Apesar a maturidade em segurança da informação ter aumentado no Pais, estudo mostra que companhias locais estão atrás nesse quesito quando comparadas com México, Peru, Argentina e Chile.
A maioria das companhias no Brasil ainda precisa aprender a interpretar e enfrentar problemas relacionados à segurança da informação. De acordo com o Arcon Labs, equipe de inteligência que analisa tendências de ameaças e promove estudos, recomendações, normas e padrões técnicos, a maturidade do País vem evoluindo. Entretanto o mercado local está atrás de regiões como México, Peru, Argentina e Chile quando o assunto é o investimento em proteção de dados.
O levantamento do Arcon Labs listou cinco principais erros cometidos pelas empresas. São eles:
1- Foco em estratégias
Quando se fala em segurança de dados, o ideal não é priorizar apenas as estratégias. Elas são importantes, mas os níveis tático e operacional, cujos objetivos principais são executar os planejamentos das ações, devem ser considerados.
“Para vencer uma batalha, além das estratégias, é preciso que os soldados estejam 100% preparados para o combate, conheçam as armas e tenham um bom condicionamento físico. É assim também com a segurança da informação”, explica Wander Menezes, especialista em Segurança da Informação do Arcon Labs.
De acordo com o executivo, a parte operacional e tática deve ser exercida por profissionais que entendam, em profundidade, as ameaças e vulnerabilidades e saibam utilizar de forma eficiente recursos para detecção, análise, mitigação e erradicação de ameaças, amparados por uma estrutura adequada para o trabalho.
Para o especialista, são estes profissionais que trazem a inteligência técnica e operacional da segurança para dentro da instituição a fim de proteger o negócio.
2- Não perceber investimento em segurança é como uma poupança
Muitas vezes a terceirização de serviços é a última opção para a proteção dos dados. Porém, contar com o conhecimento de empresas especializadas ao invés de concentrar os esforços dentro de casa pode ajudar, inclusive, na avaliação dos custos de perdas e riscos que as ameaças representam para os negócios.
“As empresas precisam entender que a compra de ativos, na verdade, pode ser um canal para poupar dinheiro. Para isso é necessário avaliar o investimento mais apropriado para suportar o negócio. Exemplo: é possível que uma empresa invista US$ 100 em uma solução de segurança e economize US$ 1 mi em perdas em um determinado período”, explica Menezes.
3- Conceder privilégios em excesso aos usuários
Em segurança da informação, 80% do trabalho das equipes (estratégica, tática e operacional) está focado em criar, manter, disponibilizar e auditar acessos para minimizar o uso indevido da informação e ataques dentro e fora de uma organização.
Manter usuários com excesso de privilégios como acesso aos controles administrativos, não avaliar a entrada e saída de dados em aplicações (seja qual for), permitir que possam acessar mais informações do que de fato está estabelecido em suas funções e não estabelecer políticas de senhas são pontos que podem gerar vulnerabilidades.
Por isso é sugerido negar um acesso antes de concedê-lo. É preciso primeiro entender efetivamente a necessidade da demanda e se não tiver certeza de que é um acesso seguro, simplesmente, recomenda-se que negue o pedido. Além disso, colaboradores devem ter entrada em ferramentas (sala, sistema, rede e etc.) que sejam necessárias para o exercício de suas funções.
4- Não entender que segurança é um ecossistema complexo e está em constante transformação
A tecnologia muda e evolui para o bem e para o mal. A cada dia, milhares de malwares – softwaresdestinados a se infiltrarem em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações (confidenciais ou não) – são criados e em algum momento é fato que conseguirão invadir os dados de uma empresa.
“O grande ponto é estar preparado e ter a contramedida adequada para o problema. Apesar de parecer fácil, não é tão simples quanto parece”, afirma Menezes. O especialista explica que é necessário entender o ecossistema que está sendo atacado e pensar em todos os outros controles que trabalham juntos, de forma que seja possível criar camadas de proteção para todos os níveis.
5- Dar prioridade às normas e não às políticas de segurança da informação
Para a maioria das empresas no Brasil, o mais importante é passar nas avaliações da auditoria e atender as normatizações. Manter o negócio seguro é avaliado em um segundo momento e este é o principal motivo do gasto desnecessário com serviços que não refletem em controles de segurança para os negócios.
“Sem regra não tem jogo. Por isso, antes das empresas pensarem em normas, devem avaliar a implementação de uma política de segurança”, explica o especialista em Segurança da Informação do Arcon Labs.
Menezes alerta que a maioria das companhias no Brasil não classifica as informações contidas em seus servidores e em suas estações de trabalho. “Se uma empresa não possui a cultura ou não vê a necessidade de classificação da informação, está fadada ao vazamento de dados e perdas financeiras ou de imagem”, explica.
Fonte: ComputerWorld