Cada vez mais as PME (
Pequenas e Medias Empresas) são dependentes de computadores, redes de comunicação e sistemas que administram as informações cruciais para os negócios. Tais informações são classificadas como críticas, devido ao seu valor para a empresa.
A maioria das pequenas empresas pensam que segurança da informação (SI) é comprar ou baixar vários softwares como
firewall,
antivirus,
antispyware etc e instalar nos computadores.
Esses hábitos podem, de certa forma diminuir o risco de incidentes relacionados a falta de Segurança da Informação (SI), mas o principal fator de risco é o próprio usuário que utiliza os recursos computacionais. E na maioria das vezes, instalar essas ferramentas e não ajustar (
tuning) pode comprometer o ambiente da mesma forma.
Em algumas empresas em que prestei consultoria de TI/SI, ao chegar verifiquei que os funcionários na maioria do tempo usam os recursos computacionais para acesso a sites de redes sociais (Orkut, Octopop, Facebook etc) e mensagens instantâneas (Live Messenger, Yahoo Messenger, Google Talk etc). O uso desses aplicativos e sites pode ser considerado uma ameaça para as informações das empresas, visto que podem ser criadas algumas armadilhas que podem atingir o elo mais fraco da SI, que é o próprio usuário.
Imagine que ao clicar numa "corrente da internet", num recado da rede social, o navegador do usuário seja direcionado a um site contendo códigos maliciosos que são baixados e executados para a máquina local sem conhecimento do usuário. Esse usuário é do setor financeiro e diariamente efetua transações online como pagamento, transferências, cadastro de informações etc. É realmente um cenário que preocupa, e isso acontece diariamente em todo o mundo, gerando milhares de vítimas.
Para evitar esse tipo de problema na sua empresa, relaciono a seguir algumas dicas:
- Controle o acesso a internet (verificar os sites mais acessados e realizar auditoria interna para adequar a politica de liberação/bloqueio de sites específicos)
- Utilizar um firewall na borda da rede e bloquear qualquer tipo de serviço desnecessário (ex. P2P etc).
- O uso de mensagens instantâneas deve ser avaliado e, havendo a necessidade, pode-se optar por outros mensageiros como Jabber, Skype, IM com servidor interno. Caso sua empresa utilize Windows Messenger, devemos lembrar que esse tipo de tráfego é facilmente interceptado caso tenha acesso ao barramento.
- Informar aos usuários a importância de se utilizar o e-mail corporativo somente para atividades relacionadas ao ambiente de trabalho.
- Conscientizar os usuários e funcionários com respeito a segurança dos dados seja ela física ou lógica. Disponibilizar cartilha que pode ser acessada em http://cartilha.cert.br.
- Obrigar os usuários a trocarem a senha num período máximo de 3 meses e de preferência utilizando recursos de complexidade e caracteres especiais.
- Manter os sistemas e mecanismos de defesa (antivírus, firewall, sistemas de detecção de intrusão etc) sempre atualizados. Recentemente a praga digital Conficker já contaminou mais de 9 milhões de computadores explorando uma falha que já teve sua correção lançada desde Out/2008.
Estas são apenas algumas dicas, a cartilha da Cert deve ser divulgada para todos da sua empresa. Caso a sua empresa não tenha um funcionário especializado em TI, pode-se contratar uma consultoria especializada em soluções de TI.
Muitas dessas soluções utilizam software livre, que pode gerar um excelente custo x beneficio e um ótimo retorno sobre o investimento (ROI), evitando que a sua empresa esteja vulnerável a essas ameaças virtuais.
As soluções baseadas em Software Livre são mais seguras que as Proprietárias ? 
Versão para impressora
Indicar para um amigo
Enviar artigo