Sua empresa tem uma política bem definida de segurança? A maioria dos gestores de TI acreditam que somente colocar um antivírus irá proteger a empresa, o que é uma grande falha. Vamos ver alguns dados que comprovam como qualquer empresa pode estar exposta e em seguida vamos te dar algumas dicas de segurança da informação para sua empresa.
- Você sabia que mais de 30% das violações de segurança ocorrem em empresas com menos de 100 funcionários? (Fonte: Verizon’s 2013 Data Breach Investigations Report )
- 44% das pequenas e médias empresas, o que convencionamos chamar de SMB, já foram atacadas por criminosos cibernéticos ? (Fonte: 2013 survey by the National Small Business Association
- Segundo estudo da Kaspersky, das empresas que informam ter uma solução de antivírus, apenas 60% o mantém atualizado.
Mesmo que sua empresa seja pequena, ela também está exposta.
As empresas SMB pensam que são muito pequenas para serem interessantes para os cibercriminosos e essa é a mentalidade que eles querem que você tenha.
Eles estão focando cada vez mais nas pequenas e médias empresas, pois sabem que elas estão despreparadas.
Leia mais sobre Ransomware aqui
Dez dicas de segurança da informação para sua empresa
Como falamos anteriormente, a segurança da sua rede vai muito além de somente ter um antivírus instalado em todas as máquinas. Abaixo destacamos algumas recomendações preciosas, que se forem seguidas, deixarão sua empresa muito mais protegida.
1° Use software original
Parece estranho esta afirmação, ou mesmo, parece que estamos puxando sardinha para nosso lado, por vendermos software, mas não é verdade.
O fato é que, as fontes por onde se consegue software não original não são seguras. Há uma grande chance que os arquivos de instalação tenham sido corrompidos, expondo a sua empresa a ataques e vazamento de informações.
Se manter os softwares originais não é possível devido a custo, opte por soluções Open Source, mas evite a todo custo o uso de software pirata.
Leia mais sobre em Fiscalização Microsoft
2° Utilize o Active Directory
O Active Directory é um serviço disponível no Windows Server e serve para controlar a autenticação e acesso dos seus funcionários a sua rede.
Muitos serviços de TI são dependentes do AD, e ter ele configurado na sua empresa facilita e muito a automação de TI, ajudando a diminuir os custos.
Falando especificamente de segurança, o Active Directory permite impor uma série de restrições aos usuários de sua rede.
Com ele você tem um ponto central de gestão das senhas de acesso as máquinas e pode retirar os usuários administrativos que vem por padrão no Windows, o que é altamente recomendável.
Não adianta ter um ótimo antivírus corporativo, um firewall bem configurado, se um usuário pode facilmente acessar a sua rede de sua máquina sem nenhum controle.
Ter um Active Directory bem configurado é a base para ter uma infraestrutura de TI eficiente e segura.
3° Tenha uma política de atualização de software
Ter todos os softwares devidamente atualizados em toda a sua rede, pode ser uma tarefa difícil, principalmente se a sua rede for grande e descentralizada, mas é fundamental para ter uma rede segura.
Existe a opção de utilizar o WSUS, que é o serviço de atualização automatizado presente no Windows Server. Ele só resolve os problemas de atualização de produtos Microsoft.
O básico que você deve fazer é ter o WSUS e uma ferramenta de inventário de rede, para controlar a versão dos outros softwares e os manter atualizado.
Nós recomendamos aos nossos clientes o Kaspersky Endpoint Protection Advanced, pois, além de ser uma excelente ferramenta de antivírus para empresas, possui uma série de recursos muito bons.
No nosso caso específico, a versão Advanced tem o gerenciamento centralizado de vulnerabilidades e atualizações, que integra com o WSUS e gerencia as atualizações de software de outros fabricantes. Aqui tem um vídeo (em inglês) com o treinamento da ferramenta.
Independente da solução, é importante que todos os softwares utilizados pelos colaboradores da empresa estejam sempre atualizados.
4° Defina as aplicações permitidas pela empresa
Criar uma lista branca de aplicações permitidas já facilita muito o trabalho de se manter atualizado. Além disso, você garante uma padronização no seu ambiente, o que diminui os chamados e garante que todos estão utilizando aplicações que foram homologadas pela empresa. Seja rígido na criação da lista de aplicações homologadas e procure o apoio dos responsáveis da empresa para garantir que as regras serão seguidas.
5° Crie senhas complexas para todos os serviços
Não adianta ter um Active Directory ativo e a senha do administrador ser Pa$$word. Comunique a seus colaboradores a importância de se utilizar senhas complexas. Exija no mínimo 8 caracteres com letras maiúsculas e minusculas, junto a números e pelo menos um caractere diferente como @, # e similares. Se for possível, utilize autenticação multifator.
Não importa o quão avançado for a sua solução de segurança, o primeiro passo é educar os seus funcionários. Eu acho interessante empresas que mantém uma intranet e sempre que um novo colaborador é contratado, ele é obrigado a assistir vídeos de treinamento sobre segurança e as políticas da empresa. Esta é um prática comum lá fora e aqui no Brasil poucas empresas aplicam. O melhor é que não custa caro.
6° Esqueça antivírus gratuitos
Os economistas gostam de dizer que não existe almoço grátis, eu gosto de um ditado que minha avó dizia: “laranja na beira da estrada, ou está podre ou está bichada”.
A maioria dos fornecedores de antivírus gratuitos usam a estratégia de não cobrar como um chamariz de marketing, oferecendo uma solução com recursos limitados e condicionando o acesso a estes recursos por um pagamento de licença.
Outro perigo de se utilizar soluções de antivírus gratuitas é que elas foram feitas para usuários domésticos e não para ambientes corporativos.
Imagine um pequenos escritório com 15 máquinas e todas elas com antivírus gratuitos. O técnico terá que configurar uma por uma e todas irão fazer download das atualizações ao mesmo tempo. Olha o tamanho do problema:
- Como o técnico saberá qual máquina foi infectada?
- Como ele controla as atualizações?
- Como saber quais usuários estão desabilitando as varredura do sistema de antivírus?
- Como replicar uma mesma configuração para todas as máquinas?
Agora imagine uma rede com 50 computadores? É impossível gerir a segurança dos Endpoints se não há um ponto único de gestão.
Hoje existem opções de antivírus robustos e cheios de recursos como os produzidos pela Kaspersky e também há opções mais simples e não precisam de um servidor, sendo tudo gerenciado pela nuvem como a solução Worry-free Services da Trend Micro.
Independente da solução que você escolha, o importante é que seja uma solução de antivírus desenvolvida para empresas e não para pessoa física.
7° Controle a sua internet
É fato que a maioria das ameaças a segurança de TI vem através da internet. Novamente, é importante uma política de educação continua de seus usuários para que eles saibam identificar ameaças.
Com os seus colaboradores devidamente educados, é importante que a empresa invista em tecnologias que permitam o controle de acesso.
Eu pessoalmente não sou a favor de controles rígidos da internet, pois isso gera muita insatisfação, mas o básico deve ser feito. Sites de conteúdo duvidoso como pornográfico, de download de software, conteúdo ilegal e similares, devem ser devidamente bloqueados.
É fortemente recomendável algum tipo de controle na borda da sua rede. Pode ser um simples servidor Linux funcionando como proxy, ou mesmo um appliance UTM com recursos mais avançados.
Nós da Infobusiness recomendamos Fortigate e explicamos os motivos neste artigo. O ponto importante é: tem que existir um controle e monitoramento dos acessos na sua empresa.
8° Controle o acesso físico aos seus servidores e computadores
Quando falamos de segurança digital, focamos muito em antivírus, firewall, senhas, mas nada disso adianta se o criminoso tem acesso fisicamente a nossa infraestrutura.
Se a empresa possui servidores, eles devem estar trancados em uma sala monitorada por câmeras e dentro de um rack fechado com chave. Revise também como é o controle de acesso a seu escritório. Não permita que estranhos acessem suas máquinas.
Isso pode ser mais crítico para usuários móveis que fazem uso de notebooks e smartphones. Avalie a possibilidade de usar criptografia em dispositivos móveis e crie políticas rígidas de acesso a rede para usuários visitantes.
9° Políticas de acesso a rede
Este é o calcanhar de aquiles de muitas empresas. Não adianta ter tudo de acordo com as boas práticas se os visitantes da empresa acessam a mesma rede.
Crie uma rede isolada e não permita que acessem os recursos da empresa. Funcionários temporários ou terceirizados que utilizem equipamentos próprios, devem estar em conformidade com as políticas de segurança criadas pela empresa. Enquanto não se adequarem, devem ser colocados em quarentena em uma rede isolada.
Cuidado com a senha de WI-FI. Use a mesma política de senhas sugeridas acima e utilize alguma solução que só conceda acesso a usuários autenticados.
10° Cuidado com o backup
Pode parecer estranho falarmos de backup quando o assunto é segurança, mas o backup é sim importante quando estamos criando a política de segurança da empresa.
Imagine que você seguiu todos os passos mencionados acima, mas mesmo assim houve uma infecção que comprometeu um de seus servidores. Você precisa reinstalar o servidor mas o ultimo backup que tem está comprometido. O que fazer?
As tecnologias de backup evoluíram muito e hoje é possível ter um backup constante de suas informações, usando disco como o ponto de armazenamento do backup, o que o torna mais rápido, e replicando esse bakup para a nuvem ( Com o Azure Backup por exemplo) para garantir a disponibilidade do mesmo. Garanta que a sua solução de backup vai estar disponível para quando precisar. Isto pode ser feito realizando testes de restore constantemente.
Conclusão
Essas são as dicas básicas que toda a empresa tem que seguir para ter um ambiente mais seguro. Lembre-se que os crimes virtuais são uma realidade e cada vez mais causam prejuízos. O aperfeiçoamento constante das políticas de segurança deve ser uma prática constante dos gestores de TI.
Vamos começar um debate sobre o assunto? Deixe nos comentários a sua experiência.
