Академический Документы
Профессиональный Документы
Культура Документы
DA INFORMAO
PARA EMPRESAS
Solues simples
Grandes resultados
SEGURANA
DA INFORMAO
PARA EMPRESAS
Sumrio
1 CUIDADOS NA ESCOLHA
E AQUISIO DE EQUIPAMENTOS
a) Equipamentos X adequao s necessidades da empresa
b) Fornecedores confiveis, assistncia tcnica e manuteno
c) Escolha de softwares de prateleira e customizao
d) Inventrio e destinao final dos equipamentos
2 CUIDADOS NO GERENCIAMENTO
E GUARDA DE INFORMAES
a) Senhas
b) E-mail e spam
c) Antivrus, firewalls e bloqueios de sites
d) Backups e revises peridicas
3 ENGENHARIA SOCIAL
8
9
10
11
14
16
17
18
20
24
26
29
33
36
39
40
5 CONCLUSO
42
SEGURANA DA INFORMAO
PARA EMPRESAS
Solues simples - Grandes resultados
1cuidados na
escolha e aquisio
de equipamentos
a) Equipamentos X adequao
s necessidades da empresa
Um dos primeiros passos na busca pela reduo de riscos na
utilizao dos meios tecnolgicos , justamente, a escolha
certa dos equipamentos. Alm da necessidade de aquisio
dos produtos de marcas de renome e de confiabilidade no
mercado, tambm importante que o empresrio tenha plena
conscincia do que sua empresa precisa e aonde quer chegar
com a aquisio de novos equipamentos. preciso ter um
plano. Para comear, o tipo de negcio desenvolvido j pode ser
um bom indicativo das ferramentas necessrias, mas o perfil
dos usurios tambm deve ser considerado. So exemplos de
pontos relevantes no momento da escolha de equipamentos:
tipo do negcio e principais riscos inerentes;
caractersticas tcnicas dos equipamentos e metas da
empresa;
capacidade de memria, velocidade e facilidade no uso;
capacidade de interao com outras mquinas e equipamentos; e,
tempo previsto de obsolescncia.
10
O ideal que a empresa, com base no planejamento estratgico ou metas peridicas pr-definidas, desenvolva tambm
um planejamento tecnolgico. Como as ferramentas no se
justificam por si mesmas, o empresrio deve se perguntar
como a nova tecnologia a ser adquirida pode auxili-lo em
seus objetivos. Com isso em mente, fica mais simples decidir
o que e quanto comprar.
b) Fornecedores confiveis,
assistncia tcnica e manuteno
Uma vez decididos o tipo e a quantidade de equipamentos
a serem adquiridos, o prximo passo definir o fornecedor.
sempre bom lembrar que o empresrio pode ter srios
problemas ao comprar produtos de origem duvidosa, sem
falar naqueles decorrentes da prtica de crimes como pirataria, descaminho, contrabando etc. Alm da qualidade de
tais produtos ser evidentemente comprometida, questes
como garantia e assistncia tcnica tambm so prejudicadas. Assim, a aquisio de equipamentos tecnolgicos
para a empresa deve ser vista como investimento na ampliao e segurana dos negcios, e no apenas como custos a serem contabilizados.
11
Com relao escolha das marcas dos produtos, aconselhvel buscar informaes tcnicas completas, bem como a realizao de pesquisa de satisfao de usurios dos equipamentos pretendidos. Neste sentido, a internet uma excelente
fonte de informaes sobre defeitos e vulnerabilidades recorrentes nos produtos.
Alm disso, na escolha da marca dos equipamentos, o empresrio deve pontuar, os seguintes fatores:
a disponibilidade de assistncia tcnica prxima empresa; e,
os custos com peas de reposio da marca ou assistncia tcnica dos equipamentos.
C) Escolha de softwares
de prateleira e customizao
Dependendo do tipo de negcio desenvolvido pela empresa, os
softwares comerciais, tambm conhecidos como softwares de
prateleira (Microsoft, por exemplo) j suprem boa parte das
necessidades dirias. Para a aquisio de tais produtos importante que o empresrio conhea suas principais caractersticas
12
e, acima de tudo, mantenha-se informado a respeito das atualizaes de segurana oferecidas periodicamente pelo fabricante.
Esta medida importante porque, depois que um software
lanado no mercado, o fabricante continua atento s suas
vulnerabilidades. Assim, quando uma vulnerabilidade nova
descoberta, o fabricante imediatamente contata os usurios
e envia, geralmente de forma gratuita, o pacote de atualizaes. A empresa que no est devidamente cadastrada junto
ao fabricante (adquiriu um software pirata, por exemplo) ou
no atualiza seu sistema conforme indicao do fornecedor
aumenta potencialmente seus riscos.
Por outro lado, nem sempre os softwares de prateleira so suficientes: muitas vezes os programas encomendados se transformam na principal ferramenta do negcio de uma empresa. Por
isso, alm da definio exata das funcionalidades que se espera
do produto customizado, essencial a ateno na contratao
dos profissionais desenvolvedores do programa personalizado.
Assim, a escolha do prestador de servios de desenvolvimento de software para a empresa merece cuidados redobrados, atentando-se aos seguintes pontos:
13
14
d) Inventrio e destinao
final dos equipamentos
Os bens que compem o patrimnio tecnolgico de uma
empresa precisam ser devidamente inventariados, tornando-se possvel o acompanhamento total dos incidentes na vida til dos equipamentos, atualizaes e nvel
de obsolescncia.
Como a tecnologia aperfeioada constantemente, por
questes de segurana, importante que o empresrio
mantenha seus equipamentos em um nvel ideal de atualizao. Por isso, a troca dos equipamentos aps certo tempo de uso pode ser a melhor alternativa para a empresa, se
comparada com os custos e riscos com a manuteno e/ou
assistncia tcnica recorrente.
Alguns itens no devem deixar de ser considerados em um
inventrio de ferramentas tecnolgicas:
data de aquisio, com arquivo de notas fiscais e termos
de garantia;
15
2cuidados no
gerenciamento
e guarda de
informaes
17
A) Senhas
Quando se fala em princpios bsicos de segurana da informao, sempre se comea pelo mesmo tema: senhas.
Isto porque, seu compartilhamento ou obteno por meios
indevidos responsvel pela maioria das fraudes mundiais realizadas por meios eletrnicos.
As senhas seja de mquinas, cadastros ou sistemas so a
porta de entrada para um banco infinito de informaes altamente relevantes (ora, se no fossem importantes no haveria necessidade de senhas, certo?). Exatamente por ter isso em
mente, pessoas mal intencionadas buscam incansavelmente
sua obteno pelos mais diversos meios fraudulentos.
Assim, considerando que o inimigo sempre est atento aos
mnimos deslizes, o gerenciamento das senhas de uma empresa merece ateno especial do empresrio. Desde sua
formulao, concesso, at o bloqueio, todas as providncias devem ser muito bem planejadas. Vamos s sugestes:
18
nas regras para a formulao das senhas, exija sempre a variedade por tipos de caracteres letras, nmeros e smbolos;
estabelea e monitore o cumprimento fiel de poltica ostensiva de utilizao para funcionrios e colaboradores, com
regras obviamente proibitivas e punitivas relacionadas ao
compartilhamento de senhas com terceiros, ainda que da
prpria empresa; e,
providencie a validade temporal das senhas, que devem ser
obrigatoriamente alteradas em um perodo razoavelmente
curto de tempo (a cada dois meses, por exemplo).
B) E-mail e spam
Se, por um lado, por meio da captao de senhas que grande parte das fraudes se inicia, no se pode negar que, por
outro, por meio dos e-mails que as tentativas de fraude
se propagam.
Como comunicao rpida e barata, o canal de recebimento
de e-mail tem enorme potencial tanto para o bem, quanto
para o mal. Aqui, inevitavelmente, vamos falar dos riscos relacionados ao seu uso.
19
Por meio de e-mails e spams (e-mails abusivos no solicitados e de cunho comercial) os fraudadores enviam arquivos
para captao de senhas, disseminao de vrus e outros
artifcios para obter informaes sigilosas da empresa.
Voc pode se prevenir com algumas aes simples:
nunca abra anexos de e-mails de pessoas desconhecidas;
analise cuidadosamente a possibilidade de no abrir anexos, se possvel, mesmo de pessoas conhecidas;
nunca efetue ou preencha cadastros de pesquisas enviadas
anexas a e-mails;
delete e-mails supostamente enviados por instituies
bancrias bancos de renome no enviam comunicao
por e-mail;
ao clicar em links enviados por e-mail, confirme na barra de
endereo se voc est sendo direcionado para o local efetivamente desejado (existem muitos links falsos que direcionam
para sites fraudulentos);
crie uma poltica interna de utilizao de e-mails coorporativos as regras precisam ser claras, objetivas e com
possibilidade de imposio de penalidades em caso de
inobservncia;
20
C) Antivrus, firewalls
e bloqueios de sites
Hoje em dia, a perda/divulgao de dados e/ou cadastros
de uma empresa pode significar sua falncia total. Por isso,
a proteo dos equipamentos tecnolgicos da empresa
contra ameaas de invaso ou vrus tambm merece adoo de medidas preventivas importantes.
No tocante aos antivrus, cujo objetivo principal evitar a
contaminao do computador por malwares (softwares mal
intencionados), pode-se dizer que, atualmente, o mercado
oferece uma gama de solues a baixo custo e que podem ser
interessantes para a empresa.
21
Exatamente por este motivo, a avaliao de um profissional da rea de tecnologia importantssima na escolha dos
softwares de proteo em geral, j que, para que a aquisio de uma soluo tecnolgica seja eficaz, preciso definir quais so os tipos de riscos a que determinada empresa
est sujeita. E os riscos, por sua vez, esto intimamente ligados s atividades empresariais exercidas e s modalidades de equipamentos utilizados.
Assim, se as atividades da empresa tm estreita relao com o
envio e recebimento de informaes por e-mail, por exemplo, o
antivrus deve ter foco especial neste segmento.
Alm do antivrus, outra forma da empresa ter seu sistema
protegido a utilizao dos firewalls, produtos para bloquear acessos no autorizados ao sistema. Para sua aquisio, contudo, tambm aconselhvel que haja a prvia
anlise de um profissional de TI, para que sua implantao
seja estudada em conjunto com a utilizao de todas as
demais ferramentas de segurana da informao existentes na empresa.
Novamente, no se pode deixar de lembrar que todas as
ferramentas de segurana adotadas pela empresa tambm precisam ser atualizadas constantemente, conforme
as indicaes do fabricante.
22
Neste sentido, considerando que o nvel de segurana aumenta na medida em que so ampliadas a variedade e a qualidade das solues adotadas, tambm interessante cogitar o
bloqueio, no ambiente de trabalho, de acesso a determinados
sites ou funcionalidades que potencialmente podem trazer
prejuzos. Dentre tais sites podemos citar aqueles que oferecem downloads de programas e contedos, compartilhamento de arquivos, redes sociais em geral e trocas de mensagens,
entre inmeros outros.
Alm disso, se as informaes veiculadas nas mquinas da empresa forem de cunho estritamente confidencial (como informaes bancrias e dados cadastrais, por exemplo) pode ser
prudente adotar a estratgia de bloqueio de acesso a e-mails
particulares, bem como a possibilidade de cpia de arquivos das
mquinas em hardwares mveis, como pen drive ou HD externo.
preciso ter cuidado, tambm, com a criao e gerenciamento de redes internas, j que, se, por um lado, facilitam o acesso
a arquivos e informaes de interesse comum, de outro, podem causar estragos coletivos, caso haja a contaminao por
vrus e outras aes criminosas em geral. As redes merecem,
portanto, ateno redobrada de monitoramento e proteo.
23
Outro ponto que deve ser levado em considerao pelo empresrio nos dias de hoje so as solues que ficam residentes na internet, chamadas de cloud computing. Estas
solues ficam residentes em sistemas profissionais e os
usurios, de modo geral, s necessitam de uma conexo
internet. Assim, esta pode ser mais uma alternativa a ser
avaliada para a estruturao de uma infraestrutura adequada e segura aos negcios das empresas.
Sintetizando:
preveno contra fraudes sinnimo de utilizao de variadas ferramentas, sendo que as minimamente exigidas so
os antivrus, filtros antispam, firewalls e bloqueio de acesso
a certos sites;
as ferramentas adquiridas pela empresa precisam ser
constantemente atualizadas, conforme indicaes dos fabricantes; e,
a anlise das vulnerabilidades da empresa versus as ferramentas adequadas para a proteo desta, deve, preferencialmente, ser feita por um profissional de TI.
24
25
3engenharia
social
27
No s os aspectos tcnicos merecem a ateno do empresrio que busca aumentar a segurana da informao em
sua empresa. A chamada engenharia social, usada para
cometer fraudes, tambm merece ser seriamente estudada.
Embora o nome assuste um pouco, engenharia social nada
mais do que a utilizao de estratgias para explorar o
lado mais fraco (ou sensvel) do ser humano no intuito de
obter informaes relevantes. o uso de tcnicas para explorar sentimentos como curiosidade, culpa, solidariedade e medo, para ter acesso aos dados sensveis de pessoas
e empresas. As formas mais corriqueiras so os populares
e-mails de clique aqui e veja as fotos de sua esposa, seu
nome foi includo no Serasa clique aqui para saber o motivo, atualize os dados de seu token por e-mail etc.
Alm dos conhecidos e-mails de phishing (pescaria de dados), h tambm as fraudes cometidas por telefone (seu
filho foi sequestrado) e envio de mensagens pelo celular
(voc ganhou a promoo do Domingo do Fausto), entre inmeras praticadas amplamente adotadas na busca de
vtimas desavisadas. E o pior: novas armadilhas so inventadas a cada dia, pois, assim que antigas fraudes so descobertas como tal, os criminosos empenham-se na criao de
histrias fraudulentas ainda mais convincentes.
28
29
30
Por esta razo, muito importante que o empresrio trabalhe incansavelmente o alerta aos seus funcionrios sobre a
inadequao da divulgao de informaes no autorizadas
relacionadas empresa nas redes sociais.
Outra estratgia sugerida a formalizao de regras para
uma poltica de utilizao dos equipamentos tecnolgicos:
isto pode ser feito por meio da elaborao de um regulamento interno, que dever contemplar, no mnimo, diretrizes para os seguintes temas:
fluxo de contedo permitido/proibido por meio dos
e-mails corporativos;
relao e/ou tipo de sites cujo acesso considerado
inadequado;
regras sobre a divulgao de informaes da empresa
em redes sociais;
regras sobre a utilizao de hardwares mveis (pen drive
etc.) e acesso a contas pessoais de e-mail;
regras sobre a formulao de senhas e proibio de seu
compartilhamento;
31
32
33
B) Contratao de terceiros
e colaboradores em geral
Alm de treinamento e regras para os funcionrios, salutar o estabelecimento de regras e critrios para contratao e prestao de servios por parte de fornecedores em
geral, principalmente aqueles que podem, eventualmente,
ter acesso aos sistemas da empresa.
Primeiramente, para as contrataes iniciais, em especial
aquelas realizadas pela web, preciso buscar indicaes
confiveis de outros clientes do fornecedor e confirmar se
os dados publicados nos sites so verdadeiros (telefone, endereo, tempo de existncia da empresa etc.).
Outro aspecto importante a ser verificado refere-se formao e capacitao tcnica comprovada dos prestadores
de servios profissionais desatualizados ou com conhecimento tcnico limitado podem no s prejudicar todo o
conjunto tecnolgico de uma empresa, como tambm ocasionar a perda definitiva de dados importantes.
34
35
ceirizao da atividade fim da empresa, por exemplo) e, principalmente, nas hipteses em que o servio for prestado por
pessoa fsica, com subordinao, habitualidade e mediante
salrio, poder ficar caracterizada uma relao de emprego
(nos termos da Consolidao das Leis do Trabalho), e no de
uma simples prestao de servios terceirizados.
Neste caso, desvirtuada a terceirizao, sero devidas aos
trabalhadores envolvidos todas as verbas trabalhistas decorrentes da relao de trabalho, independentemente de o
servio ter sido prestado dentro da empresa (na sede, filiais
etc.), fora dela ou por empresa interposta.
Alis, reforando este entendimento, recentemente foi publicada a Lei 12.551/2011, tambm conhecida como Lei do Teletrabalho, que definiu no haver distino, para fins de reconhecimento dos direitos trabalhistas, entre trabalhadores
que prestam servio dentro da empresa e aqueles que realizam o servio distncia (em casa ou outros locais), desde
que estejam caracterizados os pressupostos da relao de
emprego (subordinao e habitualidade, por exemplo).
4
planejamento
e outros cuidados
37
38
39
A) Consultorias externas
e implantao de Normas
Regulamentadoras
Alm dos acompanhamentos internos a serem regularmente realizados, tambm tem sido adotada por muitas empresas a estratgia de contratao de auditorias/consultorias
externas para a verificao peridica do sistema. A grande
vantagem desta providncia que ao mesmo tempo pode-se aferir e confirmar a qualidade tcnica dos profissionais
internos e, por outro lado, tambm se pode obter sugestes
de medidas complementares a serem adotadas.
O acompanhamento por terceiros garante, assim, a atualizao constante do sistema e o acompanhamento da qualidade tcnica dos funcionrios de TI da prpria empresa.
Alm deste tipo de servio, a empresa pode tambm optar pela adoo das normas e padres tcnicos expedidos
pela Associao Brasileira de Normas Tcnicas (ABNT), que
culminaram na certificao da empresa em, por exemplo,
gesto de riscos da informao.
40
B) Ateno constante
s regras jurdicas
Ao lado dos aspectos tcnicos e organizacionais da segurana da informao, igualmente importante que o empresrio
esteja atento aos cuidados jurdicos necessrios para executar as medidas de proteo de seus dados. Alguns pontos a
serem considerados so:
41
5concluso
43
No decorrer deste pequeno consolidado de dicas foi possvel perceber que a segurana da informao algo que
merece ateno especial nas empresas, ainda mais em um
mundo em que os negcios, aquisies e transaes circulam cada vez mais pelos meios tecnolgicos e virtuais.
Neste cenrio, para uma empresa se manter sadia e produtiva, imprescindvel que faa, periodicamente, o checkup de
todo o seu sistema operacional, garantindo, assim, a continuao da produtividade e de novos negcios.
Contudo, para que isso seja possvel, faz-se necessria a
formulao de planejamento estruturado que contemple
medidas de naturezas diferentes que, devidamente conjugadas, formaro a armadura de proteo da empresa.
Esta armadura pode, ento, ser confeccionada com base
nos seguintes fatores:
44
45
46
47
48