Como pensar a segurança da informação para pequenas empresas

No Brasil as empresas de pequeno e médio porte em geral não se preocupam com a segurança da informação por não se acharem importantes o bastante para serem alvo de criminosos e, por consequência, não verem valor nisso.

Existe uma falta de entendimento sobre como a segurança é importante para o negócio e quais seriam as consequências de um ataque bem-sucedido. Se grandes empresas perdem milhões em grandes ataques, para empresas pequenas o dano pode ser catastrófico.

Porém, em tempos de crise, por onde começar? Siga os nossos passos:

Entenda a ameaça real

Um erro comum de pequenas e médias empresas é achar que elas não são um alvo, porém, o relatório Verizon Data Breach Investigations Report de 2015 notou que 60% dos ataques bem-sucedidos foram direcionados às pequenas e médias empresas justamente porque elas não têm a expertise e os recursos necessários para monitorar e gerenciar produtos de segurança no seu ambiente. O relatório também mostrou que os estragos não são em menores proporções quando se trata de empresas pequenas. Grandes empresas de fato têm perdas maiores, mas apenas porque têm mais registros para perder.

Outra razão para que as pequenas e médias empresas corram riscos é achar que basta se proteger para propósitos de compliance, porém, passar em auditorias não quer dizer que a empresa esteja segura. É comum o investimento em ferramentas como firewalls e sistemas de segurança básicos para cumprir com normas de auditorias, enquanto soluções mais modernas são ignoradas.

Segurança da informação é essencial para o negócio

No Brasil ainda são pequenos os investimentos em inteligência em segurança da informação. O budget ainda é direcionado para a troca de um equipamento ou outro que, no final, acaba não acrescentando em nada à segurança.

A falta de maturidade em segurança da informação das pequenas e médias empresas as leva a pensar que a segurança se resume à compra de novos aparatos tecnológicos e não à proteção dos dados. A compra de novos softwares são apenas uma parte da estratégia, que inclui a implementação de políticas de segurança para proteger os ativos da empresa.

Para isso é importante conhecer as vulnerabilidades do negócio, ter capacidade de quantificar o impacto dessas vulnerabilidades caso sejam exploradas, determinar o nível de risco aceitável e o que deve ser mitigado e só então pensar na implementação de tecnologias e processos para eliminar os riscos.

Escolha o melhor parceiro

Nas pequenas empresas é comum ter apenas uma pessoa responsável pela segurança da informação. Quando o negócio vai crescendo e as demandas aumentam é comum recorrer a um parceiro de segurança da informação, que oferecerá implementações, consultorias e serviços gerenciados de segurança (em inglês, Managed Security Service – MSS).

Para isso, é preciso considerar o nível de expertise e de recursos e procurar um serviço que proteja o ambiente durante 24h e sete dias por semana. A empresa precisa ter conhecimento dos produtos de segurança oferecidos e capacidade de detectar e solucionar ameaças, como o MSS PROOF.

Com Dark Reading

Como os CSOs podem incentivar uma cultura de segurança

Segurança da informação não se trata apenas de novas tecnologias e conhecimentos técnicos. As pessoas são essenciais para colocar em prática as políticas de segurança e garantir que os ativos da empresa estejam protegidos. Por isso, CSOs e gestores de segurança devem ter não apenas conhecimentos técnicos, mas também uma grande capacidade de engajamento.

As pessoas são o elo mais fraco em um sistema de segurança e, para que se tornem suas maiores aliadas, é preciso focar em cada indivíduo, incorporando-o à estratégia de segurança. Veja como:

Faça-os entender os benefícios pessoais da segurança

Os funcionários não querem ser incomodados com políticas de segurança a menos que entendam sua importância e seus benefícios. Para que entendam o valor da segurança é preciso mostrar a eles como uma violação os impactaria individualmente. Por exemplo, um funcionário ficará mais preocupado com segurança da informação se souber que seus projetos estão salvos em uma rede segura contra roubos, ataques e falhas no sistema.

Ensine o valor da segurança com exemplos práticos

Simplesmente dizer aos funcionários o que fazer, como fazer backup dos dados, respeitar as políticas de segurança e ficar atentos a malwares, não vai ensiná-los o valor da segurança da informação. Para isso, é preciso compartilhar exemplos que demonstrem como a segurança já impactou as empresas. Se alguém abre um e-mail de phishing, por exemplo, um malware pode ameaçar toda a rede corporativa.

Crie políticas de segurança fáceis de reforçar

Ter a mais avançada estrutura de segurança não é o suficiente para garantir que os ativos da empresa estejam seguros, pois ainda há a possibilidade de erro humano. Perdas de dados por causa de malwares, falhas no hardware e acidentes são as ameaças mais comuns e fáceis de prevenir. Crie processos fáceis em que o time de segurança da informação possa analisar e aprovar aquisições de novos softwares.

Estreite o relacionamento com funcionários

Líderes de segurança da informação são responsáveis por aconselhar e consultar os funcionários para ajudá-los a entender suas responsabilidades em relação à segurança. Como parte disso, eles devem quantificar o risco e explicar como isso se aplica a cada departamento. Os CSOs devem mostrar como a segurança se estende aos endpoints, redes e datacenters e como qualquer novo elemento pode expor toda a rede.

Com Dark Reading

Vulnerabilidades: Blindar completamente a rede é impossível

Praticamente todas as empresas do mundo sofrem com milhares de vulnerabilidades que podem ser facilmente exploradas por hackers. No entanto, por mais assustador que pareça, para os profissionais de TI, essa é apenas uma velha realidade.

A verdade é que é impossível não haver nenhuma vulnerabilidade de TI em uma empresa. Não importa o quanto seja gasto em softwares avançados de segurança para impedir que hackers tirem vantagem, os criminosos sempre vão encontrar novos alvos fáceis para agir, mesmo em uma série de camadas de segurança.

Nenhuma solução de segurança funciona completamente. Porém, nossos esforços para alcançar o impossível são o melhor que podemos fazer. Há uma série de verdades dolorosas sobre segurança em TI que mostram por que as soluções de segurança falham e como as empresas e os profissionais de TI podem trabalhar para atenuar as fragilidades dos softwares de segurança.

Não existe solução perfeita

É difícil construir um sistema de defesa infalível para qualquer dispositivo. As soluções de segurança são, normalmente, trabalhadas apenas em algumas plataformas e versões.

Não só os softwares não são completamente seguros em qualquer plataforma, mas também nenhum profissional de TI entende de absolutamente todos os dispositivos utilizados para se conectar à rede.

Mesmo que seus dispositivos e plataformas suportem o software de segurança, a implantação é imperfeita. Nunca se consegue atingir 100% de dispositivos protegidos pela solução de segurança por causa de uma série de questões, como problemas de rede e conectividade com sites, firewalls bloqueados, registros corrompidos, mudanças na versão do sistema operacional e outras questões.

A segurança em TI deve conviver com a realidade de que alguns dispositivos podem não estar com os softwares de segurança instalados corretamente. No entanto, é importante que, no mínimo, qualquer solução de segurança informe quais dispositivos estão protegidos e quais estão com problemas.

Além disso, muitas empresas não dispõem de pessoal suficiente para monitorar as ferramentas de segurança o tempo todo. Com frequência ocorre o desperdício de tempo e dinheiro. Meses são gastos avaliando e explorando uma grande ferramenta de segurança comprada, contudo, quando outras necessidades dos profissionais de TI se sobrepõem, poucos têm tempo para analisar e gerenciar as ferramentas de segurança adequadamente, ou mesmo conseguir avaliar cada um dos alertas emitidos, que, frequentemente, são falsos.

Dispositivos de segurança não se mantêm sozinhos. Para efetivamente monitorar os dados corporativos e mitigar os riscos, é preciso dedicar a eles equipes e recursos para que possam trabalhar em seu potencial de proteção máxima.