- Segurança da Informação
- No comments
Dica 1º Prevenção – Melhor Prevenir do que Remediar Prejuízos na Sua Empresa
Já valia o ditado popular “melhor prevenir do que remediar”, na TI esse dito, vale ouro, pois em alguns casos os dados perdidos podem nunca mais serem recuperados. Então, mãos à obra…
Inicialmente a gestão de segurança da informação deverá realizar um levantamento dos serviços de tecnologia e também um inventário de hardware e software, afim de avaliar o cenário tecnológico da empresa. Para isto pode-se utiliza as ferramentas abaixo, que são disponibilizadas gratuitamente pelos seus fabricantes:
- Spiceworks: https://www.spiceworks.com/free-pc-network-inventory-software/
- SYSAID: https://www.sysaid.com/pt/free-asset-management-software
- OCS Inventory: https://www.ocsinventory-ng.org/en/#home-en
- Open Audit: http://www.open-audit.org/
Após o inventário realizado pela TI, recomenda-se fazer mapa de impacto, onde caso um equipamento/serviço seja comprometido, qual será o impacto no negócio. Desta forma, pode-se elencar as prioridades de prevenção, conforme modelo abaixo:
EQUIPAMENTO | SERVIÇO | RISCO DE ATAQUE | IMPACTO NO NEGÓCIO | OBS |
SERVIDOR POWER EDGE R420 | FILE SERVER | ALTO | ALTO | TODOS OS ARQUIVOS DA REDE FICARÃO OFFLINE |
MIKROTIK | FIREWALL/DHCP | BAIXO | ALTO | AS MÁQUINAS FICARÃO SEM ENDEREÇAMENTO IP E SEM POLÍTICA DE ACESSO/RESTRIÇÕES |
Agora a TI sabe exatamente o que acontece se cada um dos serviços ficar fora, inclusive, poderá realizar investimentos para ter alta disponibilidades utilizando failover ou backups. Lembrando que é importante avaliar qual o tempo máximo que o serviço pode ficar indisponível x tempo máximo de recuperação.
TREINAMENTOS CONSTANTES COM USUÁRIOS (CONSCIENTIZAÇÃO)
Não podemos esquecer que as tecnologias e serviço são utilizadas por pessoas, e são essas pessoas o elo entre segurança e vulnerabilidade.
Boa parte dos incidentes chegam através das pessoas, seja por receberem um malware no e-mail, ou um ataque pishing, até mesmo um pendrive infectado.
Existe o tal dilema “o quanto a empresa deve limitar o uso das ferramentas aos colaboradores?”. Chegar ao ponto de bloquear tudo, pode atrapalhar os negócios, mas liberar pode colocar em risco a segurança da informação. Então o que fazer?
Nesse caso, não tem outra solução. Treinar os colaboradores para identificar perigos e ameaças é a melhor forma de transformar usuários em inspetores de segurança.
O primeiro ponto de uma apresentação eficiente, para os usuários, é não esquecer que são “usuários”, geralmente leigos no assunto, e acham que a TI resolve tudo sozinha. Iniciar uma apresentação de forma descontraída, basicamente com imagens e sem utilizar tantos termos técnicos são requisitos para o sucesso.
Treine constantemente os usuários e monitore o quanto seus usuários alertam a TI sobre problemas, SPAM, site maliciosos, vírus, etc. Esse pode ser utilizado como termômetro sobre os treinamentos.
Uma técnica interessante para avaliar o nível de segurança e conhecimento dos usuários é realizar um teste de engenharia social bem simples.
Crie um e-mail fake (nomeda_empresa@gmail.com) e envie esse e-mail para alguns usuários e solicite acesso remoto ao computador. Se o acesso remoto for passado sem muitos questionamentos, SUA EMPRESA ESTÁ COM SÉRIOS PROBLEMAS.
História em off: “Certa vez, fui visitar um novo cliente para orçamento de teste de intrusão, ele queria aumentar o nível de segurança da informação e queria nos contratar para gerenciar todas as melhorias.
Chegando ao tal cliente, fui até a secretária e pedi acesso ao local onde ficam os servidores. Fui muito bem atendido e logo cheguei ao rack, onde a secretária já deixou a chave comigo e comecei a mexer.
Até aqui nada de problemas, correto?
Verdade, não seria um problema se eu não estivesse na empresa errada. Por algum motivo, a empresa me passou o número da sala errada, eu estava no 503 e o correto seria 403… “Por isso as senhas dos servidores não funcionavam. Rs”. Claro que quando percebi a falha, imediatamente entreguei as chaves a secretária e alertei ao gerente do local, que no final acabou nos contratando para serviços de TI.
Em fim, com essa história, imagina se fosse uma pessoa mal-intencionada, ou melhor bem-intencionada aos seus interesses próprios, de furtar informações ou até mesmo acabar com a área de TI da empresa.
Resumindo:
- Saiba o que a TI oferece de serviços para a empresa, quais os equipamentos e versões de Software
- Descubra qual o impacto nos negócios para cada serviço
- Faça uma avaliação do quanto pode-se esperar para recuperar um serviço x tempo máximo que este pode ficar offline
- Treine seus usuários, ensine-os a serem detetives da TI
- Faça testes de intrusão, utilizando várias técnicas como engenharia social.
- Use antivírus de confiança em todos os equipamentos.
- Política de acesso e segurança
Continuação das Dicas
Dica 2 – Detecção: Nesse Momento Sua Empresa esta sendo Atacada por Grupos Criminosos Hackers Próxima Dica