• Segurança da Informação
• No comments

Dica 1º Prevenção – Melhor Prevenir do que Remediar Prejuízos na Sua Empresa

Já valia o ditado popular “melhor prevenir do que remediar”, na TI esse dito, vale ouro, pois em alguns casos os dados perdidos podem nunca mais serem recuperados. Então, mãos à obra…

Inicialmente a gestão de segurança da informação deverá realizar um levantamento dos serviços de tecnologia e também um inventário de hardware e software, afim de avaliar o cenário tecnológico da empresa. Para isto pode-se utiliza as ferramentas abaixo, que são disponibilizadas gratuitamente pelos seus fabricantes:

1. Spiceworks: https://www.spiceworks.com/free-pc-network-inventory-software/
2. SYSAID: https://www.sysaid.com/pt/free-asset-management-software
3. OCS Inventory: https://www.ocsinventory-ng.org/en/#home-en
4. Open Audit: http://www.open-audit.org/

Após o inventário realizado pela TI, recomenda-se fazer mapa de impacto, onde caso um equipamento/serviço seja comprometido, qual será o impacto no negócio. Desta forma, pode-se elencar as prioridades de prevenção, conforme modelo abaixo:

Agora a TI sabe exatamente o que acontece se cada um dos serviços ficar fora, inclusive, poderá realizar investimentos para ter alta disponibilidades utilizando failover ou backups. Lembrando que é importante avaliar qual o tempo máximo que o serviço pode ficar indisponível x tempo máximo de recuperação.

TREINAMENTOS CONSTANTES COM USUÁRIOS (CONSCIENTIZAÇÃO)

Não podemos esquecer que as tecnologias e serviço são utilizadas por pessoas, e são essas pessoas o elo entre segurança e vulnerabilidade.

Boa parte dos incidentes chegam através das pessoas, seja por receberem um malware no e-mail, ou um ataque pishing, até mesmo um pendrive infectado.

Existe o tal dilema “o quanto a empresa deve limitar o uso das ferramentas aos colaboradores?”. Chegar ao ponto de bloquear tudo, pode atrapalhar os negócios, mas liberar pode colocar em risco a segurança da informação. Então o que fazer?

Nesse caso, não tem outra solução. Treinar os colaboradores para identificar perigos e ameaças é a melhor forma de transformar usuários em inspetores de segurança.

O primeiro ponto de uma apresentação eficiente, para os usuários, é não esquecer que são “usuários”, geralmente leigos no assunto, e acham que a TI resolve tudo sozinha. Iniciar uma apresentação de forma descontraída, basicamente com imagens e sem utilizar tantos termos técnicos são requisitos para o sucesso.

Treine constantemente os usuários e monitore o quanto seus usuários alertam a TI sobre problemas, SPAM, site maliciosos, vírus, etc. Esse pode ser utilizado como termômetro sobre os treinamentos.

Uma técnica interessante para avaliar o nível de segurança e conhecimento dos usuários é realizar um teste de engenharia social bem simples.

Crie um e-mail fake (nomeda_empresa@gmail.com) e envie esse e-mail para alguns usuários e solicite acesso remoto ao computador. Se o acesso remoto for passado sem muitos questionamentos, SUA EMPRESA ESTÁ COM SÉRIOS PROBLEMAS.

História em off: “Certa vez, fui visitar um novo cliente para orçamento de teste de intrusão, ele queria aumentar o nível de segurança da informação e queria nos contratar para gerenciar todas as melhorias.

Chegando ao tal cliente, fui até a secretária e pedi acesso ao local onde ficam os servidores. Fui muito bem atendido e logo cheguei ao rack, onde a secretária já deixou a chave comigo e comecei a mexer.

Até aqui nada de problemas, correto?

Verdade, não seria um problema se eu não estivesse na empresa errada.  Por algum motivo, a empresa me passou o número da sala errada, eu estava no 503 e o correto seria 403… “Por isso as senhas dos servidores não funcionavam. Rs”. Claro que quando percebi a falha, imediatamente entreguei as chaves a secretária e alertei ao gerente do local, que no final acabou nos contratando para serviços de TI.

 

Em fim, com essa história, imagina se fosse uma pessoa mal-intencionada, ou melhor bem-intencionada aos seus interesses próprios, de furtar informações ou até mesmo acabar com a área de TI da empresa.

Resumindo:

1. Saiba o que a TI oferece de serviços para a empresa, quais os equipamentos e versões de Software
2. Descubra qual o impacto nos negócios para cada serviço
3. Faça uma avaliação do quanto pode-se esperar para recuperar um serviço x tempo máximo que este pode ficar offline
4. Treine seus usuários, ensine-os a serem detetives da TI
5. Faça testes de intrusão, utilizando várias técnicas como engenharia social.
6. Use antivírus de confiança em todos os equipamentos.
7. Política de acesso e segurança

Continuação das Dicas

Dica 2 – Detecção: Nesse Momento Sua Empresa esta sendo Atacada por Grupos Criminosos Hackers                                                                                                                    Próxima Dica