Segurança da informação: por que isso preocupa as empresas hoje?

em Soluções.

Uma das maiores preocupações dos gestores de TI é a segurança da informação nas empresas. A cada dia surgem novas táticas de ataque na internet, fazendo com que seja extremamente importante que esses profissionais se atualizem quanto às formas de identificar e evitar vulnerabilidades.

Só em 2017, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil recebeu mais de 830 mil notificações de ataques virtuais no país — um número muito maior que o de dois anos atrás.

As empresas são o principal alvo, não só por causa de informações bancárias, mas também pela sua propriedade intelectual e a proeminência de suas figuras públicas. Os vazamentos de informações decorrentes desses ataques acarretam, além de perdas financeiras, danos à imagem pública tanto da companhia quanto de seus membros.

18ª Pesquisa Global de Segurança da Informação da PwC identificou que o número de ataques cibernéticos cresceu 274% no Brasil: um percentual muito superior aos 18% da média global e aos 14% da sul-americana.

Em contrapartida, essa pesquisa consultou 10 mil executivos ao redor do mundo e percebeu um aumento de 24% nos investimentos em segurança.

Quer saber mais sobre como o investimento em TI pode contribuir para o aumento da segurança na sua empresa? Continue a leitura!

O que é segurança da informação?

Um dos enganos mais comuns sobre a segurança da informação nas empresas é associá-la somente à prevenção de ataques externos de hackers e à implantação de políticas como firewall e antivírus. No entanto, a segurança da informação vai desde o controle de acesso aos espaços físicos até treinamentos com os funcionários.

Todas essas ações se complementam na construção de uma política de segurança da informação efetiva, que se apoia em 3 pilares principais: confidencialidade, integridade dos dados e disponibilidade.

Confidencialidade

Significa que as informações só devem ser acessadas por pessoas autorizadas, o que pode ser aplicado por meio de um sistema para restrição de acesso, como senhas e biometria.

Integridade dos dados

Está diretamente ligada à confidencialidade. Esse princípio estabelece a garantia de que os dados só podem ser alterados por pessoas autorizadas.

Disponibilidade

Diz respeito à continuidade dos serviços prestados. Esse é um ponto-chave para a maioria das empresas, já que interrupções de serviço ferem a imagem da organização diante do cliente e causam prejuízos diversos.

Elas são causadas por vários tipos de ataques e problemas em equipamentos, sendo que nem sempre é possível evitá-las. Portanto, é importante que haja planos de recuperação para minimizar os prejuízos.

Além desses pilares, há 3 outros pontos que os complementam: autenticidade, auditabilidade e legalidade.

Autenticidade

Diz respeito à verificação da identidade dos usuários, o que está diretamente relacionado com o uso de processos de autenticação. Segundo a já citada pesquisa da PwC, 91% dos empresários entrevistados preferem autenticação avançada, com tokens, biometria e outros recursos mais seguros do que a simples senha.

Esses recursos de TI trazem diversos benefícios, como redução de riscos, melhor experiência e maior confiança por parte dos clientes e usuários.

Auditabilidade

É a tradução do termo accountability, que ainda é muito utilizado. Tem como função a criação de registros dos sistemas da empresa. Desse modo, é possível identificar quem executou qual operação, o que contribui para encontrar culpados por ataques cibernéticos e facilitar a reversão de ações indevidas. Além disso, muitos dos ataques são executados no decorrer de um longo período de tempo, o que dificulta identificá-los sem a manutenção de um registro.

Legalidade

Está relacionada à preservação da informação segundo os preceitos legais. Sendo assim, é um ponto complementar ao pilar da integridade, juntando a proteção dos dados à conformidade com padrões nacionais e internacionais.

Por que se preocupar com a segurança da informação nas empresas?

À medida que cada vez mais serviços de uma empresa passam a usar recursos de TI, também aumenta o número de ataques voltados para essa área. Porém, deixar de utilizar a internet como um recurso, além de inviável, não significa que as suas informações estarão totalmente seguras.

A solução que está sendo adotada pelas empresas é vincular parte de seus investimentos em TI à área específica da segurança da informação.

De acordo com a Pesquisa Global de Segurança da Informação 2016, o número de incidentes de segurança relacionados a roubo de propriedade intelectual e patente corresponde a 38% do total de casos.

Entre as fontes de ataques, funcionários e ex-funcionários são os mais citados, mostrando que a preocupação com segurança da informação nas empresas também deve estar voltada para a área interna do negócio.

Ao contrário do senso comum, a maior parte das perdas é de informações de identificação pessoal dos clientes, representando 47%. Em seguida, há os dados de cartões de crédito, alcançando 41% do total.

Um dado importante é que, em 36% dos casos de incidentes de segurança, as empresas tiveram sua reputação danificada, o que causou perdas financeiras graves.

No ano passado, o prejuízo dos acidentes de segurança chegou a mais de US$2 milhões entre as empresas consultadas pela pesquisa. A tendência desse número é diminuir, à medida que as organizações começarem a adotar políticas de segurança mais fortes.

Embora 91% das empresas já adotem uma política de framework de segurança baseado em riscos, apenas metade das corporações investe em políticas-chave, como avaliações de ameaça e monitoramento ativo das informações de segurança.

Os orçamentos e estratégias de segurança ainda são muito questionados nos conselhos de administração, que têm dificuldade de entender como a segurança da informação pode ser gerenciada como qualquer outro risco da empresa. Algumas das ações dos líderes de segurança que podem contribuir para uma maior compreensão dos conselhos administrativos são:

  • comunicar estratégias e riscos aos líderes executivos;
  • abordar o problema como algo que pode ser gerenciado;
  • fornecer atualizações frequentes sobre os riscos de segurança da informação.

Atualmente, há diversas tendências no mercado de TI — computação na nuvem, Internet das Coisas, pagamento mobile —, e cada uma delas requer novas políticas de proteção. Com a segurança da informação não poderia ser diferente: uma das maiores tendências atuais é a análise de Big Data, usada por 59% das empresas.

Quais os riscos da perda de informações?

A falta de segurança da informação nas empresas pode comprometer o negócio ética e juridicamente. Além disso, os prejuízos financeiros podem ser substanciais.

Segundo um relatório divulgado pela IBM em 2017, intitulado Ponemon Cost of Data Breach Study, mesmo com uma queda de 10% nas ocorrências de violações de dados em relação ao estudo anterior, os danos ainda chegaram a US$3,62 milhões.

No entanto, apesar de o custo total ter sofrido essa redução, o tamanho médio das violações aumentou 1,8%. Por isso, ter ciência dos riscos relacionados a não proteção dos dados é fundamental para implementar uma estratégia de segurança da informação nas organizações.

Veja a seguir os impactos sofridos pela empresa ao ter seus dados comprometidos.

Perda da confiança na marca

Quando uma empresa perde dados confidenciais, geralmente seus clientes são afetados, e isso acarreta prejuízos à imagem da organização e à confiança que o público tem nela. Por fim, o negócio pode perder os próprios clientes, aumentando as taxas de churn e reduzindo seu potencial de retenção.

Além disso, essa perda de credibilidade certamente vai pôr em xeque a capacidade da empresa de fechar novos negócios ou fazer outras parcerias.

Ações judiciais

Em suas relações comerciais, toda empresa armazena dados sobre colaboradores, fornecedores e clientes — como histórico de compras, informações particulares e padrões de consumo. É dever legal da organização manter esses registros em sigilo.

Quando ela falha nessa responsabilidade e é comprovada sua culpa em relação à falta de segurança da informação, a empresa pode sofrer sanções judiciais que comprometem sua imagem e sua saúde financeira.

Diante de tantos riscos, saiba o que a empresa pode fazer para manter a segurança de seus dados corporativos!

Como se proteger?

Fique atento e faça backups

Independentemente de onde os dados sejam alocados — servidor local ou contratado —, é fundamental programar backups regulares. A periodicidade, no entanto, varia bastante. Algumas empresas começam com uma rotina mensal, mas essa estratégia abre uma janela de 30 dias de um histórico que poderia ser perdido.

Outros gestores preferem realizar as cópias de segurança diariamente ou até a cada fração do dia. De qualquer forma, lembre-se disto: quanto menor o intervalo entre um backup e outro, mais protegidas estarão as informações.

Tenha cuidado com o servidor

Não delegue o armazenamento dos seus dados a qualquer servidor. Busque empresas de confiança, que forneçam um data center seguro. Isso engloba a adoção de políticas de segurança eficientes e um programa de backup de dados com competência reconhecida no setor.

Aprimore as senhas

Uma estratégia muito comum de hackers e malwares é descobrir senhas. Softwares do gênero realizam uma série de testes para detectar sequências populares, como nomes próprios, vocábulos do dicionário, personagens conhecidos, filmes, datas importantes etc. Até mesmo a combinação de números e letras aleatórias pode ser aplicada para quebrar a chave de acesso.

Pensando nisso, muitos desenvolvedores criam padrões de senhas que devem ser obrigatoriamente seguidas no momento do cadastramento. Adicionalmente, os usuários devem ser orientados sobre algumas práticas básicas para garantir maior proteção aos seus dados pessoais, tais como:

  • não usar palavras reais, ou seja, aquelas que podem ser encontradas em um dicionário, por exemplo;
  • combinar sequências de letras maiúsculas e minúsculas, números, caracteres não alfanuméricos etc.;
  • evitar usar a mesma senha para serviços diferentes;
  • não compartilhar a senha, mesmo que alguma empresa a solicite;
  • escolher senhas que sejam fáceis de lembrar, para evitar fazer anotações em papéis ou arquivos digitais;
  • não usar senhas com nomes ou datas óbvias, como aquelas relacionadas a família, a um animal de estimação ou a algum dia especial;
  • na dificuldade de lembrar senhas, considerar a possibilidade de usar um software para gerenciá-las.

Implemente ferramentas de notificação

Existem ferramentas que notificam em tempo real atividades suspeitas e ameaças presentes no hardware e na rede. Elas podem ajudar, pelo menos, de duas maneiras.

Primeiramente, permitem que os profissionais de TI ajam antes que os dados sejam corrompidos, preservando sua integridade. Além disso, caso já tenha ocorrido alguma invasão, os danos podem ser atenuados.

Treine sua equipe

O fator humano representa uma grande vulnerabilidade para os dados corporativos, uma vez que a falta de responsabilidade e de conhecimento no gerenciamento dos registros pode abrir uma brecha significativa para a ação de pessoas mal-intencionadas.

Os ataques de phishing, por exemplo, são baseados em técnicas de engenharia social que visam atrair pessoas a assuntos específicos. Podemos ver esse tipo de ameaça em e-mails corporativos supostamente enviados por gerentes de bancos, pela Receita Federal ou por órgãos de proteção ao crédito. Acreditando ser uma mensagem verdadeira, o usuário clica em um link que o direciona a um site nocivo ou baixa um malware na máquina.

É interessante que, mesmo com uma notificação de ameaça, um número considerável de colaboradores prossegue com a ação e coloca os dados da companhia em risco. Por isso, é fundamental instituir um programa de orientação sobre a segurança da informação nas empresas.

Esse treinamento pode incluir materiais educativos, como cartilhas, panfletos e vídeos, que expliquem quais comportamentos podem comprometer a segurança dos dados.

Não esqueça dos antivírus

É importante que a empresa adote sistemas de proteção e detecção de vírus. Também conhecidos como antivírus, esses softwares funcionam 24h por dia e precisam estar sempre atualizados e configurados adequadamente.

Vale ressaltar que, para dados corporativos, a recomendação é adquirir antivírus com soluções corporativas, em vez de optar por modelos gratuitos. Essas versões distribuídas sem custo muito provavelmente não vão atender às necessidades da sua empresa.

Faça criptografia de dados

A criptografia é fundamental para manter o sigilo dos registros. Ela consiste em um conjunto de técnicas que codificam as informações de modo que apenas o destinatário autorizado e o emissor da mensagem conseguem interpretá-la, evitando assim que terceiros compreendam o conteúdo, mesmo que consigam interceptá-lo.

Crie um contrato de confidencialidade

Esse cuidado está relacionado à política da empresa, e não a soluções tecnológicas. É uma medida importante porque, em sua relação com colaboradores, parceiros e fornecedores, a organização precisa compartilhar dados. Então, o indicado é que o modo como esses registros serão gerenciados esteja previsto em termos de confidencialidade.

De fato, todo cuidado é pouco. A segurança da informação nas empresas é um assunto que precisa estar em constante discussão. Afinal, novos perigos e tendências surgem a cada dia, principalmente no setor de TI. Então, é necessário que as empresas mantenham o passo com o uso das melhores soluções para garantir a proteção de seus dados, de seus usuários e de seus parceiros.

Quer saber mais sobre as soluções da Locaweb Corp? Acesse nosso site!