Blog GetTI

6 erros na segurança da informação para você evitar

Boa parte das organizações entende que evitar erros na segurança da informação garante a elas vantagens competitivas e processos automatizados por meio de softwares que agregam valor ao negócio e possibilitam o reconhecimento de novas oportunidades.

De acordo com o estudo realizado em 2017 pelo Ponemon Institute, intitulado Cost of Data Breach e patrocinado pela IBM, o custo médio global anual de uma violação de dados, que inclui registros perdidos ou roubo de informações confidenciais, é de US$ 3,62 milhões de dólares.

A pesquisa também aponta que a média de dados vulneráveis aumentou 1,8%, totalizando 24 mil registros, demonstrando que, apesar de toda ação, os esforços podem ser em vão se as empresas não mudarem suas rotinas de segurança digital.

Para integrar a cyber security (segurança digital) e a privacidade de dados às estratégias empreendedoras, as organizações têm adotado medidas essenciais de gerenciamento de ameaças.

Por isso, neste post, nós vamos abordar os principais erros na segurança da informação cometidos pelas empresas. Ficou interessado? Então, continue com a leitura!

1. Não investir em proteção às informações

Ataques e falhas em sistemas não são comuns apenas em multinacionais: qualquer empresa está suscetível a esse tipo de situação e pode perder informações valiosas que guiam o funcionamento do negócio. Achar que os sistemas de informação já são seguros por serem atuais é um erro muito comum.

É imprescindível investir na segurança das rotinas de TI, traçar planos de ação para corrigir falhas e implementar ações preventivas que visem minimizar o vazamento de dados.

2. Não controlar o acesso de usuários

O acesso restrito e hierarquizado das informações também é muito importante e comumente ignorado pelas empresas. Não se pode permitir que qualquer pessoa obtenha dados confidenciais, por isso as regras de acesso precisam estar devidamente documentadas e ser rigorosamente seguidas.

O ideal é que cada funcionário acesse apenas o que diz respeito a sua rotina de trabalho, por meio de uma classificação conforme posição hierárquica, e que haja um gestor com acesso a todas as rotinas para resolver problemas mais complexos, caso eles ocorram.

Dessa forma, evita-se que informações tenham um fluxo indesejado e sem qualquer tipo de controle.

3. Não colocar ou usar senhas fáceis

Pela quantidade de senhas que precisamos memorizar, esse é um fato bastante comum, mas de fácil resolução: não padronize os códigos, não utilize termos simples como “senha123” ou nomes próprios e datas de nascimento para facilitar o acesso aos documentos e equipamentos.

Também é interessante realizar a troca das senhas de acesso com frequência, de pelo menos, uma vez por mês.

4. Não respeitar a jurisdição do país

Respeitar a jurisdição do país de origem dos dados garante maior segurança jurídica se houver qualquer tipo de problema. Para tal, pesquise antecipadamente sobre os seus direitos e deveres em cada SLA (Service Level Agreement) firmado com provedores e servidores e veja quais são os principais índices estatísticos reportados de cybercrimes no país.

No Brasil, segundo informações estatísticas publicadas pelo Gabinete de Segurança Institucional do Brasil — Departamento de Segurança da Informação e Comunicações, entre os incidentes reportados no primeiro trimestre de 2017, destaca-se:

  • abuso de sítio — 823 casos;
  • abuso de SMTP — 132 casos;
  • análise de Malware — 23 casos;
  • Botnets — 12 casos;
  • DNS malicioso — 11 casos;
  • DNS recursivo — 90 casos;
  • FREAK (Factoring RSA Export Keys) — 278 casos;
  • classificação geral — 40 casos;
  • hospedagem de artefatos — 1 caso;
  • hospedagem de malware — 76 casos;
  • indisponibilidade de sítio — 583 casos;
  • NTP — 27 casos;
  • página falsa — 119 casos;
  • phishing scam — 185 casos;
  • redirecionamento de malware — 149 casos;
  • escaneamento de vulnerabilidades — 27 casos;
  • vazamento de informação — 229 casos;
  • SNMP — 22 casos;
  • violação de direitos autorais — 1 caso.

5. Não realizar backup frequente

Fazer um backup frequente dos dados e senhas garante que, no caso de invasão ou dano estrutural e físico de equipamentos, sua informação esteja segura.

É preciso que a ferramenta de backup esteja sempre atualizada e que haja também um backup disponibilizado em cloud computing (na nuvem) para garantir maior proteção e abrangência de acesso.

6. Não possuir um plano de contingência

Um problema grave é não ter um plano de contingência para o caso de falhas do software ou possíveis ameaças à segurança: faça uma gestão proativa da segurança da informação, não espere que algo ruim aconteça para efetivar uma ação com um mapeamento de vulnerabilidades e ações corretivas antecipadas.

Um plano de contingência eficiente abrange medidas que incluem tudo o que pode colocar os dados de sua empresa em risco:

  • hardware inadequado, com problemas de fabricação, obsolescência ou má conservação dos equipamentos físicos da empresa, suas ferramentas e dispositivos;
  • armazenamento de dados incorreto, com CDs, pen drives, HDs externos e internos ou outros dispositivos não protegidos;
  • meios de comunicação, com conexões inseguras que deixam os dados expostos e facilitam o acesso de invasores;
  • ações humanas, com a imprudência no uso do sistema pelos usuários, de forma intencional ou não, devido ao despreparo ou desrespeito às normas de segurança da informação da empresa.

Abaixo, nós listamos alguns casos famosos de cybercrimes que aconteceram muito provavelmente por um erro no plano de contingência por parte das empresas vítimas de ataques. Por muito tempo manteve-se sigilo acerca desses casos de vazamento de dados, mas é bom ficarmos atentos e aprendermos também com o erro dos outros:

Nasdaq

O sistema da bolsa de valores foi vítima da ação de intrusão ilícita em 2013 com alteração ou roubo de 160 milhões de registros que somadas a outras invasões simultâneas resultaram em mais de US$ 300 milhões em prejuízos.

Adobe Acrobat

O registro de 152 milhões de clientes foram violados em 2013, com informações de pagamento e dados bancários que mancharam a reputação da empresa.

Heartland Payment Systems Inc.

A operadora de cartões norte-americana foi afetada por um malware em 2009 que deu acesso aos hackers a mais de 100 milhões de dados de cartões de crédito e débito e ocasionaram perda de clientes e de muito dinheiro à empresa.

Sony

O estúdio parou por dias após ataque que ocasionou o vazamento de filmes, roteiros, documentos e e-mails que ofendiam atores e o ex-presidente Barack Obama.

Governo dos EUA

Órgãos governamentais foram alvos de ataques que revelaram dados sensíveis de 25 mil funcionários da US Investigations Services, agentes disfarçados, colaboradores do Departamento de Segurança Nacional, Casa Branca, o sistema de correios do país e a Administração Oceânica e Atmosférica Nacional (NOAA).

Trabalhar por ações preventivas que diminuam valores despendidos para recuperação de dados e ressarcimento jurídico aos clientes é imprescindível para a manutenção da empresa no mercado, principalmente porque o investimento na automação de processos é alto e sua preservação requer muitos cuidados.

Para evitar esses erros na segurança da informação, é necessário investir em uma infraestrutura robusta e bem planejada na gestão de riscos. A complexidade e a importância dos dados e sua forma de transmissão e armazenamento devem ser consideradas de acordo com a relevância e confidencialidade das informações.

Além disso, as interações com o sistema, desde a sua configuração inicial até o registro de um novo usuário, devem ser conduzidas com base nesses procedimentos pré-definidos de segurança digital.

Agora que você já conhece os principais erros na segurança da informação, assine nossa newsletter na coluna ao lado e receba conteúdos atuais que garantirão a inviolabilidade do seu sistema!