Como proteger as informações da minha empresa?

Posted on

 

A combinação correta dos métodos básicos pode aumentar significativamente a segurança dos dados corporativos e impedir vazamentos acidentais de dados

Segundo o Gartner, os gastos mundiais com segurança da informação superaram os US$ 86 bilhões. E em um ano, as empresas gastarão pelo menos US$ 93 bilhões para proteger seus dados. Os fabricantes têm oferecido aos seus clientes as tecnologias mais modernas com elementos de inteligência artificial e treinamento computadorizado, e os provedores de serviços estão cada vez mais personalizados. Enquanto isso, os métodos básicos de segurança da informação permanecem os mesmos. Vamos descobrir quais são esses métodos e quando sua implantação exige apenas simples ferramentas integradas ao sistema operacional.

Proteção contra riscos “humanos”

Do ponto de vista da segurança da informação, a causa mais provável de vazamento interno é o usuário que acessa regularmente os recursos e dados da rede corporativa. De acordo com uma pesquisa da IBM e do Ponemon Institute, em 74% dos incidentes, a falha do usuário desempenhou um papel decisivo. Portanto, deixaremos fora da análise recusas e avarias de equipamentos, epidemias de vírus, proteção contra ataques de hackers, inspeção de tráfego, análise de registros e outros métodos de combate contra ameaças tecnológicas. Vamos nos concentrar no usuário como o ponto fraco da segurança da informação.

Aumento da capacitação de usuários

Por que os usuários cometem erros? Na maioria das vezes – por falta de conhecimento e imprudência. A estabilidade do sistema de proteção da informação é diretamente proporcional à capacitação e responsabilidade dos usuários. Treine seus funcionários, faça com que eles – literalmente – decorem o regulamento de trabalho com informações confidenciais, exclua a possibilidade de obtenção “não oficial” de privilégios, burlando as regras de segurança. Explique a gravidade das perdas em caso de negligência ou não conhecimento, consolide a responsabilidade pessoal e financeira de cada funcionário.

Monitoramento dos direitos de acesso

Antes de tudo é necessário realizar uma auditoria para determinar os níveis de acesso e o contexto de trabalho dos usuários com documentos e arquivos.

Em pequenas empresas, a compreensão sobre a hierarquia dos usuários e níveis de acesso sempre está ao alcance do administrador de sistemas experiente. Para o qual, ferramentas padrão já serão suficientes para monitorar privilégios e gerenciar os direitos de acesso a todos os recursos e programas.

Para monitorar os direitos em empresas de médio porte, é preferível a utilização de ferramentas centralizadas, que analisam a rede corporativa e determinam automaticamente o excesso de autoridade ou ações potencialmente perigosas do usuário com relação às informações. Essa função pode ser desempenhada, por exemplo, pelos sistemas SIEM.

Em grandes empresas, recomenda-se uma automação da auditoria mais profunda sobre os direitos, com o auxílio de ferramentas especializadas da classe IDM. A implantação e o acompanhamento das soluções IDM é quase sempre, um processo exclusivo que leva em conta as especificidades de um setor em particular e de cada cliente.

 O princípio mais importante do monitoramento, seja em um modo “manual” ou automatizado, é a auditoria diária de todos os objetos de acesso. A intenção é limitar a possibilidade de os usuários criarem novos objetos por conta própria e monitorar cuidadosamente a alteração dos privilégios de acesso a objetos já criados. Caso contrário, a qualquer momento aparecerá no computador da secretária uma pasta com acesso público, contendo um relatório financeiro anual.

Limitação dos direitos de acesso

O próximo passo é o “corte” de direitos: quanto menos possibilidades de realizar violações intencionais ou acidentais o usuário tiver, maior o nível de proteção da informação. Dois procedimentos importantes precedem a limitação de direitos.

Primeiro, é necessário fazer uma lista das pessoas com direitos legítimos de posse de informações críticas na empresa. Em segundo lugar – regulamentar claramente as obrigações dos funcionários, definir os recursos e os documentos necessários para um processo de trabalho ininterrupto. Por exemplo, se um contador ficar sem acesso ao gerenciamento de tarefas do departamento de desenvolvimento e não tomar conhecimento sobre quais tarefas estão na lista do departamento de suporte técnico, o trabalho do departamento de contabilidade não será paralisado. Da mesma forma, se tirarmos de um engenheiro o acesso ao site corporativo para edição de notícias, o processo de desenvolvimento dos produtos também não será afetado.

A escolha das ferramentas para a limitação dos direitos de acesso é uma “questão de gosto”. Para isso, também podem ser usadas ferramentas Active Directory, os serviços Web e opções integradas de aplicativos – qualquer produto de TI dos dias de hoje oferece a possibilidade de organizar os níveis de acesso de uma forma ou de outra.

Sendo importante apenas que a limitação dos direitos do usuário no ecossistema corporativo tenha adquirido as qualidades de uma operação cíclica. À medida que a empresa se desenvolve, ocorrem mudanças nos processos empresariais ou nas escalas de pessoal, inevitavelmente surgirão usuários com direitos insuficientes ou o contrário. Portanto, a auditoria e a distribuição de funções devem ser realizadas regularmente.

Criptografia

Em qualquer rede corporativa, sempre existem informações críticas, que não poderão ser protegidas apenas limitando o acesso a elas. Um exemplo simples e óbvio – os dados pessoais de funcionários. Uma proteção adicional para dados vulneráveis é fornecida por meio de criptografia.

A criptografia é um método simples e acessível de proteção de informações, garantindo o movimento seguro dos dados dentro da empresa e através da Internet, quando os funcionários enviam informações pela rede, por exemplo, na troca de documentos através do servidor de arquivos ou quando enviam e-mails. Além disso, a criptografia protege contra ameaças físicas, incluindo roubo ou perda de laptops, de dispositivos conectados e mídias de armazenamento externo. Em qualquer uma dessas situações, os dados criptografados serão inúteis aos invasores.

A linha de ferramentas criptográficas varia desde ferramentas integradas do sistema operacional e dispositivos de rede de hardware para criptografia de tráfego até gateways de criptografia dos canais de comunicação e recursos de criptografia especializados, por exemplo, a criptografia de banco de dados.

Outra característica do uso do método de criptografia está relacionada à influência sobre a velocidade dos processos de trabalho. O uso excessivo da criptografia atrasa o trabalho, por exemplo, durante a transmissão de informações para uma unidade flash USB, o uso de algoritmos excessivamente criptografados pode exigir do usuário de 2 a 3 vezes mais tempo do que os algoritmos clássicos.

A medida adequada de criptografia significa optar por um algoritmo rápido e imperceptível, sem riscos objetivos de exposição. Do ponto de vista dos negócios, é absurdo diminuir o ritmo de trabalho da empresa com algoritmos criptográficos complexos, apenas para garantir que invasores não gastem dezenas, mas centenas de anos para decifrá-los. Por isso, as informações nos pontos de extremidade são mais frequentemente criptografadas por um software especializado não muito sofisticado ou por ferramentas integradas do Windows.

Mesmo com todas as vantagens, a criptografia não protege contra o fator humano. Os usuários têm acesso a recursos e “chaves” de arquivos criptografados. Para proteger as informações corporativas das atividades de agentes internos, é preciso ir além – para a análise de conteúdo.

Análise de conteúdo

A análise de conteúdo responde a perguntas como, com quais informações o usuário está trabalhando e se essa informação é (um documento ou arquivo específico) crítica para a empresa.

Para isso, é necessário levantar o “inventário” de arquivos e documentos, que estão armazenados em pastas compartilhadas e nos discos rígidos dos computadores de usuários, em bancos de dados, NAS corporativos (armazenamento em rede), SharePoint, servidores Web e outros objetos do sistema TI. É necessária uma ferramenta que detecte informações de acesso restrito em qualquer “canto negligenciado” da infraestrutura corporativa.

Resultado

A proteção de informações confidenciais é um processo cíclico, que depende em grande parte de métodos organizacionais e não técnicos. O treinamento de usuários quanto às regras de segurança da informação, o monitoramento e a limitação dos direitos de acesso, a criptografia de dados, e a implantação de sistemas de segurança todos estes métodos fornecem proteção confiável apenas diante de uma abordagem lógica e integrada. A combinação correta dos métodos básicos pode aumentar significativamente a segurança dos dados corporativos e impedir a possibilidade de vazamentos acidentais de dados ou a divulgação deliberada de informações confidenciais.

Fonte: administradores.com.br

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Top