Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Guia de segurança cibernética para pequenos negócios: 6 passos contra a violação de dados

    Ultimamente temos visto muitas grandes organizações sendo hackeadas: Anthem, Sony e Target para citar algumas. O número de violações de dados aumentou em 27,5% em 2014, assim medidas contra estes tipos de incidentes estão em alta em grandes organizações.

    Mas e quanto aos pequenos negócios? Eles realmente têm uma chance contra hackers e incidentes de segurança?

    Ser uma organização pequena pode fazer você pensar que nenhum hacker se importaria em roubar seus dados. Mas, só porque você é pequeno isso não significa que sua informação está segura – o que aconteceria se o seu escritório pegasse fogo, e você não tivesse cópias de segurança (ou mantivesse suas cópias no mesmo escritório)? O que aconteceria se alguém invadisse o seu escritório e levasse seus computadores e mídias de armazenamento? O que aconteceria se um empregado descontente começasse a apagar todos os seus arquivos?

    Então, pense novamente – você poderia imaginar onde o seu negócio estaria sem as informações do seu cliente, de anos de desenvolvimento de produtos, de anotações, documentos, etc.? Provavelmente não – sem todos estes dados, você provavelmente iria a falência.

    Assim, aqui estão seis passos para proteger a sua organização:

    1) Cópias de segurança (backup)

    Realizar cópias de segurança de todos os seus dados regularmente ajuda você a protegê-los não apenas em caso de roubo, mas também se alguém mudou algo em seus arquivos de forma inapropriada. Para muitas organizações no setor de serviços de TI, é suficiente ter seus dados e empregados chave disponíveis, e você pode continuar fazendo negócios em qualquer outro escritório, ou até mesmo de casa.

    Mas, apenas gerar cópias de segurança não ajudará – você precise colocar as mídias de backup (fitas, discos ou similares) em algum local distante; nos últimos anos, serviços em nuvem como Dropbox ou Box tem se provado soluções melhores do que possuir mídias físicas de backup.

    Veja também este artigo: Backup policy – How to determine backup frequency.

    Mas, tenha certeza de não dar acesso a estas cópias de segurança a qualquer um…

    2) Controle de acesso

    Você tem que pensar bastante sobre quem terá acesso a quais dados em sua organização. E, isto tem que ir além de limitar o acesso a folha de pagamento; para cada tipo de informação você tem que considerar se é realmente necessário que cada empregado tenha acesso, usando o princípio “need to know” – se algum empregado não precisa acessar certos documentos para realizar seu trabalho, então não dê a eles o acesso. Existem alguns dados que apenas o dono do negócio deveria ter acesso – como às cópias de segurança, por exemplo.

    Este controle de acesso é na verdade fácil de implementar – se você está fazendo uso de sistemas como o SharePoint, Box ou similares, eles já possuem incorporada a capacidade de permitir o acesso de empregados em um nível individualizado; você pode até mesmo obter os mesmos resultados lidando com pastas compartilhadas no Dropbox.

    3) Proteção física

    Você deveria impedir potenciais infratores de serem capazes de entrar em contato com seus equipamentos de TI e mídias em primeiro lugar – trancando seu escritório e colocando alarmes; se você armazena muitas informações sensíveis em sua organização, considere o uso de um sistema de notificação em caso de incidentes, e também um segurança.

    Contudo, você também deveria proteger seus dispositivos móveis (e.g., laptops, tablets, celulares, etc.) ao levá-los para de seu escritório – tais dispositivos deveriam estar com você todo o tempo, ou deveriam ser armazenados em uma instalação sem acesso ao público; tal sala ou escritório deve ser trancado quando ninguém estiver presente.

    4) Segurança da TI

    Coisas como softwares antivírus e firewalls estão em todo ligar agora, então estou bem certo de que você já os utiliza. Mas, você tem certeza de que os está mantendo adequadamente? Quando foi a última vez que você atualizou seu antivírus? Você tem certeza de que seu firewall está configurado de forma que ele permite apenas o tráfego que é seguro?

    Você também pode avançar a sua segurança da TI em alguns passos:

    • Configure seus computadores para bloqueio automático com senha se não for utilizado após 5 minutos – desta forma, se um empregado deixar seu computador ninguém será capaz de acessá-lo.
    • Evite usar pendrives USB – eles são a melhor forma de ter seu computador contaminado, porque frequentemente programas antivírus não detectam códigos maliciosos neles.
    • Certifique-se de proteger seu dispositivo móvel com uma boa senha, porque se ele for roubado, o ladrão será capaz de acessar seu email, e com seu email ele será capaz de mudar senhas de seus serviços e com isso acessar todos os dados que você armazena neles.
    • Use gerenciadores de senha, que permitirão a você salvar senhas para os seus diferentes serviços e aplicações, porque se você usa a mesma senha para todos eles, a violação de apenas uma senha permite aos criminosos acessar todas as suas contas; gerenciadores de senha também permitem a você usar senhas complexas para cada um de seus serviços. E sim, estes gerenciadores de senha também estão disponíveis para dispositivos móveis.
    • Use serviço de VPN para se conectar à Internet de forma que suas senhas e outras informações sensíveis estejam protegidas ao serem transferidas através da rede; isto é especialmente importante se você está usando uma conexão Wi-Fi na qual você não pode confiar.
    • Use autenticação de 2 fatores ao se conectar com serviços importantes tais como Gmail, Dropbox, ou similares – assim, mesmo que alguém roube sua senha, ele não será capaz de acessar suas informações sensíveis. Estes sistemas de autenticação de 2 fatores podem trabalhar junto com seu telefone (enviando a você uma mensagem e texto), ou com chaves USB especiais, sem o qual o acesso ao sistema não seria possível.
    • Criptografe os dados armazenados em seu disco rígido, de forma que se ele for roubado os ladrões não serão capazes de lê-lo; você também pode criptografar dados armazenados na nuvem – existem algumas companhias que trabalham com a nuvem especializadas em oferecer este tipo de serviço.
    • Atualize seu software – você deveria fazer isto regularmente, assim que correções de segurança seja publicadas; o melhor caminho seria configurar atualizações automáticas.

    E, para assegurar que todos os empregados estejam em conformidade com estes métodos, você deveria desenvolver uma política de segurança da informação ou uma política de uso aceitável, que assegurariam que todos em sua organização realmente entendem o que se espera deles.

    5) Gerenciando pessoas

    A primeira e mais importante regra é: seja cuidadoso com quem você contrata. Um administrador de TI experiente pode apagar toda a sua base de dados de clientes em mens de um minuto, ou derrubar o seu site em questão de segundos. Você deveria sempre realizar uma verificação de histórico para candidatos que irão trabalhar com seus dados mais sensíveis.

    Este artigo também ajudará você: How to deal with insider threats?

    A segunda coisa mais importante é tornar seus empregados conscientes de potencias ameaças de segurança e como lidar com elas. Aqui estão alguns tópicos para tais sessões informativas:

    • Nunca, jamais entregue sua senha para alguém.
    • Não instale em seu computador ou dispositivo móvel todo o programa que você encontra por ai – alguns destes softwares, disfarçados de jogos legais ou programas utilitários, são feitos com o único propósito de infectar o seu computador com um vírus.
    • Desative sua conexão Bluetooth porque ela é muito insegura; e também desative a conexão Wi-Fi em seu dispositivo móvel quando você não a estiver utilizando.
    • Não deixe seu computador dentro do carro.
    • Não deixe seu computador sozinho em locais públicos tais como aeroportos, banheiros, transporte público, conferências, etc.

    Leia também este artigo: Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301.

    6) Certifique-se

    Mais e mais organizações estão oferecendo seus serviços via Internet, assim mais clientes querem que suas informações sejam protegidas. Para assegurar aos clientes que suas informações estão seguras, e para atrair novos clientes para os quais a segurança é importante, você pode buscar um certificado que prove que você está salvaguardando as informações deles de forma apropriada.

    Certificar-se também permite a você obter a metodologia para a implementação da segurança da informação, de forma que você saberá exatamente por onde começar. Para manter o certificado você terá que se certificar de que todas as salvaguardas realmente funcionam.

    Existem muitos certificados disponíveis, e a ISO 27001 é provavelmente o mais popular. Saiba mais sobre a ISO 27001.

    Assim, como você pode ver, segurança cibernética não é apenas sobre a proteção da TI – você tem que implementar métodos diferentes de forma a proteger sua informação. Implementar somente algumas destas salvaguardas, e não outras, deixará sua organização seriamente vulnerável.

    Para aprender sobre uma abordagem sistemática para proteger sua organização, leia este eBook gratuito 9 Steps to Cybersecurity.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001