O que é essencial para manter um ambiente seguro? A resposta é extensa e complexa. Por isso mesmo é preciso começar por algum lugar e esse artigo tem como objetivo dar o pontapé inicial, com as melhores práticas adotadas no mercado de segurança da informação de TI. Como o próprio título já descreve, são as 10 melhores práticas de segurança digital e não os 10 mandamentos, mesmo porquê o que se aplica em uma empresa, não necessariamente irá se aplicar da mesma forma em outra.
1º Acompanhar a evolução das tecnologias: é muito importante acompanhar a evolução das tecnologias, a fim de garantir que está utilizando todos seus recursos e até evoluir em relação aos requisitos do negócio. Quando o acompanhamento não é feito de forma adequada, pode-se gerar um alto risco em relação ao negócio da empresa, um custo desnecessário com a adaptação tardia e a perda de oportunidades. Como exemplo podemos citar a descontinuidade do suporte ao Windows XP em abril de 2014, forçando seus usuários a migrarem suas aplicações para um sistema operacional mais atualizado. Como vimos recentemente com o ciberataque mundial do WannaCry, muitas empresas não acompanharam adequadamente a evolução e tiveram seus ambientes comprometidos.
2º Manter softwares atualizados: além da atualização, é importante saber quais softwares são utilizados na empresa e se todos estão devidamente homologados e inventariados. Além deles, ter o controle dos softwares freeware que estão sendo utilizados na empresa, como softwares para downloads de filmes, músicas, livros e, principalmente, aqueles que burlam o proxy para acesso de conteúdos não autorizados na internet.
3º Controle de acesso: assim como na criação das credencias de acesso à rede, é indispensável a criação de políticas de troca de senha que atendam aos requisitos mínimos de complexidade. Também é muito importante a criação de políticas de acesso aos ambientes físicos. O acesso não autorizado de uma pessoa mal intencionada em um departamento financeiro ou comercial, por exemplo, pode causar sérios danos à empresa.
4º Normas de segurança: como evidenciado no item acima, políticas de segurança são essenciais para dar a diretriz de como a empresa pretende se resguardar em relação aos seus sistemas. Uma regra bem elaborada e de fácil entendimento traz eficiência e transparência aos requisitos do negócio e o que esperam como conduta do colaborador. Para isso, claro, é fundamental que a empresa divulgue as normas internamente, principalmente com relação a integridade e confidencialidade das informações e, de preferência, que o colaborador formalize o seu conhecimento em relação às mesmas.
5º Alinhamentos aos processos: os processos deverão estar de acordo com as normas de segurança e é imprescindível que as equipes estejam alinhadas aos processos, principalmente quando uma determinada empresa possui mais de um prestador de serviços de TI. É recomendável que ocorram reuniões mensais junto a estas equipes para alinhamento das atividades, dos novos processos criados e dos aprimoramentos para futura aprovação da implementação do procedimento junto ao cliente.
6º Ferramentas de gestão de incidentes: a automação no tratamento dos incidentes é um item fundamental para gestão, facilitando as ações de mitigação e controle dos problemas. Os chamados devem ser gerados e tratados com um número de protocolo para controle, havendo atualizações quanto às ações adotadas. ,
7º Ferramentas de monitoramento e análise: as empresas precisam ter o controle do que trafega em sua rede.
8º Indicadores de entrega de serviço: este é um item que consegue tangibilizar o que foi dito anteriormente. Após a implementação dos itens acima, a criação de indicadores de desempenho busca aprimorar o nível de maturidade dos processos e ferramentas implementadas no ambiente. Neste item nos perguntamos se o conjunto da obra nos fornece o nível de cibersegurança e controle desejados e se é possível mitigar e aceitar certos riscos (vulnerabilidades).
9º Treinamento: a capacitação dos colaboradores envolvidos precisa ser constante. Lembre-se de que os responsáveis pela entrega de um excelente resultado são as pessoas; ferramentas não operam sozinhas e um bom nível de comunicação entre as equipes é essencial para o sucesso.
10º Contingência: como diria o ditado popular “ quem tem 2, tem 1; quem tem 1, não tem nenhum”. Tenha sempre um plano de contingência para os casos de emergência, planeje a pior das hipóteses no seu ambiente (elas acontecem quando você menos espera), realize regras de backup (como por exemplo, a regra: 3 – 2 e 1) e tenha um plano de desastre recovery.
E isso é apenas o começo...
Fontes de referência:
hxxps://news.microsoft.com/pt-br/orientacao-ao-cliente-sobre-ataques-do-wannacrypt/#sm.00001xysp754nhdc7r2w93xxpseuy#6sZv4jKZUAftpVD4.97
https://www.veeam.com/blog/pt-br/how-to-follow-the-3-2-1-backup-rule-with-veeam-backup-replication.html
