Quando falamos em segurança da informação, ameaças não faltam. Podem ser externas, como ataques de hackers, e também internas, causadas pelo que é considerado o elo mais fraco dentro das organizações: o próprio funcionário. A solução para reduzir os riscos na gestão das informações está na implantação de estratégias proativas, com ferramentas e treinamento constante sobre segurança.
Mas, em primeiro lugar, como é possível reduzir os riscos na gestão de informações se você não souber com exatidão quais são os dados armazenados pela sua empresa e, também, onde esses dados estão armazenados? As informações de identificação pessoal podem estar armazenadas em diversos ambientes fora das aplicações corporativas, como:
Ferramentas de avaliação de impacto, como as Privacy Impact Assessment (PIA) pode identificar onde as informações de identificação pessoal estão armazenadas, permitindo que a empresa reduza os riscos na gestão de informações, identificando áreas de vulnerabilidade e quais informações devem ser deletadas, encriptadas ou armazenadas em outros locais. Uma ferramenta de PIA também identifica quais informações estão sendo transferidas para terceiros e ajuda a reduzir os riscos em seus sistemas.
Além disso, a equipe responsável pela segurança da informação deve ter a capacidade de controlar quais dispositivos estão armazenando as informações que trafegam pela rede corporativa, garantindo que os mesmos tenham sistemas de segurança. Se a perda ou roubo de um laptop corporativo, onde as informações estão encriptadas, já é um grande problema, imagine o pesadelo que seria um funcionário perdendo um pendrive repleto de dados sensíveis, sem qualquer tipo de encriptação ou senha de acesso.
E como proteger as informações de identificação pessoal de ataques de hackers? Liberando o seu ambiente de TI para os hackers. Mas para hackers éticos, que irão realizar testes de intrusão e identificar pontos de vulnerabilidade e risco na gestão de informações, auxiliando a empresa na melhoria de seus processos de segurança e na otimização de políticas internas de conformidade.
Segundo Cassio Augusto, especialista em segurança da informação, os testes de intrusão, ou PenTests, são realizados seguindo um padrão – PTES (Penetration Testing Execution Standard) – que prevê as seguintes etapas:
Com os testes, é possível identificar todas as vulnerabilidades da rede e até descobrir qual o tamanho do dano que uma invasão causaria ao ambiente de TI.
Barton Jokinen, líder de Segurança da Informação e Conformidade para as Américas da Kaspersky Lab, destaca que “quando o assunto é conscientização em cibersegurança, a chave para o sucesso é criar uma cultura de cibersegurança – uma que motive os funcionários a manterem práticas seguras nas suas vidas cotidianas fora do perímetro do escritório. Afinal de contas, o objetivo do treinamento de conscientização não é apenas oferecer conhecimento, mas modificar hábitos e formar novos padrões de comportamento”.
Ele também destaca que o treinamento deve ser um esforço contínuo para educar funcionários sobre políticas, ameaças atuais e como lidar com elas. E como os colaboradores são citados como o elo mais fraco, devem ser tratados como qualquer outro ponto de vulnerabilidade na empresa, com instruções claras sobre as ameaças de segurança que podem vir a enfrentar e também as consequências caso não sigam as práticas para reduzir os riscos na gestão de informações.
Infelizmente, ninguém pode garantir que a rede é 100% segura. Identificar vulnerabilidades e implantar estratégias de segurança é que vai permitir agir de forma proativa, permitindo que os riscos na gestão de informações sejam controláveis e rapidamente solucionados.
Share