúdo selecionado com notícias, eventos, livros, vídeos e materiais sobre segurança da informação.

Qualquer dúvida faça um comentário abaixo ou envie um e-mail para

A maneira mais fácil e rápida para proteger sua rede

Quando se é um analista ou diretor de TI de uma empresa é importante tomar algumas decisões importantes de controle e segurança da rede. Especialmente quando a internet é a principal ferramenta para a plena operação da empresa. Se não bastasse essa responsabilidade, cresce cada vez mais o volume e a sofisticação dos ataques cibernéticos que visam prejudicar as organizações. Portanto, é relevante que os profissionais da área tenham conhecimento de ferramentas que possam auxiliar no bloqueio desses ataques para evitar perdas de informações, produtividade e dinheiro.

Além disso, o orçamento para investimento em segurança da rede e controle da internet é sempre limitado na maioria das pequenas e médias empresas. Por isso, é necessário estudar todo o cenário da rede, agir rapidamente e encontrar uma solução integrada para aprimorar a segurança digital sem gastar excessivamente e não sobrecarregar a produtividade da equipe.

Uma das partes que mais se tem importância na rede, por ser na maioria das vezes a porta de entrada dos ataques, é a camada DNS. E com uma solução integrada, que utiliza a inteligência dos dados e estuda a reputação de cada site é possível identificar e bloquear antecipadamente sites maliciosos como anonimizadores de acessos, hacking, keylogger, malware, spyware, phishing e fraudes. Dessa forma, uma solução que ajuda proteger a camada DNS da rede de uma empresa se torna a primeira linha de defesa, uma vez que as requisições DNS precedem todas as atividades na internet.

Principais tipos de ataques na camada DNS

Não é somente as empresas que criam as soluções de segurança que são inovadoras. Os criminosos cibernéticos, por necessidade, também inovam agressivamente tentando achar brechas nos produtos e políticas de segurança das organizações.

Mas nos últimos anos, os criminosos se tornaram mais motivados e ambiciosos devido às crescentes recompensas financeiras decorrentes dos ataques com final “feliz”. Como o meio digital é cada vez mais utilizado, gerando muitas informações importantes, os dados dessas empresas se tornam valiosos e o principal alvo desses criminosos. Se esses dados são roubados, podem ser revendidos em campo aberto na internet por um valor muito expressivo. Outro tipo de ataque é o ransomware, cada vez mais comum, que força a organização pagar pelo acesso das próprias informações.

As técnicas mais comuns de ataques DNS fazem com que o usuário tente acessar uma certa página e seja direcionado para um destino incorreto. Essas técnicas são chamadas de envenenamento de cache (DNS Poisoning) e sequestro de servidor (DNS Hijacking).

O ataque DNS Poisoning ocorre quando um criminoso consegue se infiltrar no servidor DNS, com o objetivo de modificar as informações registradas no cache e com isso mudar o número do IP de destino, sem precisar mudar o endereço que o usuário digita no navegador.

Já o ataque DNS Hijacking, o criminoso utiliza um malware com objetivo de sequestrar as requisições de tradução de domínio e redirecionar o tráfego para um servidor DNS malicioso.

A diferença entre as duas técnicas é que o foco do criminoso na primeira (DNS Poisoning) é o servidor DNS e o segundo (DNS Hijacking) é o próprio dispositivo (computador, laptop).

As páginas maliciosas para as quais o usuário pode ser direcionado são, em geral, clonadas (uma técnica de phishing) com o objetivo de disseminar cargas de malware ou aplicações indesejadas, minerar criptomoedas, roubar informações em formulários de acesso falsificados etc. E como o usuário digitou o domínio correto, dificilmente identificará de forma ágil que foi vítima deste tipo de engenharia.

Vantagens do controle da camada DNS

Uma solução para o controle das requisições DNS trazem muitas vantagens para as empresas, as quais destacamos as seguintes:

    1. Segurança: Com uma solução de controle do acesso à internet é possível fazer a proteção proativa contra ameaças emergentes. Essas soluções são equipadas com serviços que possuem listas de sites suspeitos atualizados constantemente. Outra característica importante é a possibilidade de definir o nível de reputação necessário que um site deve possuir para ser acessível na rede, fazendo o bloqueio caso o nível for menor que o configurado.
    2. Produtividade: O uso indevido da internet pelos colaboradores pode comprometer e muito a produtividade da empresa. Esse desperdício de tempo pode ocorrer de inúmeras maneiras, no acesso a redes sociais como Facebook ou Instagram, acesso ao e-mail pessoal, serviços de comunicação como WhatsApp ou Skype, sites de entretenimento, compras, esporte, entre outros. No entanto, uma solução de controle do acesso à internet permite também o bloqueio de sites indesejados que estão fora do escopo de trabalho da empresa e que causam o desperdício de tempo dos colaboradores e comprometem a produtividade.
    3. Redução de custos: Com o aumento da segurança da rede, diminuição de custos com manutenção de equipamentos e aumento da produtividade da equipe, o investimento em uma solução de controle do acesso à internet muitas vezes se paga nos primeiros meses.
    4. Informação: Outro ponto importante é o levantamento de informações sobre o uso da internet, ter relatórios do que está sendo acessado e analisar essas informações em conjunto com relatórios de produtividade da equipe e entrega de tarefas, pode levar a otimização da sua política de acesso a internet.

Ferramentas para aumentar a segurança da rede

Como a camada DNS é a porta para os principais ataques cibernético na rede de uma empresa, a implantação de uma ferramenta para aumentar a segurança se torna um fator essencial para garantir a segurança das informações.

Por bloquear preventivamente todas as solicitações em qualquer porta ou protocolo, a segurança na camada DNS pode interromper a ação e evitar o ônus de precisar identificar a origem específica daquele ataque.

Para aumentar a segurança da rede na sua empresa, existem diferentes alternativas, como soluções tradicionais de proxy Linux fornecidas por empresas especializadas, que demandam maior investimento com servidores, mão de obra especializada e manutenção constante.

Outras opções são SonicWall, Fortinet FortiGate e semelhantes, ou então soluções mais modernas, que utilizam recursos em nuvem e são mais acessíveis, de fácil implementação e gerenciamento. Esse tipo de serviço é principalmente recomendado para pequenas e médias empresas, boas opções são Lumiun, OpenDNS ou DNSFilter.

Para escolher a melhor opção para gerenciar o acesso à internet é importante definir bem as necessidades da sua empresa e comparar os custos, características e benefícios de cada uma das soluções existentes.

Por que o Lumiun?

A empresa Lumiun é a única das opções citadas acima que é 100% brasileira. Nós realmente entendemos como funciona o ambiente de trabalho nas empresas brasileiras e criamos soluções que possam aumentar a segurança da rede e produtividade da equipe.

Relatório de segurança do Lumiun
Relatório de segurança do Lumiun

Diariamente são mais de 22 milhões de acessos controlados e 3,2 milhões acessos indesejados bloqueados. São dados que estudamos e que combinamos com serviços de terceiros na intenção e empenho de proteger as informações da empresa.

Principais funcionalidades que você encontra no Lumiun:

  • Controle de acesso
    • Liberação e bloqueio de aplicações, sites e categorias de sites. Inclusive por horário;
    • Busca protegida (Safesearch) no Google, Bing e Youtube para garantir que conteúdos impróprios não sejam exibidos nos resultados das pesquisas;
    • Pesquisa de domínios onde o Lumiun faz uma varredura e encontra sua categoria, reputação, descrição, últimos acessos e ainda um preview da página.
  • Segurança:
    • Opção para definir o nível de reputação mínimo para acessar um site;
    • Bloqueio de sites que pertencem a categorias consideradas nocivas como hacking, malware, phishing, etc.
  • Firewall:
    • Esqueça o conceito antigo e difícil de implantar regras de firewall na sua rede. No Lumiun é possível, com poucos cliques, adicionar regras de bloqueios e liberações por portas, protocolos, origem e destino. Além disso, existem configurações predefinidas que auxiliam os mais leigos no assunto.
  • Velocidade:
    • Com esse recurso você pode limitar a quantidade de Download e Upload para os grupos de equipamentos. Dessa forma pode distribuir seu link de internet conforme você achar melhor ou de acordo com a demanda de cada grupo.
  • Relatórios:
    • De nada adianta todos esses recursos se não fosse possível acompanhar o resultado. No Lumiun é possível acompanhar em tempo real quais os sites mais acessados ou bloqueados, acessos por período, bloqueios de segurança, logs de firewall, equipamentos que mais consomem a banda da internet e muito mais.

O que os clientes mais gostam no Lumiun é a facilidade de gerenciamento de múltiplas redes em um único painel de controle, na nuvem, simples e acessível de qualquer lugar.

20 minutos para aumentar a segurança da rede na sua empresa

Após repassar nossos principais recursos e benefícios, você pode estar apreensivo por achar que é uma solução complexa, que demora para implantar e tem custo alto.

Instalação do Lumiun Box na rede da empresa
Instalação do Lumiun Box na rede da empresa

Boa notícia! Após receber o Lumiun Box (enviado em comodato), nosso time de atendimento lhe auxilia em todas as etapas. Em média, desde a instalação do box na rede e configuração do painel de controle, nossos clientes levam até 20 minutos. São apenas 20 minutos para deixar a rede da sua empresa mais segura e sua equipe mais produtiva.

E sobre o custo para contratar o Lumiun? Você vai se impressionar com o baixo investimento. Solicite nosso contato no formulário abaixo ou acesse o site www.lumiun.com.



14 dicas para ficar em conformidade com a LGPD

Como já escrevi em outro artigo aqui no blog, a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709) foi sancionada no dia 14 de agosto de 2018 e entraria em vigor a partir de agosto de 2020, porém, o prazo foi adiado para 1º de janeiro de 2021 devido a pandemia. Essa regulamentação estabelece uma série de regras que todas as empresas e organizações atuantes no Brasil terão de seguir para permitir que o cidadão tenha mais controle sobre seus dados pessoais, garantindo uma transparência no uso dos dados das pessoas físicas em quaisquer meios.

Nesse artigo você vai encontrar algumas dicas para conseguir cumprir com alguns pontos da LGPD. Mas aviso de antemão que não existe nenhuma ferramenta ou software “canivete suíço” que vai solucionar tudo. Para o cumprimento dessa lei além de ferramenta será necessário a implantação de muitos processos.

Estude a LGPD

Antes de listar as dicas, é importante que seja definida uma equipe que seja responsável por analisar os procedimentos internos quanto a coleta dos dados e o fluxo dessas informações na empresa envolvendo terceiros. Por isso, é imprescindível que essas pessoas estudem a Lei profundamente para que consigam entender todos os princípios e hipóteses as quais se aplicam.

Seguem alguns conteúdos para você iniciar e se aprofundar no assunto:

Vamos às dicas

Agora chega de enrolar. Abaixo listo algumas dicas que vão auxiliar sua empresa entrar em conformidade com a LGPD.

Dica 1: Termo de Consentimento para Tratamento de Dados Pessoais

Recomenda-se a definição de um processo de obtenção do consentimento do titular a ser utilizado pela empresa que seja claro, distinto e que não esteja agrupado com outros acordos ou declarações e que seja ativo (fornecido pelo titular, sem o uso de caixas pré-marcadas). O consentimento deverá ser documentado, por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Caso o consentimento existente não tenha sido obtido de acordo com a LGPD, recomenda-se que o consentimento seja renovado antes da entrada em vigor da LGPD, se não for possível utilizar outra base legal.

Criamos um modelo de documento que você pode baixar, adaptar conforme suas necessidades e obter o consentimento dos colaboradores e usuários para a utilização dos dados pela empresa. Baixe agora o Modelo de documento para o Termo de Consentimento para Tratamento de Dados Pessoais.

Dica 2: Gerenciamento dos Direitos dos Titulares de Dados

Implementar um portal de privacidade (front-end) com uma solução de Gerenciamento dos Direitos dos Titulares de Dados com foco nos clientes da empresa, de forma tempestiva (15 dias para a LGPD). Esse portal gerenciará todo o workflow da solicitação e deve conter as seguintes funcionalidades:

  • Formulário de preenchimento da solicitação, que pode ser apresentado em diversos produtos digitais da empresa;
  • Validação da identidade dos titulares de dados;
  • Controlar prazos, atividades e custos da solicitação;
  • Identificar os dados pessoais dentro da empresa para proceder com a divulgação ao titular de dados, a correção, a exclusão ou portabilidade dos dados pessoais.

Dica 3: Elaborar uma Política de Retenção e Descarte de Dados

Esta política deve incluir os princípios de retenção e descarte apropriados de dados pessoais, observando os requisitos legais da LGPD. Além disso, a política deve conter:

  • Uma tabela de temporalidade atualizada para armazenamento das informações levando em consideração os dados pessoais coletados;
  • Procedimentos de descarte apropriado para ativos (papéis, computadores, mídias removíveis) que contenham dados pessoais;
  • Processo de exclusão ou anonimização de dados quando estes não forem mais necessários para a empresa, observando a necessidade de armazenamento de dados para atender obrigações legais;
  • Processo de backup de dados pessoais armazenados em sistemas;
  • Processo de pseudonimização para os dados sensíveis em repouso. Incorporar na cultura da empresa os princípios de minimização de dados, onde a empresa realiza a coleta apenas das informações estritamente necessárias, pelo período que for necessário.

Dica 4: Registro das Operações de Tratamento de Dados Pessoais

A LGPD exige a elaboração e manutenção de um Registro das Operações de Tratamento de Dados Pessoais, que deverá incluir:

  • Os nomes e os contatos do Controlador/ Operador e, quando aplicável, de qualquer responsável pelo tratamento em conjunto, dos representantes das entidades e do DPO (Data Protection Officer);
  • A finalidade do processamento dos dados;
  • A descrição das categorias dos titulares de dados e das categorias dos dados pessoais;
  • As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
  • Os prazos previstos para a exclusão das diferentes categorias de dados;
  • As bases legais estipuladas para tratamento de dados.

Dica 5: Processo para Análise de Impacto à Proteção de Dados (DPIA).

Implementar / adquirir uma solução para realização da DPIA de forma sistêmica e centralizada. Essa solução deve ter as seguintes funcionalidades:

  • Projetos de privacidade da empresa consolidados em um dashboard central para gerenciamento das atividades de proteção de dados;
  • Classificação dos projetos quanto ao envolvimento de dados pessoais e critérios de risco (se existe profiling, dados sensíveis, grande volume de dados processados, etc.);
  • Gerenciamento do workflow da DPIA, desde a seleção do fluxo de dados utilizando os critérios estabelecidos até a aprovação final do Encarregado;
  • Orientação e template para preenchimento da DPIA disponibilizado de forma centralizada para todo a empresa;
  • Análise de riscos e GAPs dos fluxos de dados pessoais;
  • Registro das atividades de proteção de dados realizadas ao longo do projeto para fins de conformidade.

Dica 6: Implementar um modelo de governança de DPO

Implementar um modelo de governança de DPO (Data Protection Officer), definindo os papéis e responsabilidades para atender às expectativas regulatórias conforme as mudanças trazidas pela LGPD.

Dentro da rotina do DPO, entendemos que haverá tarefas como (i) realização de Due Diligence de terceiros periódica; (ii) manutenção e atualização do ROPA; (iii) elaboração e manutenção da DPIA, quando necessário; (iv) realização de auditorias periódicas internas para análise do nível de conformidade; (v) rotina de treinamentos sobre a LGPD para funcionários e colaboradores periódica; (vi) rotina de acompanhamento de jurisprudências, consultas à ANPD, novas certificações, boas práticas de mercado e etc…

Dica 7: Contratação de um assessor externo

Recomenda-se a contratação de um assessor externo para assessorá-lo na análise do atual compliance da empresa com a LGPD, indicação dos pontos de melhoria e exigências legais, bem como definição de um plano de ação para implementação das ações necessárias para que a empresa esteja em conformidade com a LGPD.

Dica 8: Treinamento sobre privacidade para educar os funcionários

Elaborar um programa de treinamento sobre privacidade e proteção de dados para educar os funcionários sobre a importância da privacidade e proteção de dados pessoais, capacitando-os para realizar os processamentos de dados adequadamente, mitigando os riscos de alguma violação de dados acontecer.

Esse programa pode ter duas fases, de acordo com a sua abordagem. A primeira fase é comum para todos os funcionários e abordará o que são as leis de privacidade e proteção de dados, os seus princípios, os riscos de não estar em conformidade com elas, o que são dados pessoais e sensíveis, bases legais, o que é considerado como processamento de dados, como classificar o dado antes de armazená-lo, como descartá-lo corretamente, o que é o ROPA, a DPIA, o papel e importância do encarregado de dados (DPO) e como reportar uma violação de dados na empresa. A fase um pode ser um treinamento online, disponibilizado para os funcionários na intranet. Na segunda fase do programa, o treinamento deverá ser direcionado para cada área de negócio, de acordo com a natureza de relacionamento que elas possuem com os titulares de dados (relacionamento com cliente, financeiro, RH, etc.). Essa fase abordará com mais profundidade a aplicação das bases legais de acordo com os tipos de processamento que a área realiza e terá apresentação de cases específicos conforme a atuação da área (exemplo de cases de profiling para área de marketing). A fase dois pode ser presencial para os funcionários da área.

Os treinamentos devem ser reciclados periodicamente de acordo com a política interna da empresa ou quando houver mudanças significadas nas leis de privacidade.

Implementar métricas de aprovação/reprovação para medir a aplicação do treinamento e nível de aprendizado, tanto individualmente por funcionário quanto por área de negócio.

Dica 9: Gestão de Identidade e Acessos

Implementar um pool de soluções para Gestão de Identidade e Acessos para prover a governança e administração das identidades e seus respectivos direitos de acesso aos dados pessoais e sensíveis armazenados nos ativos da empresa.
É recomendável que todo o ciclo de vida dos usuários e seus acessos aos dados pessoais e sensíveis sejam gerenciados através de workflows para mitigar os riscos de dados pessoais e sensíveis serem acessados por pessoas não autorizadas, o que pode ocasionar uma violação de dados de acordo com a LGPD.

Dica 10: Gestão de Incidentes

Estruturar, definir e formalizar um processo de Gestão de Incidentes, visando contemplar planos de resposta à incidentes relacionados ao tema de privacidade de dados. Esse plano deve conter procedimentos e diretrizes que orientem as áreas envolvidas na identificação, monitoramento, remediação e reporte de incidentes de violação de dados, bem como abordar a categorização de um incidente de violação de dados e o seu registro nas ferramentas. O processo de gestão de incidentes de violação deve ser testado e validado regularmente para avaliar a capacidade de atendimento aos requisitos de privacidade relevantes.

Recomenda-se que seja definido um processo de comunicação formal com as autoridades de proteção de dados e os titulares de dados. Essa comunicação deve ter o envolvimento do Encarregado de Dados (DPO) da empresa e deve ser realizada dentro dos prazos estabelecidos pela LGPD.

Além disso, deve-se ser estabelecido um processo de notificação de violação de dados que contenha:

  • A identidade e o contato do encarregado de dados e outras partes relevantes da empresa;
  • Descrição das possíveis consequências (riscos) da violação de dados;
  • Descrição da natureza da violação, informando quais e a quantidade de titulares que foram afetados;
  • Medidas técnicas e organizacionais aplicadas para mitigar as consequências dessa violação.

Dica 11: Revisão de antigos contratos

Recomendamos revisar os antigos contratos e incluir cláusulas protetivas relacionadas à proteção de dados e conformidade com a LGPD, bem como ajustar os contratos padrão existentes de modo a incluir cláusulas neste sentido, inclusive sobre a possibilidade de auditoria. A depender do caso, pode-se indicar a forma da realização dos tratamentos de dados e medidas mínimas de segurança a serem respeitadas.

Conduzir avaliações de conformidades com terceiros/fornecedores novos e existentes (a cada renovação de contrato) para verificar se estão em conformidade com a LGPD.

Dica 12: Política de privacidade interna e externa

Não há uma definição legal dos tipos de política de privacidade interna e externa que uma empresa deve possuir. De todo modo, sugerimos que a empresa elabore e mantenha as políticas de privacidade abaixo com bases nas melhores práticas de mercado e visando maior compliance com o framework de proteção de dados pessoais.

Com relação às políticas externas, via de regra as empresas possuem:

  • Política de Privacidade
  • Política de Cookies

Já com relação às políticas internas, normalmente as empresas possuem:

  • Política de Privacidade e Proteção de Dados
  • Política de Retenção e Destruição de Dados
  • Política de Gerenciamento de Dados em Dispositivos Móveis
  • Política de Segurança de Dados

Dica 13: Definir um processo para acompanhar as mudanças regulatórias da LGPD

Esse processo irá auxiliar a empresa a manter-se atualizada sobre as leis em questão, fornecendo subsídio para tomadas de decisão.

Além disso, recomenda-se que um processo seja definido para atualizar as políticas, normativos, treinamentos, procedimentos, processos e demais operações, a fim de refletir as mudanças regulatórias quando estas acontecerem.

Dica 14: Implementar uma solução para aumentar a segurança da informação

De nada adianta implementar vários processos de coleta das informações se as mesmas estiverem desprotegidas ou os equipamentos (computadores, celulares, etc) dos colaboradores não possuírem ferramentas como Antivírus e Gerenciador de acesso à internet.

Por isso, é de extrema importância que a empresa possua soluções que aumentem a camada de segurança dos dispositivos e da rede. Segue algumas sugestões:

  • Antivírus:
    • Kaspersky Anti-Virus: costuma frequentar o top 3 das principais listas de melhores antivírus do mundo há tempos. Ele oferece recursos avançados de varredura e limpeza, além de ser capaz de desfazer ações realizadas por malwares e por isso está no topo desta lista;
    • Bitdefender Antivirus Plus: oferece proteção completa para quem quer se ver livre de malwares. Ele conta com ferramentas de recuperação para vírus persistentes, gerenciamento de senhas e ainda incrementa a segurança do seu navegador para você realizar transações financeiras;
    • F-Secure Anti-Virus: Uma das características mais marcantes do F-Secure Anti-Virus é a velocidade do seu modo de varredura rápida — e essa agilidade consegue ser ainda maior quando você refaz o processo. Isso garante praticidade e rapidez na hora de manter seu computador seguro. Além disso, ele tem recursos especiais para combater a ação de malwares, bloqueando e monitorando a ação de arquivos suspeitos.
  • Gerenciador de acesso à internet:
    • Soluções que necessitam um maior investimento, indicado para empresas grandes
    • Solução mais acessível, indicado para pequenas e médias empresas
      • Lumiun: O Lumiun é um serviço baseado em nuvem que protege sua empresa das ameaças da internet, tornando a rede mais segura e a equipe mais produtiva. O Lumiun funciona de forma diferenciada, pois o maior objetivo é ser uma solução fácil de ser implementada e gerenciada. Sabe-se que atualmente um dos maiores problemas das empresas é a baixa produtividade e a falta de segurança e é neste segmento que o Lumiun atua, simplificado às empresas de pequeno e médio porte.



Para escolher a melhor opção para aumentar a segurança da informação é importante definir bem as necessidades da sua empresa e comparar os custos, características e benefícios de cada uma das soluções existentes.


Gostou desse artigo? Então compartilhe com seus colegas de trabalho para que possam juntos deixar a empresa compliant com a LGPD.

Tem alguma dúvida? Escreva aqui nos comentários e terei o enorme prazer de te responder.

LGPD: o que é e como aplicar na empresa?

A Lei Geral de Proteção de Dados Pessoais (LGPD) entrará em completo vigor em 1º de janeiro de 2021. A partir desta data, o Brasil terá então, uma legislação específica para proteger os dados e a privacidade de todos os cidadãos brasileiros. Por ser um projeto de interesse de todos os cidadãos, a LGPD está…

Continuar lendo

11 dicas de segurança na internet para pequenas e médias empresas

Internet de alta velocidade, equipamentos sempre conectados, sistemas online e interligados, serviços e armazenamento de dados em nuvem, tudo isso vem contribuindo para que as empresas, principalmente pequenas e médias, consigam aumentar significativamente sua produtividade para se tornarem mais competitivas no mercado. Porém, junto à toda essa tecnologia e serviços disponíveis, existem os riscos de segurança que a internet “oferece”, o que exige que as empresas tomem providências para proteger as informações do seu negócio e clientes, além de evitar incidentes e custos com manutenção de equipamentos e softwares.

Em um levantamento feito pelo setor de segurança do governo americano em 2017, constatou-se que ocorrências de roubo de informações digitais já ultrapassou o número de furtos de propriedades físicas, registrados por empresas. Isso mostra a importância de se proteger na internet para evitar falhas de segurança e perda de informações, que podem até comprometer o futuro do negócio.

Nos últimos anos ataques de Phishing e Ransomware tem crescido exponencialmente. Segundo o laboratório especializado em cibersegurança da PSafe, o número de incidentes praticamente dobrou em 2018, foram 120,7 milhões de ataques cibernéticos no primeiro semestre, o que representa um aumento de 95,9% em relação ao ano anterior.

É praticamente impossível estar totalmente protegido dos riscos e ataques digitais, mas algumas medidas podem manter sua empresa consideravelmente protegida.

Quando pensamos em segurança da informação, prevenção é a palavra chave. A proteção/prevenção passa por vários níveis, desde ações simples de orientação e práticas de utilização da tecnologia aos colaboradores até investimentos em servidores e soluções corporativas robustas.

Listamos 11 medidas práticas de prevenção para manter sua empresa protegida dos riscos de ataques e incidentes de segurança da informação:

Antivírus

Sabemos que é fundamental a utilização de antivírus em todos equipamentos, podendo ser versões gratuitas como Avast e AVG ou pagas como McAfee, Bitdefender ou Kaspersky.

Além disso, é fundamental que o antivírus esteja sempre atualizado e configurado de acordo com a política de segurança da empresa. Um antivírus desatualizado perde toda sua eficiência e deixa os computadores vulneráveis a ataques.

Mantenha os programas atualizados

Todos os programas utilizados nos computadores e equipamentos de tecnologia devem estar atualizados com versões recentes, pois versões antigas podem deixar os computadores vulneráveis em relação a técnicas de ataque e instalação de vírus mais modernas.

O sistema operacional e navegadores devem ter maior atenção, instale sempre as atualizações do seu Windows ou outro sistema operacional utilizado e a última versão dos browsers usados para navegação na internet.

Bloqueio de acesso a sites nocivos e controle de internet

É recomendado utilizar ferramentas que evitem o acesso a sites nocivos, que possam instalar vírus ou malwares. É comum os colaboradores receberem mensagens de spam com links falsos que direcionam para estes sites, além do acesso em sites de alguns tipos de conteúdos, como jogos, download de arquivos ou conteúdo adulto, que podem levar a instalação de vírus.

A maioria dos ataques começa a partir do acesso a um site nocivo ou malicioso, ao ocorrer o acesso esse site instala um vírus de forma oculta no equipamento e com isso abre um porta na rede para que os ataques de Ransomware ocorram, por exemplo.

Uma boa alternativa de solução para o controle de acesso a internet em pequenas e médias empresas é o Lumiun, que protege a navegação do acesso a sites maliciosos e pode proteger sua rede de ataques com a partir do Firewall integrado, além disso a solução é de fácil implementação e gerenciamento e demanda baixo investimento, em relação a outras soluções do mercado.

Proteja a sua rede Wi-Fi

Se a sua empresa tem alguma rede Wi-Fi disponível, é importante proteger o acesso de estranhos e intrusos. Para isso utilize uma senha forte e conexão com encriptação dos dados, também altere as configurações padrão do roteador utilizado, mudando a senha de acesso ao painel de configurações do roteador.

Uma configuração adicional de segurança é ativar os filtros por endereço MAC (Media Access Control), informando uma lista dos endereços dos dispositivos que estão autorizados a se conectarem em sua rede, dessa forma é possível restringir o acesso de outros equipamentos que não estejam nessa lista.

Estabeleça uma política para o uso dos recursos de tecnologia

A criação de diretrizes em relação ao uso da tecnologia é muito importante no ambiente corporativo, os colaboradores precisam ter regras quanto a utilização da internet, instalação de programas nos computadores, utilização de smarthphones e equipamentos pessoais. Nessa política é necessário definir todas as regras e punições no caso de não cumprimento do que foi estabelecido.

As regras que compõem a política da empresa devem ser amplamente divulgadas e os colaboradores estar cientes do que podem ou não fazer e as punições estabelecidas. Nessa página é possível baixar um modelo de documento de política de utilização da tecnologia para empresas, é recomendado que os colaboradores assinem para comprovar sua ciência e comprometimento em seguir as diretrizes estabelecidas. Há também um modelo de documento de política de uso do celular na empresa.

Treinamento para os colaboradores

Pesquisas mostram que a maioria dos problemas de segurança tem como porta de entrada falhas de comportamento dos profissionais, que por descuido e falta de atenção fornecem dados importantes ou permitem a instalação de vírus e malwares nos computadores, veja nesse artigo a importância de orientar os colaboradores para evitar problemas de segurança.

Esse treinamento pode fazer parte do processo de ambientação da empresa e ser constantemente reforçado, a grande maioria dos problemas de segurança podem ser evitados com atenção e precaução por parte dos profissionais.

Tenha backup de todos os dados relevantes do seu negócio

Defina procedimentos de cópias de todos os dados importantes da sua empresa. Para informações mais relevantes, como dados financeiros ou informações de clientes e produtos/serviços, é recomendado uma backup diário executado de forma automática, além disso mantenha as cópias seguras e armazenadas em ao menos dois locais diferentes. Já os dados dos computadores e demais informações, uma cópia semanal e devidamente armazenada garante a recuperação desses dados no caso de perdas.

Uma boa alternativa é a utilização de serviços em nuvem para armazenamento de arquivos, como o Google Drive ou Dropbox. Esses serviços possuem backup automático, além de oferecer acesso aos arquivos de forma ampliada, de qualquer local ou dispositivo via internet.

Limite o acesso físico aos computadores

Não permita que intrusos tenham acesso físico aos seus computadores ou servidores internos. Evite deixar computadores portáteis ao acesso de estranhos e defina senhas de acesso em todos computadores e sistemas da empresa, essa identificação é importante pra rastrear qualquer atividade realizada, tanto por estranhos como dos próprios colaboradores, que podem muitas vezes executar operações indevidas que irão causar transtorno e até mesmo prejuízo para a empresa.

Proteja as informações de sistemas financeiros

Este é um item que deve ter atenção extra dos gestores, pois é onde a maioria dos ataques de internet são direcionados. Mantenha o acesso restrito aos dados e sistemas financeiros da empresa, como senhas de bancos, permitindo que somente pessoas de confiança e bem treinadas operem essas informações.

É comum ações de engenharia social como ligações simulando contatos de instituições financeiras ou emails falsos que direcionam para acesso a sites de bancos clonados, nesses casos é fundamental sempre o máximo de precaução, na dúvida consulte seu gestor ou contatos financeiros conhecidos.

Seja rigoroso na definição de senhas

A utilização de senhas fracas é outro fator que contribui muito para falhas de segurança. Tenha como regras a definição de senhas longas, que combinem caracteres alfanuméricas, letras maiúsculas e minúsculas, números e símbolos. Também não armazene as senhas em locais que qualquer pessoa tenha acesso.

Veja nesse artigo orientações de como criar e gerenciar senhas fortes e seguras.

Controle o acesso a programas e instalação de software

Os colaboradores devem ter acesso somente aos programas utilizados para realização de suas atividades na empresa, não libere o acesso a todos os programas para todos os colaboradores. Além disso, é necessário restringir a instalação de qualquer aplicativo nos equipamentos, sem autorização do responsável pela área de TI.

Na falta de restrições é comum a instalação de programas desconhecidos, muitas vezes piratas, que podem deixar os computadores vulneráveis e criar uma porta de entrada para vírus, ataques e falhas de segurança.

Como já mencionamos, é muito difícil manter a empresa 100% protegida dos riscos na internet, mas com certeza, implementando essas 11 medidas de segurança, é possível aumentar significativamente a proteção na sua empresa e evitar problemas de segurança. Além disso, você pode aprofundar mais o assunto seguindo as dicas do manual de utilização segura da internet.





Boa parte dessas dicas demandam apenas envolvimento e dedicação dos gestores e responsáveis, sem necessidade de grande investimento, então comece com ações simples e avance gradativamente para soluções mais completas que irão tornar sua empresa cada vez mais protegida.

Investir em soluções para segurança da informação é fundamental, não espere a ocorrência de algum incidente para implementar medidas de proteção, pois os prejuízos causados por ataques e perda de dados são imensuráveis, podem para as atividades por dias, gerar perda de dados sigilosos e até mesmo, em alguns casos, comprometem o futuro do negócio!

Importância e benefícios da segurança e controle do acesso à internet nas empresas

Todos sabemos o quanto o acesso à internet está presente no cotidiano das empresas e no ambiente de trabalho corporativo em equipes. É simplesmente impossível imaginar a execução de atividades em escritórios e nas empresas de modo geral, sem equipes conectadas à internet desempenhando suas atividades.

Com toda essa conectividade, são gerados inúmeros benefícios para as empresas e o mercado. A comunicação entre equipes, e com o mercado, é muito mais fácil e eficiente, os sistemas estão cada vez mais rápidos e integrados, o atendimento aos clientes se torna muito mais qualificado, a produtividade da empresa e dos colaboradores aumenta e outros tantos benefícios, onde cada empresa pode potencializar esses benefícios dentro das suas necessidades.

Porém, explorar a tecnologia e extrair dela os melhores resultados é sempre uma combinação e equilíbrio entre investir em inovações e recursos disponíveis (tanto de pessoal como equipamentos), otimizar a utilização dos recursos e gerir os recursos para que que sejam utilizados de forma a não causar prejuízos e problemas ao negócio.

Os riscos que a internet oferece às empresas são exatamente o que iremos abordar nesse artigo. Talvez o mais relevante seja em relação à segurança da informação, que envolve perda de informações e incidência de vírus. Outros pontos importantes são em relação a produtividade e foco dos colaboradores, ociosidade e mau dimensionamento dos recursos. Vejamos então estes itens de forma mais detalhada:

Segurança do acesso à internet nas empresas

Atualmente a principal porta de entrada dos vírus nas empresas é a internet, na maioria dos casos através de usuários que acabam acessando sites nocivos a partir de links ou mensagens de e-mail falsas. Esses sites instalam vírus ou malwares que podem gerar vários tipos de problemas, vejamos os principais:

  • Comprometer o desempenho dos computadores ou da rede
  • Perda, roubo ou vazamento de informações
  • Despesas com manutenção de equipamentos e sistemas
  • Tempo ocioso dos recursos e colaboradores

Dentro desses problemas, vale destacar o sequestro de informações, conhecido como Ransomware, tipo de ataque que teve alguns incidentes em 2016, mas que em 2017 esteve mais presente na mídia, pelo acontecimento do dia 12 de maio de 2017. Nesse tipo de ataque, são instalados programas ocultos nos computadores, que criptografam dados relevantes do negócio e os tornam inacessíveis, a partir daí pedem uma chave de acesso para liberação do acesso aos dados, que é fornecida com o pagamento de um valor aos “sequestradores”.

A instalação desse tipo de malware ocorre geralmente quando o usuário acessa um site nocivo sem conhecimento e de forma imprudente, quando não atualiza o sistema operacional ou até mesmo abre algum tipo de link malicioso.

A proteção contra esses riscos pode ser resolvida com medidas simples. Inicialmente é importante orientar os colaboradores para que possam identificar possíveis ameaças, para isso pode baixar esse manual de utilização segura da internet e compartilhar com sua equipe.





Também é necessário e de grande importância haver algum tipo de controle na navegação, que impeça o acesso a esses sites nocivos. Esse controle pode ser feito com soluções robustas como Firewall/Proxy, soluções prontas como Dell SonicWall e Fortinet FortiGate ou soluções mais modernas e práticas como a Lumiun Tecnologia, que é um serviço muito adequado para empresas de pequeno e médio porte, já que o investimento é reduzido e o gerenciamento muito simplificado e intuitivo.

Desperdício de tempo da equipe

Existem muitas pesquisas que mostram o tamanho do desperdício dos colaboradores com a internet, são os acessos às redes sociais, ao e-mail pessoal, uso de smartphones, conversa com amigos e familiares, sites de entretenimento e esportes, jogos e muito mais. Estima-se que cada colaborador gaste em média 72 minutos por dia com atividades pessoais na internet durante o trabalho, o que representa 15% do tempo de trabalho.

Convertendo esse desperdício de tempo em valores, podemos chegar a números bem impactantes. Por exemplo, em uma empresa com 30 colaboradores que trabalham conectados à internet, onde o custo mensal por colaborador fica em média R$ 2 mil considerando o desperdício de 15% do tempo, em valores isso representaria R$ 9 mil de desperdício por mês, nesse cenário. Para calcular o custo da má utilização da internet na sua empresa, você pode utilizar nossa calculadora de desperdício de tempo.

Falta de foco dos colaboradores

Em complemento ao desperdício de tempo, outro impacto gerado pelo uso indevido da internet pela equipe é a falta de foco. Os colaboradores podem estar a todo momento acessando seus perfis nas redes sociais ou em conversas no smartphone. Isso reduz a atenção nas atividades que estão sendo realizadas e pode comprometer a qualidade das tarefas entregues e por consequência a qualidade dos serviços prestados pela empresa, podendo inclusive impactar negativamente na imagem da empresa em relação a seus clientes.

Internet lenta e baixo desempenho de sistemas e equipamentos

Você já teve problemas de internet lenta na sua empresa? Em empresas onde não há gestão em relação ao uso da internet pelos colaboradores, muitas vezes esse problema pode estar ocorrendo porque alguns usuários estão consumindo a maior parte do tráfego da rede, fazendo downloads de arquivos pesados, assistindo vídeos ou ouvindo rádio.

A internet lenta em redes corporativas pode afetar inúmeras atividades da empresa, como o desempenho de sistemas, envio e recebimento de e-mail, comunicação e atendimento a clientes, entre outros pontos. E muitas vezes ocorre porque simplesmente alguns usuários consomem a maioria dos recursos. Esse consumo precisa ser identificado, para que sejam tomadas medidas que corrijam o problema.

Internet lenta é um problema recorrente no Brasil, já que internet de alta velocidade não é um recurso acessível a todas empresas. Para ter certeza que seu provedor está entregando a velocidade contratada, é recomendado utilizar algum sistema de monitoramento de velocidade de internet, boas opções são o Speedtest e o Fast.com. Outra forma de resolver esse problema, é, novamente, através de serviços que permitem o controle do uso da internet, onde é possível filtrar e limitar o que cada usuário ou equipamento pode acessar, por categorias de conteúdo, horários específicos e ainda identificar colaboradores que estejam utilizando os recursos de internet de forma indevida ou consumindo recursos além do necessário.

Despesas com manutenção e recursos ociosos

Não menos importante, são as despesas geradas diretamente com manutenção de sistemas e equipamentos. Por exemplo, quando um computador é infectado com algum vírus, há o custo da solução desse problema, que geralmente é responsabilidade dos profissionais da área de TI, onde são geradas despesas financeiras, além do custo do tempo ocioso da equipe.

Como podemos perceber, da mesma forma que a internet traz benefícios, pode gerar alguns problemas e até prejuízos para a sua empresa. Por isso é necessário que dentro da gestão do negócio, sejam tomadas medidas que venham a proteger a empresa dos riscos, para evitar que esses problemas que mencionamos façam parte do dia a dia.

Para encontrar a solução ideal para a sua empresa, é necessário identificar de forma precisa quais são exatamente as necessidades e problemas que precisam ser resolvidos, avaliar os benefícios das soluções existentes, e a partir disso encontrar a melhor opção, com melhor relação custo/benefício. Na maioria dos casos, não é necessário investir em soluções de tecnologia caras e complexas, que além do investimento alto, demandam profissionais altamente especializados.

Como já falamos no artigo, a maioria dos problemas de segurança nas empresas ocorrem a partir da imprudência e falta de conhecimento dos colaboradores. Cabe aos profissionais terem responsabilidade quanto à utilização produtiva da internet, no entanto cabe à empresa, em primeiro lugar, orientar a equipe quanto aos riscos e ao uso adequado da rede, e monitorar o desempenho dos colaboradores.

A empresa também deve ter uma política de utilização da internet e smartphones definida e informar seus colaboradores a respeito. Veja como implementar essa política e baixe um modelo de documento sobre política de uso da Internet nas empresas.

Em complemento a isso, é recomendado a implantação de um serviço para proteger a navegação e evitar abusos dos colaboradores na internet. Para resolver esse problema de forma prática e eficiente a Lumiun Tecnologia é uma excelente opção, pois é um serviço focado em pequenas e médias empresas e permite fazer uma gestão completa do uso da internet, sem necessidade de investimentos pesados em servidores ou profissionais especializados. Para maiores informações acesse www.lumiun.com e entre em contato pelo e-mail ou pelos telefones (11) 4950 6962 / (55) 3024-0802.

Tendências de segurança da informação para 2018 e como ficar protegido

O ano de 2017 ficou marcado por muitos acontecimentos no mundo da segurança da informação. Tivemos o enfático 12 de maio e os ataques de Ransomware com o WannaCrypt, onde milhares de empresas e organizações de todo o mundo foram afetadas, além de várias outras ondas de ataques a nível mundial.

Esses acontecimentos mostraram o quanto o mundo corporativo está vulnerável em relação a segurança da informação e reafirmaram a necessidade de investimentos em prevenção contra ataques virtuais e proteção de dados corporativos. Infelizmente o tema Segurança da Informação ainda não é prioridade e a maioria das empresas não possui políticas para utilização da tecnologia e internet, procedimentos de prevenção e controles eficientes para gerir vulnerabilidades e atenuar riscos e prejuízos em caso de ataques.

A sequência de ataques ressalta que o mercado também deve considerar a expansão do cibercrime, em especial em forma de Ransomware, que, com a utilização de criptomoedas para movimentações financeiras, dificulta o rastreio e identificação dos criminosos.

É claro que, com os incidentes de segurança e prejuízos financeiros causados, muitas lições já foram aprendidas e até mesmo comprovadas. A principal é que nenhuma empresa está 100% segura, já que as formas de ataquem mudam constantemente e as vulnerabilidades estão nos mais variados pontos, como por exemplo os próprios usuários. Outra lição é sobre a importância das informações das empresas e a necessidade de proteção dos dados, independentemente do tamanho das organizações, grandes corporações e pequenas empresas podem ter prejuízos enormes ou simplesmente deixar de operar sem acesso aos dados e sistemas do seu negócio.

Esse cenário também não é novidade, organizações e empresas da área reforçam de forma permanente a necessidade de se dar maior atenção a cibersegurança. E criar políticas que possam prevenir incidentes, orientar usuários e proteger infraestruturas e informações corporativas é muito mais que uma tendência, atualmente é uma urgência.

Felizmente algumas mudanças estão sendo percebidas e ganharão força em 2018, segundo o Gartner o investimento em segurança da informação crescerá 8% nesse ano. Como tendência se destaca a necessidade de medidas continuadas de prevenção, acompanhando a evolução dos riscos e formas de ataques. Não basta investimento em infraestrutura ou sistemas de segurança, sem acompanhamento e atualização mensal e até diária, qualquer solução pode se tornar ineficiente ou obsoleta em poucos dias.

Embora seja praticamente impossível ficar totalmente protegido, com um planejamento adequado e medidas devidamente bem executadas, é possível se prevenir de muitos problemas. Para auxiliar nesse planejamento listamos alguns pontos e tendências que a sua empresa deve direcionar atenção e investimentos em relação a segurança da informação:

Comece orientando os usuários

Em pesquisa realizada pela PWC constatou-se que 41% dos incidentes de segurança no Brasil tem origem nos próprios colaboradores da empresa, acima da média mundial que é de 35%. Outra pesquisa realizada pela Intel mostrou que somente 3% dos usuários são capazes de identificar um ataque de phishing.

Com a falta de conhecimento e atenção dos usuários, praticamente 4 em cada 10 incidentes ocorre a partir do mau uso dos recursos de tecnologia e internet por parte dos usuários. Por exemplo, clicando em mensagens de e-mail falsas ou links desconhecidos em sites duvidosos da rede, um erro simples como esse pode abrir a porta para instalação de vírus ou Ransomware na rede da empresa.

Por isso orientar e treinar os usuários para que consigam identificar riscos e utilizem a internet de forma segura, é fundamental. Os usuários também precisam entender da sua responsabilidade em relação ao uso da tecnologia e prejuízos causados por possíveis incidentes, dessa forma irão utilizar os recursos de maneira mais responsável no ambiente corporativo.

Sistemas de segurança e antivírus (sempre atualizados)

Um bom sistema de antivírus é uma das formas mais eficaz de prevenir e combater ataques contra a rede corporativa e informações da empresa. Para uma proteção mais confiável, o recomendado é adquirir um bom sistema de antivírus, que tenha suporte técnico disponível e atualizações diárias.

Para atuação em nível de rede, também é recomendado possuir um sistema de firewall na rede corporativa, onde é possível criar bloqueios entre a internet e a rede interna da empresa. Da mesma forma é importante manter esses sistemas devidamente atualizados para que consigam barrar ataques que surgem diariamente em diferentes formatos.

Política para uso dos recursos de tecnologia

Hoje em dia a utilização da tecnologia e internet faz parte do cotidiano dos colaboradores no ambiente de trabalho, com o uso dos computadores, smartphones, sistemas gerenciais, e-mails, navegação na internet e tantas outras atividades.

Como a tecnologia e a internet são muito amplas e estão tão presentes, é necessário definir de que forma esses recursos podem ser usados no ambiente de trabalho. Por exemplo, usar um pendrive pessoal com vírus na empresa pode contaminar toda a rede, e acessar sites de jogos ou pornografia no trabalho, que geralmente contém links para sites nocivos, pode abrir uma porta para ataques virtuais.

Gestão e controle do uso da internet

A internet é a principal porta de entrada para incidentes e falhas de segurança, que podem ocorrer de inúmeras formas. Por exemplo, não é raro um usuário clicar em um link de uma mensagem falsa no e-mail corporativo, que irá direcioná-lo para um site nocivo na rede, que por sua vez irá instalar (de forma oculta) um vírus na máquina do usuário. Com o vírus instalado e combinado a outras vulnerabilidades, como a utilização de senhas fracas, é possível ter acesso a rede interna da empresa, servidores e dados corporativos. Essa é a mecânica da maioria dos ataques virtuais.

Considerando o exemplo, seria possível evitar o acesso a sites nocivos na internet através de ferramentas de controle de navegação, que possam identificar esses riscos.

Em relação ao uso da internet, também é importante orientar os usuários sobre os riscos da rede, qualquer erro ou falta de atenção pode tornar a empresa vulnerável a ataques. Para isso pode-se criar um documento conteúdo orientações e diretrizes sobre o uso da internet, informando a política da empresa em relação ao uso da rede.

Política de senhas seguras

Estima-se que 90% das senhas são vulneráveis e poderiam ser descobertas com facilidade por sistemas especializados.

Considerando que a senha é o principal recurso para comprovar a autenticidade de um usuário e proteger o acesso em sistemas de bancos, sistemas gerenciais, contas de e-mail, redes sociais e tantos outros sistemas, é muito importante seguir algumas dicas e recomendações na criação e gerenciamento de senhas.

Backup de dados

Manter uma (ou mais) cópia(s) de todos os dados da empresa é fundamental. Tente imaginar sua empresa sofrer algum tipo de ataque ou perder todos dados corporativos de alguma forma (planilhas, banco de dados de sistemas, dados de cliente e vendas, e-mails etc.), com certeza os prejuízos são imensos.

Infelizmente milhares de empresas no Brasil já passaram por essa situação com ataques de Ransomware (sequestro de dados). Se sua empresa não possuir cópia das informações, pode ficar na mão dos criminosos, tendo que pagar para ter acesso aos dados, sem garantias de que os dados serão resgatados com integridade.

Hoje em dia com recursos em nuvem manter cópias atualizadas se tornou bastante acessível e prático. Veja alguns pontos que devem ser avaliados para uma boa política de backups:

  • periodicidade: mensal, semanal, diário, a cada hora?
  • tempo de armazenamento: guardar cópias semanais por 10 semanas, cópias diárias por 30 dias?
  • nível de cada backup: integral, diferencial, incremental?
  • mídia ou local de armazenamento: em nuvem, HDs externo, fitas?
  • origem dos dados: arquivos, planilhas, documentos, bancos de dados, e-mails?

Como já foi dito, não há uma maneira de garantir 100% de proteção contra os riscos da rede. Mas com algumas medidas preventivas como as mencionadas acima, é possível prevenir incidentes e evitar problemas como perda de dados do negócio.

Por fim, não deixe de dar a devida atenção à segurança da informação na sua empresa, os riscos são muito altos, os prejuízos podem ser elevados e os criminosos estão cada vez mais ativos e audaciosos.