Você sabe quem leu suas informações sensíveis? E onde estão?

Tudo está na rede, esta é a realidade de pequenas, médias e grandes empresas nos dias atuais. A segurança das informações, a prevenção de vazamento de dados, assim como gerenciamento de acessos e identidades, agrega à empresa maior valor de negócio. Mas, sua empresa sabe o que cada colaborador está acessando e quais informações ele tem direito de acesso? A dificuldade em administrar inúmeros sistemas, controlar seus acessos versus a função exercida pelo colaborador e, até mesmo, saber por onde andam seus dados sensíveis neste novo mundo, que está na nuvem, virtualizado e móvel em diversos dispositivos, podem resultar em prejuízos financeiros, devido ao risco de acesso não autorizado ou inapropriado, e em perda de produtividade.

Durante a recente onda de ataques hackers no Brasil e no mundo, e vendo toda esta exposição na mídia, percebemos um certo alvoroço no setor empresarial, onde vários CSO e CIOs são indagados sobre a segurança de seus sistemas. É preciso que estes profissionais tenham na ponta da língua respostas para estes questionamentos, para que se previna o risco de sofrer com a exposição negativa da empresa/marca acerca de uma vulnerabilidade em controlar suas informações sensíveis.

Gestão de Acesso e Identidade: O primeiro passo é implementar na empresa uma gestão que controle todos os acessos às informações e dados da corporação. Para isso, é preciso também identificar cada funcionário e suas funções. Há dez anos, poucas empresas tinham condições de implantar em seus sistemas ferramentas que fizessem o controle de acesso e identidade de seus funcionários. E estes processos podiam demorar até dois anos para serem concluídos. Hoje, com a popularização de ferramentas, os preços se tornaram mais acessíveis e o processo pode ser concluído em até dois meses. A necessidade deste serviço faz crescer a maturidade das empresas acerca dessa segurança.

Conhecendo a empresa: Todo funcionário deve estar ciente da política da empresa, ou seja, o que pode e o que não pode. A conscientização e educação do usuário são fundamentais para o gerenciamento e controle de acesso. O que acontece hoje é um alto investimento em sistemas para prevenir riscos externos, ocultando a importância de evitar riscos internos, já que muitos funcionários têm acesso às principais informações das companhias e podem ser os responsáveis por fraudes. Essa conscientização também deve ser acerca da portabilidade e mobilidade das informações. Este colaborador precisa estar ciente do que ele pode publicar referente a informações corporativas, principalmente em ambientes de mídias sociais e páginas pessoais.

Perfis de Acesso: Esta complexidade amplia quando falamos do aumento de identidades devido a fusões de grandes corporações e reestruturações. O gerenciamento de quem tem acesso, e por quanto tempo este acesso pode ser feito, tem se tornado um problema crescente nas empresas. Hoje, pesquisas mostram que 60% a 80% dos ataques e fraudes vêm em sua grande maioria de usuários internos, ex-colaboradores, etc., os quais conhecem bem a companhia e possuem uma motivação maior para o crime. Por isso, é preciso que o RH da companhia, já no momento da contratação, tenha definido em seu sistema o cargo e funções do novo funcionário. Qual perfil lhe dará direito a um determinado sistema? E, principalmente, acompanhar a trajetória deste usuário.

Prevenção de vazamento de informações: O DLP (data loss prevention) é uma ferramenta muito simples e de extrema importância no ambiente corporativo. A solução, que controla onde estão as informações, ajuda a prevenir que usuários do sistema tenham domínio a dados não autorizados. Por exemplo, a diretoria de uma empresa não permite que seus funcionários tenham acesso a números de documentos oficias, como CFP e RG, contidos no seu sistema. Assim, com esta ferramenta, toda vez que um usuário tenta “copiar” esses dados, ela tem a função de avisar o gestor ou bloquear a cópia do arquivo em diferentes mídias, como CD, pen drive e rede.

Segregação de funções: É preciso determinar a responsabilidade de cada funcionário dentro da corporação, o que aumenta a autonomia da companhia e sua lucratividade. Com as funções definidas, a empresa á capaz de controlar o perfil de cada usuário, podendo, por exemplo, visualizar quando um funcionário é autorizado a iniciar um processo de compras, porém não está liberado a finalizá-lo. Ou quando o empregado pode fazer o pagamento, mas não é responsável pela aprovação da ordem.

Facilidades dentro da gestão de acesso: Alguns serviços facilitam e tornam mais simples o uso dessas ferramentas. O auto-serviço, que possibilita o usuário “resgatar” sua senha imediatamente, reduz o tempo de chamada ao evitar a necessidade de se ligar para um help desk. Outra tecnologia que pode facilitar o modo de fazer negócio e melhorar a experiência do usuário é single sign-on (SSO). Com uma única senha o usuário é capaz de acessar todos os sistemas que for de seu direito. Facilitando também a empresa no caso de desligamento e até de bloqueio durante ausência temporária como férias e problemas de saúde. Ao promover gerenciamento simplificado de senha, as organizações podem se beneficiar com o aumento da produtividade e a redução de custos.

Até pouco tempo atrás, a Segurança da Informação era vista como um gasto necessário, no intuito de evitar prejuízos. No entanto, hoje as empresas estão abordando o assunto como uma necessidade estratégica que as ajudará a atingir seus objetivos e sucesso. Temas como os descritos no decorrer deste artigo são importantes para atingirem o objetivo de segurança e permitir que o negócio possa alcançar sua meta com o menor risco possível, mas, também, não devem ser aplicados de forma indiscriminada em toda a organização. São orientações as informações sensíveis e diferenciais competitivos de forma a garantir a resiliência e lucros maiores para a organização.

.Por: Umberto Rosti, Administrador, sócio-fundador da SafeWay Consultoria, com MBA em Tecnologia pela FGV, possui mais de 13 anos de experiência atuando principalmente com Segurança da Informação em consultoria e auditoria. Também é certificado CISA, CRISC e professor de pós-graduação em Segurança da Informação, além de participar de organizações como ISACA e CB21. | Perfil-A SafeWay é uma consultoria de Segurança da Informação, que oferece soluções que atendem integralmente as necessidades de seus clientes e parceiros com confiabilidade e eficiência, sempre voltada ao negócio. A organização possui profissionais altamente capacitados em Governança e Segurança de Informação, os quais possuem certificações como CRISC, CISA, COBIT, ITIL e CISSP, além de profundo conhecimento em gestão de negócios. Com uma metodologia completa, a SafeWay pode disponibilizar equipamentos, processos, pessoas e softwares para atender aos seus clientes.| www.safewayconsultoria.com.