Segurança

A falta de backup e o risco para as empresas

Nos últimos meses, ganharam espaço na imprensa casos de órgãos públicos e empresas brasileiras que foram vítimas de um novo tipo de golpe, no qual os cibercriminosos bloqueiam o acesso a todas as informações, sistemas e dados contidos nos computadores e servidores das organizações, como forma de pressionar o pagamento de resgate em dinheiro. O que chama a atenção nesses casos é que a maior parte das empresas atacadas não tinha uma cópia de segurança dos dados, revelando assim uma importante brecha das organizações: a falta de backup adequado.

Ou seja, apesar de as organizações estarem cientes da importância de adotar tecnologias e políticas para garantir a segurança da informação – principalmente voltadas a evitar a invasão de malware e outros ataques virtuais – poucas têm processos específicos para realizar o backup recorrente dos dados. Uma questão que pode custar muito caro para os cofres e para a reputação das empresas, de qualquer porte e perfil.

Na prática, apesar do risco crescente dos golpes virtuais para sequestro de dados, conhecidos como ransomware, existem outras situações nas quais o backup de dados torna-se fundamental nas organizações. Vale lembrar, por exemplo, que, cada vez mais, as pessoas armazenam informações relevantes das empresas em dispositivos móveis (smartphones e tablets) e estão sujeitas a roubo e perda desses dispositivos. Além disso, esses equipamentos, assim como os computadores, são passíveis de falhas de hardware e de sistema, o que também pode representar a perda de dados.

A melhor forma de as empresas evitarem os riscos associados à perda de informações é instaurar processos de backup de rotina como parte da Política de Segurança da Informação. E essa regra aplica-se a organizações públicas, privadas, em qualquer setor.

A cópia segura de dados pode ser feita de forma manual ou automatizada. No caso do backup manual, o mesmo envolve a cópia de arquivos para um HD Externo, USB ou disco rígido, por exemplo. Já no caso do backup automatizado, mais adequado para as empresas, são contratados softwares de gestão que reduzem o impacto nos administradores e sistemas, pórem exigem um maior investimento. O backup pode ser ainda ainda interno, a partir da cópia dos dados no servidor da companhia, ou externo, realizado na nuvem. Ambas as soluções são complementares.

Apesar de não existir uma regra para a realização do backup, alguns passos são recomendados, como fazer a cópia dos arquivos na nuvem ou, até mesmo, cópias em locais diferentes. Além disso, é indispensável instalar uma solução de segurança em todos os dispositivos que acessam a rede, seja computadores, smartphones, entre outros. E por fim, o conselho para quem quer manter os dados seguros é evitar conexões a serviços de cloud por meio de redes não confiáveis, bem como conectar o HD de backup em outros computadores.

Enfim, fazer o backup periódico e adequado reduz os riscos às empresas, evitando a perda de informações e dados relevantes que podem prejudicar drasticamente todo o negócio. Por esse motivo, é importante que as organizações estejam cientes dessa situação e adquiram o hábito de manter uma cópia de segurança de arquivos importantes, como parte dos procedimentos para garantir a seguridade de suas informações.

Read More...

Tecnologia

Quando a segurança vai além da tecnologia

Ao passo que cresce o investimento em soluções tecnológicas utilizadas para garantir a segurança da informação, diminui o foco das empresas na educação dos funcionários em relação a esse tema.

Essa visão equivocada traz sérios riscos para a segurança das empresas e pode representar um prejuízo substancial para as finanças e para a reputação das organizações. Nesse sentido, é importante que os executivos brasileiros fortaleçam suas políticas para a conscientização dos usuários.

Cada vez mais frequente, cresce a troca de informações realizada pela internet a qualquer hora e lugar e em diversos dispositivos, seja fixo e móvel, no trabalho, em casa ou em um espaço público. Se antes, as empresas tinham total controle do acesso às informações corporativas, de quem as acessava e quais mídias eram usadas, hoje, esse tipo de controle é muito mais complexo do que se imagina, especialmente com o uso frequente dos dispositivos móveis.

Nesse contexto, é preciso que as organizações assumam a responsabilidade de preparar e educar seus funcionários tanto para o uso seguro dos equipamentos tecnológico quantos dos conteúdos virtuais. Também é imprescindível mudar a mentalidade das empresas de “política de controle interno” para uma “política de treinamento e educação interna”.

Para isso, torna-se importante a realização de treinamentos e cursos sobre as melhores práticas de como utilizar a rede da empresa, cuidados de acesso e compartilhamento de informações de modo seguro, uso correto de equipamentos, bem como os principais riscos a que estão expostos. Essas práticas, atreladas a uma política de segurança consistente e o uso de tecnologias, visam garantir que as empresas diminuam as possibilidades de sofrer incidentes de segurança.

Outro ponto essencial é garantir que a politica de segurança esteja atrelada a um Plano de Resposta a Incidentes (PRI) e um Plano de Continuidade de Negócios (PCN). De acordo com um estudo realizado pela ESET com empresas brasileiras, em 2015, 64% das empresas pesquisadas informaram ter uma política de segurança definida, no entanto, os investimentos em outros controles de gestão são inferiores a 30% e menos de um quarto possuem um plano definido sobre como atuar após um ataque. O que aumenta os riscos e os custos das organizações em casos de incidentes.

Enfim, investir na educação dos funcionários, para que os mesmos estejam conscientes dos cuidados que devem ter com os equipamentos e as melhores práticas de acesso às informações é um processo continuo. Para que essa mudança de comportamento aconteça, é importante que as empresas ampliem essa discussão para que todos percebam os reais benefícios da nova atitude.

Read More...

Segurança

Crimes virtuais: Riscos e consequências para as PMEs

Um recente relatório sobre Segurança Cibernética, realizado pela Federação das Indústrias do Estado de São Paulo (Fiesp), identificou que as indústrias de pequeno e médio portes são as mais vulneráveis a ataques virtuais. Segundo o levantamento, 65,2% das ações de cibercriminosos são direcionadas a esse perfil de indústria.

Esse levantamento, na verdade, só reforça a percepção de que as pequenas e médias empresas são um alvo preferencial de cibercriminosos, por conta de investirem menos em tecnologias e políticas relacionadas à segurança da informação, tornando-se assim mais vulneráveis a ataques. Assim, a exemplo do que acontece nas grandes corporações, as PMEs precisam criar consciência para o fato de que hoje estão expostas a ataques que podem gerar desde parada nos sistemas – e consequentes prejuízos financeiros –, a roubo e vazamento de informações sigilosas e confidenciais, os quais podem impactar a imagem e a reputação das companhias, afetando, inclusive, a continuidade do negócio.

 

A maioria das PMEs não percebem os riscos a que estão expostas e nem se enxergam como um alvo potencial de cibercriminosos. Diante dessa percepção distorcida, acabam deixando os investimentos em soluções de segurança da informação em segundo plano e só costumam tomar alguma atitude depois de já terem sido vítimas de ataques e golpes. O que pode ser tarde demais para o negócio.

 

Vale lembrar que, além das soluções de segurança, a proteção das empresas depende da educação dos funcionários. Por isso, embora pareça uma orientação ultrapassada, definir regras de conduta claras e objetivas, além de treinar os colaboradores para que tenham em mente algumas orientações sobre golpes de engenharia social, ainda podem evitar um grande número de golpes.
Outra importante dica é orientar os funcionários a definirem senhas fortes e distintas para todos os equipamentos que acessam a rede corporativa, incluindo os dispositivos pessoais, e só se conectarem a redes WiFi conhecidas, evitando a internet fornecida em locais públicos, como redes de bares, cafés, aeroportos etc.

 

Em termos práticos, o passo-a-passo para ajudar as empresas de qualquer porte a evitarem os riscos relacionados à ataques virtuais é criar políticas de segurança, educação e treinamento dos colaboradores, criar travas para todos os dispositivos móveis usados, instalar soluções de segurança em todos os equipamentos e, não menos importante, reforçar a atenção sobre os cuidados com o uso do e-mail corporativo para acesso de links e sites desconhecidos.

 

Enfim, as PMEs devem ter em mente que a segurança da informação é uma forma de proteger a saúde do negócio. Por isso, tanto a utilização de tecnologias de proteção como as ações para educar os usuários precisam ser encaradas como algo essencial para a saúde dos negócios.

Read More...

Segurança

Cuidados básicos que toda PME deve adotar para se proteger de crimes virtuais

Enquanto as grandes corporações sofrem com ameaças como espionagem, as PMEs são vítimas de golpes que obtêm sucesso ao não encontrarem grandes barreiras de segurança nos sistemas corporativos que possam detê-los.

A diferença está nas consequências dos ataques, quando realizados em empresas de diferentes portes. Para se ter uma ideia dos problemas causados por ciberataques em PMEs, por exemplo, basta perguntar ao pequeno e médio empreendedor o que aconteceria com seu negócio, caso sua empresa fosse atacada e todos os dados fossem perdidos. Provavelmente, a maioria deles teria um prejuízo sem precedentes, e – no pior dos cenários-, encerraria suas atividades.

Alguns líderes de PMEs não enxergam sua empresa como um alvo em potencial, quando, na verdade, existem golpes direcionados a companhias de todos os tamanhos. Por essa percepção de realidade distorcida, muitos pequenos empreendedores acabam por realizar o investimento adequado somente depois da empresa ter sido vítima de um ataque virtual.

Em geral, os criminosos estão atrás de todos os tipos de dados, desde informações pessoais até dados bancários. Vale lembrar, que a educação sobre o tema ainda é o melhor caminho para o combate ao cibercrime. Por isso, embora pareça uma orientação ultrapassada, definir regras de conduta claras e objetivas, além de treinar os colaborados para que tenham em mente algumas orientações sobre golpes de engenharia social, ainda podem evitar um grande número de golpes.
Outra importante dica é orientar os funcionários a definirem senhas fortes e distintas em seus aparelhos e rede. Caso a empresa permita o BYOD (Traga seu próprio aparelho, na tradução do inglês), alerte os funcionários para os riscos a que estão expostos e ative senhas de segurança para todos os dispositivos, sejam eles computadores, tablets ou smartphones. Além disso, sugira a eles diminuir o tempo de bloqueio do celular, evitando o vazamento de dados.

Outra prática cada vez mais comum é utilizar o computador portátil do trabalho para se conectar a redes WiFi públicas, como por exemplo, redes de bares, cafés, aeroportos, etc. Nesses casos, devemos considerar que a segurança estará ligada aos controles existentes na rede. Com isso, muitos dos dados podem ser visíveis para outra pessoa que esteja conectada à mesma rede.

Parte essencial para a proteção dos dados, as tecnologias são a base da segurança da informação nas empresas. Geralmente, as tecnologias mais comuns nos computadores dos usuários são as seguintes: Antivírus, Firewall e Antispam.

Proteger informações confidenciais da organização é também proteger o negócio. Por isso, tanto a utilização das tecnologias para segurança, como a educação de seus usuários sobre as ameaças e técnicas de proteção, ajudam a garantir a continuidade do negócio.

Read More...

Segurança

PMEs e o desafio de segurança da informação

A maioria das grandes corporações já foi capaz de entender a importância do investimento em segurança da informação, pois têm consciência das consequências de golpes e ataques que comprometem não apenas seus negócios, mas também sua reputação.

As pequenas e médias empresas – por sua vez – ainda não encaram o investimento como uma prioridade, por não se considerarem um possível alvo de interesse dos cibercriminosos. Na verdade, a história é exatamente o contrário, uma vez que um único ataque pode fazer com que uma PME encerre suas operações, caso perca todo seu banco de dados, suas informações roubadas ou seu sistema afetado – seja por ataque direto ou por falha no hardware, por exemplo.

Exceto por golpes de retaliação, em geral, criminosos virtuais não são tão seletivos. Eles pulverizam seus golpes sem alvos específicos, em busca de uma brecha de segurança. Além disso, por estarem sempre atentos ao movimento do mercado, já notaram que, por terem menores recursos, empresas de pequeno porte acabam negligenciando sua segurança. Em consequência disso se tornam miras mais fáceis que as grandes corporações.

É preciso mudar a cultura e comportamento dessas empresas. Seus líderes devem entender que não é possível ter um crescimento saudável, sem investimento em tecnologia e segurança da informação. Claro, é preciso levar em consideração o budget de cada companhia, avaliar o cenário no qual está inserida e mapear as reais necessidades da corporação.

Vale lembrar que algumas medidas, ainda que simples, são válidas para qualquer companhia. Por exemplo, definir regras de conduta claras e objetivas, além de treinar os colaboradores para que tenham em mente algumas orientações que evitem tornarem-se vítimas.

Na prática, o que realmente acontece é um investimento tardio, que só ocorre como medida corretiva, ou seja, ele só é feito quando a empresa já sofreu um ataque. Seja qual for a sua área de atuação, para um crescimento contínuo em meio à concorrência, é importante transmitir segurança aos seus funcionários e clientes, independente de seu porte.

Read More...

Segurança

BYOD: novos conceitos com os velhos problemas de segurança

A adoção de BYOD (Bring Your Own Device) – prática na qual os colaboradores utilizam seus próprios computadores e dispositivos móveis no trabalho – representa um caminho sem volta entre as empresas de todo o mundo, incluindo do Brasil.

Seja por meio de políticas corporativas ou pela vontade dos funcionários, que muitas vezes utilizam esses equipamentos pessoais sem autorização da TI, essa tendência tem criado novos desafios para as corporações, em especial, relacionados à segurança da informação.

Um recente estudo divulgado pela consultoria IDC Brasil aponta que a segurança representa a principal barreira para a adoção de BYOD entre as empresas brasileiras. E a preocupação não é infundada, uma vez em que permitir o acesso de equipamentos pessoais à rede corporativa amplia os riscos de vazamento de informações, acessos indevidos e propagação de ameaças virtuais.

As políticas de BYOD precisam, necessariamente, contemplar regras, treinamento e capacitação dos funcionários, com o intuito de garantir o comportamento seguro no acesso de dispositivos pessoais à rede corporativa. Os usuários precisam estar conscientes dos riscos a que podem expor as organizações, quais as penalidades caso algum problema ocorra e de como preveni-los.

Além disso, as empresas precisam investir na implementação – e atualização constante – de soluções de segurança da informação nos equipamentos pessoais que acessam à rede corporativa e que, no caso dos dispositivos móveis, contemplem cuidados específicos como a criptografia e limpeza remota de arquivos e dados em caso de roubo, furto e extravio.

Enfim, BYOD representa uma tendência sem volta e as empresas precisam estar preparadas para tratar essa questão e, principalmente, endereçar um velho e já conhecido desafio: a segurança da informação.

 

Read More...