Como avaliar o retorno de investimento em projetos de segurança da informação

Projetos na área de tecnologia, voltados para a segurança da informação e governança de TI, podem variar muito em relação ao seu tamanho, complexidade e investimento financeiro. Por isso, sempre que sua empresa iniciar a implementação de um projeto novo, deve ser avaliado o porte da empresa, sua maturidade em relação à utilização dos recursos de tecnologia, a disponibilidade técnica e de recursos humanos para a execução e o orçamento disponível para investimento.

A partir desse contexto, direcionamos nossa análise para o mercado de pequenas e médias empresas, que, cada vez mais, também necessitam ter segurança em suas informações e uma boa gestão dos recursos de TI. Percebemos uma dificuldade em avaliar o retorno do investimento, no sentido de viabilizar a execução desses projetos. Isso porque, muitas vezes o retorno não é percebido por não haver métricas de acompanhamento em relação ao desempenho dos sistemas, disponibilidade dos recursos de TI, ocorrências de falhas de segurança ou perda de dados e acompanhamento da produtividade da equipe e dos colaboradores através da tecnologia.

Essa falta de métricas de gestão voltadas à tecnologia e uso dos recursos, pode, muitas vezes, esconder gargalos (problemas) que comprometem a competitividade e resultados da sua empresa, como altos custos com manutenção de equipamentos, comprometimento na execução das tarefas devido à problemas frequentes com equipamentos ou sistemas que deixam de funcionar, baixa produtividade da equipe devido ao desperdício de tempo na utilização da internet e celulares pessoais pelos colaboradores, sem contar os riscos que a perda de dados da empresa ou dos clientes pode representar.

Dessa forma, iremos abordar os benefícios gerados para as empresas, a partir de uma boa política de segurança da informação e governança de TI.

Importância da Segurança da informação

O primeiro ponto a ser considerado são as razões pelas quais as empresas precisam de segurança, que podem ser distintos e em alguns casos se complementarem.

Algumas empresas implementam políticas de segurança da informação pela necessidade de se adequar à normas regulatórias, muitas vezes aplicadas ao setor de atuação da empresa, como instituições financeiras ou empresas da área contábil. Nesses casos, a valor está totalmente relacionado na necessidade de proteger informações financeiras, contábeis e dados de clientes. Como a necessidade de atender as normas é um requisito, o investimento em segurança da informação faz parte dos custo básicos do negócio, devendo fazer parte do planejamento estratégico da empresa.

Para empresas que possuam unidades e ou operação distribuída, a maior necessidade se torna a disponibilidade das informações entre as unidades e a segurança na comunicação entre estas. Pois é comum que filiais estejam conectadas com a matriz via sistemas de gestão e que através dessa comunicação trafeguem dados sigilosos do negócios. Nesses cenários a segurança da informação ganha muita importância, pois precisa garantir uma disponibilidade permanente das informações e ao mesmo tempo garantir que os dados não possam ser interceptados. Para estimar o valor da segurança, pode-se considerar o custo da falta de comunicação entre unidades, onde as atividades do negócio não possam ser executadas, muitas vezes comprometendo atividades fins, como vendas e atendimento a clientes.

No contexto de empresas pequenas e médias, onde a necessidade de segurança das informações do negócio pode não ser tão facilmente percebida, deve-se estimar qual seria o impacto da perda ou roubo de informações do negócio, como dados financeiros ou de clientes.

Dentro desses riscos, podemos destacar a epidemia de ataques de Ransomware nas PMEs em 2016, que consiste no sequestro de dados. Nesse artigo falamos um pouco mais sobre Ransomware e como se proteger.

Ainda dentro da segurança, outro ponto importante é a incidência de vírus na rede e os custos gerados a partir desse problema, como a necessidade de manutenção nos equipamentos e o tempo ociosos dos colaboradores a partir da indisponibilidade de uso de equipamentos e sistemas.

Investir em segurança da informação é sempre uma estratégia com o objetivo de prevenir risco e prejuízos. Por isso, ao avaliar o retorno de investimento deve ser considerado qual pode ser o prejuízo ou impacto que falhas de segurança podem gerar à empresa.

Alguns exemplos de métricas de acompanhamento e ROI podem ser, mensurar as despesas geradas com profissionais ou empresas de TI a partir da manutenção de sistemas e equipamentos e calcular o tempo ocioso dos seus colaboradores a partir de sistemas e equipamentos em manutenção ou indisponíveis. Nunca esquecendo de considerar o impacto que perda de informações podem representar para sua empresa.

Uma boa política de segurança da informação passa por vários pontos, primeiro é necessário orientar os colaboradores sobre os riscos e como identificá-los. Depois disso, as ações devem contemplar três pontos complementares:

  • Prevenir: proteger os locais de armazenamento de informações do acesso à terceiros.
  • Detectar: identificar de forma rápida qualquer tipo de ataque ou falha de segurança.
  • Responder: agir de forma eficiente em caso de falhas, corrigindo vulnerabilidades e consertando pontos afetados.

Sabemos que uma boa política de segurança da informação demanda planejamento e investimento de pessoal e recursos financeiros. Mas é imprescindível que sua empresa dê atenção a esse assunto, avaliando os riscos e implementando medidas para se proteger. Muitas vezes medidas simples e acessíveis podem manter sua empresa protegida da maioria dos riscos existentes na rede.

A gestão do acesso a internet é uma dessas ações simples, pois é possível evitar o acesso à sites nocivos na internet. Acessos a esses sites podem ocorrer de várias formas, como usuários clicando em mensagens de e-mail falsas. Esse tipo de acessos são a maior porta de entrada dos vírus nas empresas atualmente.

Compartilhe aqui nos comentários como sua empresa avalia o retorno de investimento em relação a segurança da informação e o que faz para se manter protegida!

Infográfico: levantamento dos crimes virtuais na América Latina

A Microsoft e o IDC, realizaram em conjunto uma pesquisa ampla e completa com o objetivo de mapear o mundo dos crimes virtuais em toda América Latina.

A partir da pesquisa as entidades elaboraram um infográfico completo com os dados levantados sobre os crimes cibernéticos, números de dispositivos conectados e as tecnologias disponíveis para enfrentar os riscos na segurança.

Vejamos alguns dados importantes da pesquisa:

Números de ataques virtuais em 2015

  • Brasil – 27 milhões de ataques
  • México – 16 milhões de ataques
  • Colômbia – 5 milhões de ataques

Evolução no número de dispositivos

  • 2012 – 227 milhões, sendo 38% móveis
  • 2016 – 577 milhões, sendo 76% móveis
  • 2018 – 700 milhões, sendo 80% móveis

Em relação a movimentação de valores via comércio eletrônico, a pesquisa aponta um salto de US$ 30 bilhões em 2012 para US$ 105 bilhões até 2018.

O infográfico também menciona a exigência de maior responsabilidade das organizações a partir de marcos regulatórios. O que gera novas necessidades para as empresa em relação a medidas de combate às ameaças de segurança na rede.

Fica em destaque também o surgimento de novas tecnologias como solução para combater os riscos de segurança, onde devem ser seguidas 3 recomendações na definição de estratégias de segurança:

  • Proteger: Manter seguro os locais de armazenamento de informações e proteger as portas de entrada dos ataques
  • Detectar: Monitoramento ativo de segurança para detecção rápida de ataques e falhas de segurança
  • Responder: Medidas rápidas para correção de vulnerabilidades e brechas entre os ataques e pontos alvos
crimes-virtuais-infografico
Infográfico completo criado pela Microsoft e IDC.

Em ataques virtuais, a principal porta de entrada são os usuários, que acabam acessando sites inseguros, de onde partem os ataques. Com a solução da Lumiun você consegue proteger a navegação e evitar o acesso a sites nocivos a partir da rede da sua empresa, adicionando uma camada importante de segurança. Saiba mais e faça uma demonstração!

Roubo de informações aumentou 21 vezes no último ano no Brasil

O Brasil está entre os países mais vulneráveis quando falamos em segurança da informação. Foi o que apontou o estudo patrocinado pela IBM e realizado pelo Instituto Ponemon sobre o impacto financeiro gerado pela violação de dados, “Cost of Data Breach Study 2016”.

No topo da lista de 12 países, o Brasil é seguido por África do Sul, França, e Índia.

Em apenas um ano o número de ocorrências de roubo de informações aumentou 2.100% no Brasil, passando de 3.900 para 85.400 e gerando um prejuízo médio de de R$ 4,1 milhões para as empresas brasileiras.

Em todo o mundo foram realizadas mais de 1.500 entrevistas em 383 organizações de 16 indústrias e 12 países diferentes. No Brasil o estudo levantou informações de 33 empresas de 12 setores diferentes da indústria.

Além do crescimento de perda de dados, o estudo mostrou que o custo médio por cada ocorrência de violação de dados aumentou de R$ 116,00 em 2013, para R$ 175,00 no ano anterior e agora chegou a R$ 225,00.

O relatório também apontou as causas nos incidentes de violação de dados:

  • Tentativas de ataques maliciosas ou criminosas de terceiros: 40%
  • Negligência e falta de gestão das informações: 30%
  • Falhas humanas: 30%

Esse cenário mostra a necessidade de maior atenção das empresas para a segurança da informação, deixando de ser algo apenas desejável, para uma necessidade obrigatória para a sobrevivência das organizações.

Medidas para redução de riscos

Entre as empresas que tiveram algum tipo de violação de dados, as medidas preventivas tomadas foram:

  • Ampliação no uso de dados criptografados – 47%
  • Procedimentos manuais e controles adicionais – 46%
  • Treinamento e conscientização das equipes – 43%
  • Segurança e controles de perímetro e navegação – 40%

Considerando que as informações são os maiores ativos das empresas, é necessário que estas passem a se preocupar e investir mais no aprimoramento das práticas de segurança da informação. Para que possamos no futuro, controlar esse aparente crescimento descontrolado de perda e roubo de informações nas empresas.

No contexto global do estudo foi realizada uma pesquisa com mais de 2.000 organizações. Sendo possível listar os 7 principais pontos que são considerados para se defender de possíveis ataques e violações de dados, que são:

1. O investimento contra a violação de informações é permanente. As organizações precisam incluir em seu planejamento orçamento para segurança afim de poder implementar suas estratégias de proteção da informação;

2. Existe sérios riscos de comprometimento do negócio como consequência da perda de informações. As empresas precisam tomar medidas para reter a confiança do consumidor e reduzir o impacto financeiro em longo prazo;

3. Os ataques de terceiros continuam sendo o maior problema. Esses tipos de ataques costumam ser de maior gravidade, demandando muito tempo para serem reparados, gerando maior prejuízo;

4. Quanto mais tempo para resolução dos problemas, mais prejuízo. Devem ser tomadas medidas que agilizem a detecção e solução de possíveis problemas;

5. Ás áreas de saúde e serviços financeiros são os maiores alvos. Dados mais importante precisam de maior proteção.

6. Ampliação nos programas de governança. Ações para treinar, conscientizar e gerenciar colaboradores e líderes.

7. Colaboração é cada vez mais importante. O estudo mostrou que houve redução nos custos quando as empresas compartilharam informações sobre ataques e implantação de tecnologias para a prevenção de perda de dados.

Compartilhe nos comentários sua experiência ou opinião sobre as medidas de segurança da informações executadas na sua empresa!

Se você quiser saber mais sobre como pode aumentar a segurança na utilização da internet na sua empresa, mande um e-mail para ou ligue no (11) 4950-6962.

Ransomware e sequestro de dados: como se proteger

Ransomware é um tipo de ameaça digital que bloqueia o acesso aos seus arquivos e dados, exigindo o pagamento de um resgate para o desbloqueio. É uma forma de extorsão por meio do sequestro de dados. Considerando o crescimento do número de incidentes relacionados a ransomware, é importante que colaboradores e gestores das empresas mantenham-se…

Continuar lendo

Importância de orientar os colaboradores para evitar problemas de segurança nas empresas

Os métodos utilizados em ataques virtuais vem evoluindo ao longo do tempo, atualmente uma das técnicas mais usada é a utilização de e-mails de “phishing”, que são mensagens falsas com links que levam os usuários pra sites nocivos que podem instalar vírus nos computadores e na rede da empresa.

Uma pesquisa recente da PwC sobre ataques virtuais mostrou que o número de incidentes registrados em empresas brasileiras saltou de 2.300 em 2014 para 8.700 em 2015. Em 2015, o valor médio do prejuízo financeiro relacionado a problemas de segurança foi de R$ 9 milhões. A pesquisa também mostrou que no Brasil a maioria dos incidentes tem origem nos próprios colaboradores das empresas, representando 41%, acima da média mundial de 34%.

Os criminosos estão cada vez mais sofisticados nos ataques direcionados às empresas, inicialmente essas mensagens falsas de “phishing” eram enviadas em massa, por exemplo campanhas falsas de empresas conhecidas como bancos, no intuito de que usuários clientes da empresa caíssem no golpe. Atualmente, com uso de técnicas de engenharia social, essas mensagens são mais personalizadas ao perfil de cada destinatário. Por exemplo, recentemente se tornou comum em ataques, o envio de e-mails para os setores de RH das empresas com mensagens simulando o envio de currículos de profissionais com arquivos em anexo, arquivos estes contendo vírus.

Após um funcionário clicar em um link  malicioso ou abrir um arquivo com vírus, é instalado um “malware” que pode infectar não só o computador, mas toda a rede da empresa. Esses ataques e falhas de segurança podem gerar tipos de problemas diferentes, desde comprometer o desempenho dos computadores ou da rede, necessidade da manutenção destes, até a perda de dados ou roubo de informações privilegiadas como senhas, dados financeiros, informações do negócio ou de produtos e serviços, que podem ser comercializados para concorrentes.

Na maioria dos ataques e problemas de segurança atuais, os funcionários acabam sendo a porta de entrada para as falhas de segurança, por não terem orientação adequada e por não estarem devidamente protegidos na rede através de antivírus e serviços que bloqueiam o acesso a sites nocivos. Por isso a importância de haver orientação adequada e treinamentos para educar os profissionais a não clicarem em links e não abrirem arquivos que possam causar problemas de segurança.

No ano de 2015 a empresa JBS fez um teste com seus 30 mil colaboradores, enviando um e-mail com conteúdo contendo a informação de que o jogador Neymar estaria saindo do Barcelona e iria se transferir para outro clube de futebol, ao clicarem no link da mensagem os usuários foram direcionados para uma página que informava que esta poderia ser nociva e causar danos ou falhas de segurança. A taxa dos que clicaram no link ficou em torno de 10% dos 30.000 colaboradores, onde o recomendado é que fique abaixo de 5%. Após o envio da mensagem de teste a empresa ofereceu a todos os colaboradores um treinamento explicando o perigo de abrir arquivos ou clicar em links de mensagens com origem desconhecida e os cuidados necessários para não correr esse risco.

Esse artigo mostra em detalhes como identificar mensagens de spam e como prevenir o recebimento dessas mensagens.

Para o treinamento dos funcionários é importante utilizar casos que se aproximam ao máximo do cotidiano e da realidade do ambiente de trabalho, mostrando onde existem vulnerabilidades na rotina corporativa e o que fazer para evitar falhas de segurança. Muitas companhias tem como obrigatório na contratação a participação em cursos de segurança e proteção na internet, por exemplo o Banco Santander oferece cursos on-line sobre segurança da informação aos novos colaboradores, com atualizações desse treinamento a cada 6 meses.

Além de evitar cliques em links e a abertura de arquivos suspeitos, é importante criar uma política completa de utilização dos recursos de tecnologia e da internet na empresa. Com orientações básicas, de bloquear o computador sempre que se afastar da mesa de trabalho até técnicas para identificar sites que possam ser fonte de vírus. O ideal é que a empresa tenha uma política de uso da internet definida e que seja do conhecimento de todos colaboradores. Essa política deve descrever o que pode ser acessado e quais as penalidades no caso de não cumprimento das regras. Por questões legais, a empresa deve exigir que o funcionário assine um documento que contenha essa política, informando sua ciência quanto as regras e penalidades.

Outro ponto a ser contemplado nessa política é a utilização de equipamentos pessoais no ambiente de trabalho, principalmente smarthphones. É cada vez mais difícil restringir o uso dos celulares, mas em alguns casos as empresas tem exigido que os colaboradores desliguem seus aparelhos, com liberação em horários ou situações específicas.

Além da conscientização dos funcionários, temos ainda outros dois fundamentos importantes para uma boa estrutura de segurança da internet em ambientes corporativos, que são serviços de antivírus e serviços de controle de acesso a internet. Existem inúmeras alternativas de antivírus que podem ser utilizados, muitos inclusive gratuitos, porém é necessário que estejam sempre atualizados e configurados de forma adequada. Para o controle de acesso a internet, é recomendado buscar a orientação de empresas especializadas na área, podendo ser prestadores de serviços em TI locais ou soluções em nuvem que são mais modernas e acessíveis em sua implementação. Uma boa alternativa é o Lumiun Tecnologia, uma solução inovadora no mercado brasileiro que permite um controle completo do que é acessado na rede e gera relatórios detalhados de tudo que foi acessado, sem a necessidade de aquisição de equipamentos e mão de obra técnica especializada.

A segurança da informação deve ser preocupação e responsabilidade dos diretores da empresa e deve fazer parte da estratégia de gestão de recursos e investimentos. Cabe ao gestor de TI ou empresas terceirizadas contratadas elaborar uma boa política de segurança da informação e definir junto aos diretores sua implementação. Algumas falhas de segurança podem causar enormes prejuízos, por isso é fundamental que esse assunto seja encarado com atenção e prioridade.

Compartilhe conosco como sua empresa orienta os colaboradores quanto aos riscos na internet e que ferramentas são utilizadas para proteger os computadores e a rede de problemas e sites nocivos!

Em 2015, ‘123456’ continuou sendo a senha mais utilizada na Internet

Todos os anos a SplashData reúne uma lista com milhões de senhas que foram descobertas e se tornaram públicas ao longo do ano, então agrupa e classifica todas as senhas com o intuito de descobrir as senhas mais populares e mais utilizadas na internet. Em 2015, foram classificadas mais de 2 milhões de senhas que vazaram na rede. Novamente as senhas ‘123456’ e ‘password’ ficaram entre as mais usadas na internet mundial, veja a lista das 25 senhas mais usadas em 2015:

  • 1. 123456 (inalterado)
  • 2. password (inalterado)
  • 3. 12345678 (+ 1)
  • 4. qwerty (+ 1)
  • 5. 12345 (- 2)
  • 6. 123456789 (inalterado)
  • 7. football (+ 3)
  • 8. 1234 (- 1)
  • 9. 1234567 (+ 2)
  • 10. baseball (- 2)
  • 11. welcome (não constava na lista anterior)
  • 12. 1234567890 (não constava na lista anterior)
  • 13. abc123 (+ 1)
  • 14. 111111 (+ 1)
  • 15. 1qaz2wsx (não constava na lista anterior)
  • 16. dragon (- 7)
  • 17. master (+ 2)
  • 18. monkey (- 6)
  • 19. letmein (- 6)
  • 20. login (não constava na lista anterior)
  • 21. princess (não constava na lista anterior)
  • 22. qwertyuiop (não constava na lista anterior)
  • 23. solo (não constava na lista anterior)
  • 24. passw0rd (não constava na lista anterior)
  • 25. starwars (não constava na lista anterior)

Veja a lista das senhas mais usadas em 2014 e 2013.

Levando em conta que a senha é o primeiro e principal recurso para comprovar a autenticidade de um usuário em diferentes sistemas na rede, podemos perceber que os internautas ainda utilizam senhas sem responsabilidade e preocupação, diante dos tantos problemas de segurança que a internet oferece. Seguindo regras simples é possível aumentar a segurança das senhas e garantir que não possam ser facilmente quebradas e descobertas por hackers que possam fazer mau uso dessas informações.

Veja esse artigo com dicas de como criar senhas fortes e evitar que sejam descobertas.

Como identificar e prevenir o recebimento de spam

Spam é um termo que se refere ao recebimento de mensagens de e-mail não solicitadas. O envio dessas mensagens indesejadas é praticado com vários objetivos distintos e também utilizando diferentes sistemas e meios de propagação na rede. Os tipos de spam existentes são:

  • Boatos (hoaxes) – mensagens relacionadas a histórias falsas, que usam engenharia social com o objetivo de que o usuário (destinatário) encaminhe para os seus contatos;
  • Correntes (chain letters) – mensagens que prometem sorte, riqueza e outros benefícios aos que repassarem para um número de pessoas e contatos dentro de um tempo determinado;
  • Propagandas – divulgação de produtos, serviços e até propaganda política, este é o tipo mais comum de spam;
  • Golpes (scam) – conteúdo com oportunidades enganosas e ofertas que prometem resultados falsos, como ofertas de emprego ou oportunidades de negócios muito lucrativos;
  • Estelionato (phishing) – mensagens com conteúdo disfarçado para iludir os destinatários, solicitando o fornecimento de dados pessoais e senhas;
  • Programas maliciosos (vírus e worms) – conteúdo com informações, anexos e links nocivos, que abertos podem instalar vírus e causar perda de informações;
  • Pornografia – envio de conteúdo pornográfico via e-mail, muitas vezes de material de pedofilia. É importante políticas de segurança para evitar que crianças recebem este tipo de spam;

Mensagens de spam podem ser bem elaboradas e enganar os usuários, se passando por mensagens verdadeiras. Por isso é importante saber identificar essas mensagens para que seja descartadas e classificadas como spam, veja alguns itens a serem observados para identificar mensagens de spam:

  • Cabeçalhos suspeitos: informações de remetente e destinatários incompletas, em ambos podem aparecer apelidos ou nomes genéricos, se o retente é desconhecido o os destinatários estão ocultos, esse é um forte indício de que a mensagem é um spam e pode possuir conteúdo nocivo;
  • Assunto suspeito: se o campo assunto é suspeito e estranho ao conhecimento do destinatários, desconfie. Esse campo é usado para atrair o usuário a abrir as mensagens, então tenha cuidado;
  • Anexos e links: mensagens de e-mail que contém anexos e links a serem clicados, podem ser nocivas;
  • Recebimento único: mensagens que informam que serão enviadas uma única vez geralmente são spam;
  • Opções de sair da lista e remoção: alguns spans justificam o abuso de mensagens informando como opção de descadastramento da lista e sugerindo a remoção do e-mail do cadastro, geralmente estas mensagens são spam;

Existem muitas formas de seu e-mail ir parar em listas de envio de spam, há empresas que comercializam listas para envio de propagandas e inúmeros sites que se utilizam de métodos maliciosos para captar e-mails e até mesmo instalar vírus nos computadores, fazendo destes fontes de spam. É importante evitar e ter muito cuidado ao acessar sites de conteúdo suspeito, como drogas, violência, pornografia e jogos.

A melhor forma de evitar o recebimento de spam e problemas de segurança e vírus é navegar com consciência na rede. Na internet é necessário cuidados semelhantes aos que temos no trânsito e ao entrar e sair de nossas casas. As dicas para reduzir a ocorrência de spam estão diretamente relacionadas aos cuidados recomendados aos usuários da Internet, para que possam usufruir com segurança de todos os recursos e benefícios da internet.

Veja algumas dicas importantes de segurança e prevenção de spam:

  • Preserve e evite informar dados pessoais, e-mails e principalmente senhas de bancos e de cartão de crédito;
  • Tenha e-mails distintos para atividades profissionais, pessoais, compras e cadastros on-line;
  • Evite clicar em links suspeitos em sites, principalmente sendo sites desconhecidos e também em links de mensagens de e-mail;
  • Precaução em acessar e clicar em promoções e oportunidades aparentemente imperdíveis de descontos e compras, muitas vezes podem disfarçar vírus e cadastros irregulares;
  • Evite realizar cadastros em sites sem antes obter informações completas sobre os sites e produtos ou serviços oferecidos, também é importante buscar referências em outros sites e conhecidos;
  • Tenha sempre habilitado os recursos de anti-spam do e-mail fornecidos pelo fornecedor desse serviço;
  • É importante utilizar ferramentas de prevenção em seu computador, como anti-spyware, firewall pessoal e antivírus;

Sabemos que é praticamente impossível evitar o recebimento de mensagens indesejadas, mas seguindo essas dicas e navegando na internet com precaução, é possível reduzir os spans e principalmente, evitar problemas de segurança como perda de informações ou problemas com bancos e cartão de crédito.

 

16 dicas práticas para garantir sua segurança na Internet

Ao sair de casa, certamente você toma cuidados básicos para se proteger de assaltos e outros perigos existentes na rua. Na Internet, também é importante seguir algumas regras e procedimentos para evitar problemas com fraudes, espionagem, roubo de informações ou senhas e tantos outros perigos existentes no mundo digital.

Veja 16 procedimentos que podem aumentar a sua segurança na Internet e evitar problemas!

Fundamentos de Segurança da Informação para empresas

Em resumo, podemos entender a segurança da informação como a proteção contra o uso ou acesso não autorizado à informação.

Considerando que a informação é um dos bens mais valiosos de uma instituição ou empresa, é fundamental reduzir ao máximo os riscos de vazamentos ou perda de dados, fraudes em arquivos ou banco de dados, erros humanos ou operacionais, uso indevido de sistemas por falta de capacitação, paralisações de rede ou serviços, roubo de informações ou qualquer outra ameaça que possa prejudicar a empresa.

A segurança da informação não está limitada a sistemas de computação, nem à informação em formato digital. Pois o conceito se aplica a todos os aspectos de proteção da informação ou dados, nas variadas formas possíveis. O nível de proteção deve corresponder ao valor/importância dessa informação e aos prejuízos que poderiam decorrer do uso impróprio dos dados. Também é necessário lembrar que segurança da informação cobre toda infraestrutura que permite o seu uso, como processos, equipamentos, sistemas, serviços, tecnologias, e outros.

Em segurança, temos três princípios que fundamentam e orientam a análise, o planejamento e a implementação da segurança em empresas que desejam proteger suas informações, que são:  Confidencialidade, Integridade e Disponibilidade. Em complemento, outros atributos importantes são a irretratabilidade, a autenticidade e a conformidade. Privacidade também demanda grande preocupação, considerando a evolução do comércio eletrônico e da sociedade da informação.

segurança-informação

Confidencialidade

Consiste em garantir que a informação estará acessível somente à pessoas/entidades com autorização definida pelo responsável. Ao mesmo tempo a informação deve estar protegida para qualquer forma de acesso não autorizada. A perda da confidencialidade ocorre quando alguém não autorizado obtém acesso a recursos/informações.

Integridade

Deve haver garantia que a informação se mantenha com todas as características originais definidas pelo proprietário da informação, incluindo ações em todo ciclo de vida dos dados (criação, manutenção, edição e destruição). Temos a perda da integridade quando a informação é alterada indevidamente ou quando não se pode garantir que os dados estão atualizados, por exemplo.

Disponibilidade

É a garantia que uma informação esteja disponível para acesso no momento desejado. Corresponde à eficácia do sistema, ao correto funcionamento da rede para que quando a informação for necessária ela possa ser acessada. A falta de disponibilidade ocorre quando é desejado o acesso e não é possível o acesso esperado.

Outros conceitos importantes na segurança da informação são:

  • Autenticidade: garantia de identificação da fonte declarada como proveniente da informação e que os dados não sofreram mudanças ao longo de um processo.
  • Irretratabilidade: deve garantir a impossibilidade de negação de autoria em relação a uma transação realizada.
  • Conformidade: garante que o sistema está de acordo com as leis e regulamentos associados ao tipo de processo.
  • Privacidade: a exposição e a disponibilidade de informações deve ser controlada de acordo com o teor e importância dos dados

Podemos perceber que os conceitos que fundamentam a segurança da informação são amplos e se complementam entre si. Dessa forma, as empresas precisam buscar em sua política de segurança ações que atendam todos esses conceitos, pois as vulnerabilidades e ameaças à segurança da informação são relacionadas diretamente à perda de qualquer uma das três características principais de segurança.

Para a elaboração de uma política de segurança devem ser avaliados os riscos associados à falta de segurança; os benefícios e vantagens e os custos de implementação dos mecanismos. O investimento pode se tornar alto, mas o risco e a ocorrência de problemas de segurança podem custar muito mais às empresas.

Importância da segurança na Internet para pequenas e médias empresas

Em pesquisa realizada pela FIESP sobre Segurança na Internet, foi traçado o perfil dos ataques de hackers à empresas paulistas: 46% dos ataques tem como objetivo as informações sigilosas da empresa e de seus clientes. 59% dos ataques visam a área financeira e 60% desses ataques acontecem em empresas de pequeno e médio porte. A forma mais utilizada de ataques é a instalação de vírus e programas maliciosos em computadores da empresa, visando captura de dados e utilização dos recursos computacionais para fins maliciosos.

A pesquisa mostrou que maioria das grandes empresas utilizam soluções robustas de segurança no acesso a Internet. Isso faz com que os ataques sejam direcionados para as pequenas e medias empresas. Pequenos e médios empresários desconhecem, em sua maioria, que a sua conexão com a Internet é também uma porta de entrada para sua empresa e que fica disponível 24 horas por dia. Além disso, empresas menores não possuem setores especializados em tecnologia e segurança da informação.

Como na maioria das vezes a empresa não tem uma proteção efetiva de segurança, as informações do seu negócio e também as informações dos seus clientes acabam sendo acessadas e copiadas por hackers que se utilizam da sua vulnerabilidade. O vazamento de informações da empresa e principalmente de seus clientes, pode ser fatal para a sua sobrevivência e crescimento. Por esse motivo, é necessário que as pequenas e médias empresas tenham também algum tipo de solução para garantir a segurança dos seus dados e do acesso a Internet em sua rede. Nesse sentido, o ideal é buscar soluções práticas que atendam suas necessidades de forma eficiente e com custos acessíveis.

A pesquisa apontou também que é possível reduzir problemas e prejuízos se as empresas considerarem como prioridade no planejamento estratégico investimentos para a segurança e gerenciamento do acesso a Internet. Em complemento a esse investimento, é necessário também oferecer treinamento aos colaboradores e definir políticas e regras internas de utilização da Internet. Essas ações irão garantir segurança nas informações do negócio e potencializar a produtividade da equipe através do melhor uso dos recursos de tecnologia.

Para atender as necessidades de pequenas e médias empresas em relação a segurança e controle de acesso a Internet, o ideal é buscar soluções enxutas, de baixo custo e voltadas para as necessidades do negócio, uma boa alternativa é o Lumiun. Com o Lumiun é possível implementar um controle eficiente no acesso a Internet sem alto investimento em equipamentos e sem necessidade de mão de obra especializada. Veja os benefícios e vantagens e saiba como contratar para sua empresa.

Compartilhe nos comentários suas experiências com soluções de segurança e controle de acesso a Internet em pequenas e médias empresas.