entrar

Segurança de dados para empresas

Boas práticas para prevenir ataques

ÍndiceIntrodução

Princípios básicos da segurança da informaçãoConfidencialidadeAutenticidadeIntegridadeDisponibilidade

Boas práticas para prevenir ataquesAnálise de e-mails recebidosBackupAntivírusCriptografiaArmazenamento de informações na redePolítica de Segurança de DadosTreinamentosContrato de confidencialidadeGestão de Risco pelo setor de TIAquisição de Produtos e Serviços de Proteção aos dados

Produtos e serviços para a segurança de dadosWAF - Web Application FirewallSOC - Security Operation CenterFirewallAnálise de VulnerabilidadePen TestResposta a Incidentes

Conte com a ajuda de especialistas

Índice

03

eduardo MeirellesDiretor Comercial da Everest Ridgew

A todo o momento, centenas de ataques são executados às redes e aos servidores ao redor do mundo. Dessa forma, a segurança de dados é um tema estratégico na gestão dos negócios e deve sempre ser levados em consideração pelos gestores da área de Tecnologia da Informação.

Nenhuma empresa está livre de receber um ataque e, infelizmente, não é possível obter 100% de controle das ameaças à segurança dos dados da companhia. Portanto, é fundamental saber e traçar o que será priorizado na hora da proteção da informação para evitar vazamentos.

Um relatório da G2 Crowd aponta que “29% das empresas relatam perda ou danos de registros internos” e “35% das empresas relatam que os registros dos clientes foram comprometidos em algum momento” como resultado de um incidente de segurança.

Além disso, o relatório demonstra que “53% dos ataques cibernéticos nos sistemas de negócios resultaram em danos de US$ 500.000 ou mais”. Portanto, proteger os dados evita prejuízos financeiros não somente para a empresa, mas também para seus clientes. E há ainda outro ponto fundamental a ser considerado: a imagem da instituição que pode se desgastar.

Muitas vezes, as companhias querem proteger as informações e sabem dessa importância. Porém, não possuem o know-how necessário para a implementação do processo que melhor se adeque às necessidades da área de TI.

Com este Guia, a Everest Ridge quer ajudá-lo a entender tudo o que você precisa para saber se está no caminho certo no quesito segurança da informação, se há algo mais que você deveria olhar, e apresentar a você as melhores práticas do mercado para prevenir ataques. Será que sua empresa está preparada?

Desejamos a todos uma boa leitura!

Introdução

04

Índice

A segurança de dados ou segurança da informação não está ligada somente ao ataque cibernético de hackers, mas também ao comportamento e procedimentos que são adotados para evitar que informações e dados fiquem vulneráveis. Para explicar melhor do que estamos falando, separamos as informações em quatro princípios básicos:

ConfidencialidadeA confidencialidade é o princípio que garante que as informações somente poderão e/ou serão acessadas por pessoas autorizadas. Ou seja, é o princípio que garante o sigilo dos dados da sua empresa. A principal forma de garanti-lo é por meio de autenticação e criptografia. Ou seja, por meio de controle e restrição de acessos.

Princípios básicos da segurança da informação

Índice

05

AutenticidadeÉ o princípio da autenticidade que garante o registro e identificação da pessoa responsável por alimentar ou alterar a informação. Ou seja, garante a veracidade da autoria da informação e também o não-repúdio dela. Vale lembrar que esse princípio diz respeito somente à identidade do usuário e não garante a veracidade das informações alimentadas.

IntegridadeO princípio da integridade aborda sobre o controle das alterações. Ou seja, garante que o conteúdo da informação não foi alterado indevidamente, por pessoas que não tenham sido autorizadas.

DisponibilidadeA informação precisa estar disponível a qualquer momento para que pessoas autorizadas tenham acesso. Isso é o que garante o princípio da disponibilidade. Portanto, os dados devem ser armazenados em sistemas eficazes e precisam ser à prova de falhas, garantindo que a informação esteja disponível, quando for necessário resgatá-la.

É importante ressaltar que os procedimentos adotados para garantir a segurança de dados da sua empresa devem estar de acordo com as leis vigentes no país de atuação da instituição.

Além disso, para definir os processos de gestão de segurança da informação, é preciso ter em mente que não são somentes ataque de hackers que oferecem risco à empresa. Processos, tecnologias, ambientes e pessoas também devem ser levados em consideração.

Ainda de acordo com resultados com o relatório gerado pela G2 Crowd, “30% dos incidentes de segurança cibernética da empresa são executados por funcionários atuais da organização” e “26% dos incidentes são executados por ex-funcionários da organização”, portanto, é importante garantir a execução dos princípios básicos da segurança da informação.

“Autenticidade, garante a veracidade da autoria da informação e também o

não-repúdio dela”.

Índice

06

A base de dados é um dos patrimônios mais importantes que uma empresa pode ter. Portanto, protegê-los é um dos aspectos mais importantes para a boa gestão de um negócio. Para isso, existe um conjunto de boas práticas que podem ser adotadas pela empresa, que garante a proteção aos dados.

Análise de e-mails recebidosO e-mail é uma das fontes mais utilizadas por hackers para infectar dispositivos e acessar dados sigilosos. Por isso, analise sempre os e-mails recebidos e oriente a todos os funcionários da empresa que façam o mesmo. Ao menor sinal de anormalidade, não abra o conteúdo, que pode vir acompanhando de malwares, que poderão se infiltrar no dispositivo.

BackupTodas as empresas (e até pessoas físicas também) devem adotar o backup como medida de proteção aos dados. Isso porque, caso aconteça alguma invasão e as informações da empresa acabarem sendo apagadas, será possível recuperar. Isso reduz o impacto do prejuízo que seria perder os dados da organização.

Boas práticas para prevenir ataques

“O e-mail é uma das fontes mais utilizadas

por hackers para acessar dados sigilosos,

analise sempre os e-mails recebidos”

Índice

07

AntivírusInvista em um bom software de antivírus para garantir a proteção dos dados da sua instituição. Instale em todos os dispositivos que são acessados e contém informações relevantes sobre a empresa e os seus dados. É importante também sempre mantê-los atualizados, garantindo proteção contra possíveis ataques.

CriptografiaMantenha as informações sigilosas sempre criptografadas. Dessa forma, apenas uma pequena quantidade de usuários serão autorizados a acessarem, alimentarem e modificarem dados importantes. A criptografia é a codificação de dados, que impede que qualquer pessoa tenha acesso à informações sigilosas.

Armazenamento de informações na redeArmazenar as informações da sua empresa em uma rede compartilhada — a famosa nuvem — também é considerada uma boa prática e evita que dados sejam vazados. Isso porque esse procedimento evita o compartilhamento de dados por dispositivos removíveis, como pendrive ou até mesmo o e-mail. Dessa forma, somente pessoas autorizadas têm acesso à informação.

Política de Segurança de DadosÉ importante que a empresa tenha um documento com as diretrizes que norteiam o comportamento que os colaboradores precisam ter em relação ao acesso aos recursos relacionados à Tecnologia da Informação. O documento deve conter todas as regras para evitar um ciberataque, que pode resultar em vazamento de informações ou fraudes.

“A criptografia é a codificação de dados, que impede que qualquer pessoa tenha

acesso à informações sigilosas.”.

Índice

08

TreinamentosÉ importante manter todos os colaboradores treinados de acordo com a Política de Segurança de Dados da instituição. Portanto, não basta apenas entregar o documento com as informações. É importante garantir que todo o conteúdo será assimilado e que não existem dúvidas sobre processos que devem ser seguidos para garantir a segurança dos dados da empresa.

Contrato de confidencialidadeMuitas vezes, os colaboradores e fornecedores têm acesso à uma série de informações confidenciais referentes à uma empresa. Portanto, uma das maneiras de preservar a segurança dos dados, é redigindo um contrato de confidencialidade, que deve ser assinado por todas as pessoas que têm acesso à essas informações. No contrato, deve conter todas as medidas legais cabíveis para o caso de comprovação do vazamento de informações pelo colaborador ou fornecedor

Gestão de Risco pelo setor de TIO vazamento de dados sigilosos pode comprometer que uma organização consiga alcançar os seus objetivos a curto, médio e longo prazo. Por isso, o setor de Tecnologia da Informação de uma empresa precisar fazer um bom planejamento para gestão de riscos, levando em consideração, serviços, infraestrutura, políticas e métodos de trabalho da instituição.

Aquisição de Produtos e Serviços de Proteção aos dadosE, por último e mais importante: é extremamente necessário que o setor de TI da empresa conte com o apoio de produtos e serviços para garantir a proteção de dados sigilosos, principalmente quando não se tem o know-how necessário por parte da equipe interna. Se este é o seu caso, é recomendado o serviço de alocação de recursos especialistas, a terceirização com profissionais que já trabalham na área.

“O vazamento de dados sigilosos pode comprometer

uma organização, por isso, o setor de TI precisar fazer

um bom planejamento de gestão de riscos”

Índice

09

WAF - Web Application FirewallO firewall para aplicação na web é um tipo de firewall que funciona respondendo com rapidez às tentativas de invasões e ameaças que um firewall normal não possui capacidade de detectar. O WAF funciona criando uma barreira e impedindo que dados não autorizados sejam expostos.

Com o WAF é possível personalizar regras para a aplicação e identificar e bloquear uma série de ataques que poderiam ter sido cometidos com a vulnerabilidade das informações. Além disso, é possível identificar todo tráfego originário de fontes maliciosas ou até mesmo fraudulentas. A contratação do WAF reduz consideravelmente os ataques e maximiza as respostas da sua empresa, garantindo, assim, credibilidade.

SOC - Security Operation CenterO SOC, da sigla em Security Operation Center, é um Centro de Operações de Segurança, que garante a segurança dos dados por meio de monitoramento a todos os elementos da rede, de forma eficaz e contínua. Com este serviço é possível um diagnóstico ágil de ataques e a detecção de eventuais falhas na segurança da informação antes que elas sejam atacadas.

O SOC trabalha realizando atividades de prevenção, com boas práticas de prevenção de ataques, detectando problemas de segurança, solucionando brechas de segurança que tenham sido encontradas e fazendo o monitoramento, de acordo com o risco do negócio.

O objetivo é garantir a saúde da rede utilizada pela sua organização e a segurança dos dados armazenados da melhor maneira possível.

Produtos e serviços para a segurança

de dados

Índice

10

FirewallO Firewall funciona como uma espécie de barreira que bloqueia acessos indevidos ou maliciosos à redes da empresa. Pode ser usado como software, ou seja, por meio de um programa, ou como hardware, com o auxílio de um equipamento ligado à rede de computadores da empresa. Dessa forma, o firewall garante a preservação da segurança da rede de uma empresa, controlando dados que entram ou saem a partir dos computadores da empresa, conectados à internet. Assim, evita que softwares mal intencionados invadam as máquinas. É uma ferramenta essencial na segurança de dados de qualquer empresa.

Análise de VulnerabilidadeO primeiro passo a ser tomado para garantir segurança de dados em uma empresa é analisar sua vulnerabilidade. Com esse trabalho, é possível a identificação de falhas e brechas que exponham a rede da empresa às ameaças. Essas falhas podem existir por diversos motivos, tais como erros de programação ou desenvolvimento, má configuração ou falha humana na hora de usar o sistema.

Além de identificar e tratar falhas, com a análise de vulnerabilidade é possível alterar configuração de softwares, bloquear ataques automatizados e promover melhorias no controle de segurança. Tudo isso é feito por meio de relatórios especializados, que garantem a segurança das informações.

Pen TestTambém conhecido como teste de intrusão ou teste de penetra-ção, o Pen Test é o conjunto de técnicas, métodos e ferramentas que identificam falhas de segurança nos sistemas e nas redes corporativas por meio da penetração na plataforma digital da corporação. O Pen Test utiliza métodos baseados no pensamento dos hackers, ou seja, ele simula um ataque, porém de forma profis-sional e ética. Ele não somente escaneia as vulnerabilidades da empresa, como também as explora, identificando as informa-ções que podem ser vazadas por conta de um determinado tipo de falha apresentada.

Resposta a IncidentesA resposta a incidentes nada mais é do que a correção dos proble-mas. Ou seja, é o gerenciamento e a solução para incidentes de segurança, como por exemplo, o vazamento de dados da empresa. Todos os problemas são corrigidos de maneira a minimizar o máximo possível os danos causados pelo ataque. Como já foi dito, ataques a redes corporativas acontecem o tempo todo e, por isso, é importante contar com soluções que sejam capazes de gerenciar os riscos à segurança da informação e dos dados da empresa. O serviço de Resposta a Incidentes mapeia o processo de vazamento, apresenta instruções de como a organização precisa agir para lidar com um determinado problema de segurança de dados.

Tão importante quanto contratar as soluções adequadas para garantir a proteção da informação da sua organização, é saber com quem você realmente pode contar. Por isso, é importante avaliar o conhecimento da empresa a ser contratada e das equipes especializadas no gerenciamento de processos que têm como foco a garantia da proteção de dados da empresa.

A Everest Ridge é uma empresa brasileira especialista em gestão e segurança de redes de telecomunicações e pode ajudá-lo tanto a escolher sua equipe interna, quanto a terceirizar, o que é hoje uma das tendências do mercado.

Cada vez mais as empresas são formadas com uma estrutura extremamente enxuta e, por este motivo, não há espaço para erros. Hoje, muitos executivos escolhem ter profissionais especialistas, que já possuem as competências necessárias, são comprometidos com o projeto e com a forma de atuação do ponto de vista da segurança. Um trabalho profissional reduz custos e evita vazamentos que podem ser fatais para determinados negócios.

A Everest Ridge oferece, desde 2010, serviços e soluções para a gestão do ambiente tecnológico de grandes e importantes empresas. Atua entregando as melhores soluções em desenvolvimento, planejamento, gerenciamento e suporte em Telecomunicações e Tecnologia da Informação.

Além disso, a Everest Ridge está sempre acompanhando as evoluções tecnológicas e possui conhecimento sobre como funcionam os equipamentos de última geração, levando aos clientes soluções sob medida para suas demandas em relação aos dados e redes.

A parceria com grandes fornecedores de equipamentos de segurança do mercado também gera benefícios diretos aos clientes, que acabam obtendo preços diferenciados por terem sido indicados pela Everest Ridge.

Índice

Conte com a ajuda de especialistas

11

voltar

Tel.: (11) 3181.4008comercial@everestridge.com.br

www.everestridge.com.br