por admin

30 nov 2017

Soluções de segurança da informação e sua aplicação em diferentes segmentos

Cada segmento de mercado tem suas particularidades (missão, visão, capital intelectual e objetivos de negócio específicos, por exemplo). O que há em comum é que toda organização moderna, de uma forma ou de outra, está sempre conectada.  Não só sob o ponto de vista de seus usuários internos buscarem informações na Internet, mas, também no que concerne a publicarem suas informações para acesso externo (fornecedores, parceiros de negócio, clientes e, em várias situações, o público em geral). Existem também aqueles dados aos quais o acesso deve ser provido de forma condicional, para um grupo bem seleto de usuários.

Neste cenário as empresas precisam ter como prioridade a segurança das informações. Como gestor você deve questionar:

– Estou tranquilo em saber que dados sensíveis dos meus clientes podem estar visíveis para cada um que acesse a rede?

– Existem estratégias que não devem ser acessadas por qualquer pessoa? Me sentiria confortável em saber que a concorrência pode ter acesso a dados, informações, relatórios e etc.?

 

Segurança da informação na prática

A segurança da informação parte de uma questão fundamental: Qual informação tem valor para sua organização? A partir daí, um conjunto de práticas associadas a tratar com o zelo apropriado tudo o que se refere ao tratamento dessa informação (geração, transporte e armazenamento de forma segura).

Adotando-se a premissa de que “ataques acontecem” (independentemente de quanto cada empresa invista em Segurança), podemos pensar em outros elementos importantes para a definição:

– a capacidade de se defender e proteger de ataques;

– a agilidade para identificar que um ataque está acontecendo, como está acontecendo e o que está sendo afetado;

– a eficiência em conter e remediar o ataque, reduzindo os danos causados;

– a maturidade para saber que esse é um processo contínuo em um ambiente completamente dinâmico, de modo que sempre temos que estar revisando o trabalho e admitindo que, por mais que nos esforcemos, não depende só da equipe de TI.

 

Segurança e controle: diretrizes e normas são essenciais

Um dos aspectos mais importantes é a definição, pela empresa, de diretrizes e normas aos profissionais que lidam com a Política de Segurança da Informação. É vital definir o que é importante, o que é estratégico e os riscos que se podem tolerar para manter a empresa funcionando.

Não adianta querer “começar a configurar coisas”, sem saber o que se deve proteger, sem entender o que os dados significam para a empresa (em termos de imagem, competitividade, relação com clientes e fornecedores, etc.).

Um aspecto que não se pode esquecer é que deve haver um endosso executivo para a prática de Segurança.

 

Métodos de controle de segurança

O melhor método de controle da segurança das informações será definido de forma personalizada. O primeiro passo para se resolver um problema é o conhecimento detalhado  do ambiente computacional em que rodam os sistemas, a visibilidade das aplicações utilizadas a partir da sua rede, sem entender claramente o que está acontecendo, os controles se tornam frágeis (principalmente por falhas humanas).

 

Eficiência dos certificados e assinaturas digitais

Os certificados são ferramentas importantes no processo de identificação dos usuários e sistemas envolvidos na comunicação. E isso vale tanto para o originador de uma mensagem (ou transação eletrônica) quanto para os computadores que hospedam as aplicações de interesse.

Além disso, são grandes facilitadores do dia a dia eletrônico, pois a figura da Autoridade Certificadora (como um “terceiro que possui fé pública” para emitir e assinar um “documento de identidade eletrônica) permite o estabelecimento de relações de confiança, inclusive entre indivíduos que não se conhecem. Além disso se, por qualquer motivo, algo no processo for comprometido, um certificado pode ser dinamicamente revogado. Isso traz escala e confiabilidade à tarefa de administração das identidades.

Não se pode, no entanto, delegar à tecnologia a responsabilidade exclusiva pela Segurança.

Afinal, Segurança é um processo contínuo que envolve pessoas, processos e, claro, soluções que se contraponham às más intenções dos hackers. Deve-se entender qual problema cada uma das variadas tecnologias se propõe a resolver e integrá-las, para se ter uma arquitetura em camadas que se complementem. A ideia é que o todo seja diferente da mera soma das partes.

 

Cyber Security no universo corporativo feita por especialistas

É preciso partir do geral para o específico. Em vez de achar que existe um “produto mágico” que seja capaz de materializar a Segurança ideal, é importante ter a visão completa do assunto.

Dado que a maioria das empresas provavelmente não tenha um equipe dedicada de Segurança,  talvez seja mais simples contratar um serviço gerenciado de uma empresa especializada. Segurança é um processo contínuo, que deve ser tratado com abordagem sistêmica (isso envolve pessoas, processos e rotina de monitorização e testes).

 

Segurança da informação e os ataques de hackers

Há uma imagem gravada no inconsciente coletivo em que o hacker está em algum lugar sombrio, lançando um ataque cibernético (ou planejando o próximo).

Apesar de existirem ataques direcionados a um sistema específico e os ataques de negação de serviço (“Denial of Service), muitos problemas são oriundos de ações não intencionais:

– usuários (inadvertidamente) acessando sites maléficos fora da empresa e trazendo o conteúdo ruim para o lado interno da muralha

– usuários sendo ludibriados por técnicas de engenharia social, que permitem a um elemento externo atuar como se fosse da organização e, dessa forma, ter acesso privilegiado a sistemas.

Muito disso está associado a uma falta de Cultura Organizacional de Segurança e, em muitos casos, até mesmo da total inexistência de uma Política que estabeleça os tipos de acesso permitidos (e sob quais condições).

Quer saber mais sobre como colocar em prática uma política eficiente de Segurança da Informação? A Teltec Solutions possui soluções e equipe técnica especializada, atendimento do suporte 24×7 e mais de 26 anos de experiência em inovação e TI.

Saiba mais, entre em contato com nossos especialistas e conheça os planos que temos para proteger seu ambiente de rede.

 

Texto por Alexandre Moraes: Diretor da Regional da Teltec Solutions de Brasília desde 2014. Trabalhou na Cisco do Brasil como Engenheiro de Sistemas e Consultor de Segurança de 1998 a 2014. É autor do livro Cisco Firewalls – Cisco Press, além de ser detentor de 03 certificações CCIE e da certificação CISSP. Graduado em Engenharia Eletrônica no Instituto Tecnológico de Aeronáutica (ITA) e Mestre em Matemática pela Universidade de Brasília (UnB)

Categorias



Acompanhe nossas novidades nas redes sociais!