Recentemente, observamos a Colonial Pipeline (principal operador de dutos de combustíveis dos EUA) enfrentou um problema com a segurança da informação e sofreu sequestro dos seus dados por um grupo hacker, o que fez com que parte da população americana ficasse sem acesso a combustíveis veiculares. Além de causar este transtorno aos americanos, o grupo hacker gerou um prejuízo de 5 milhões de dólares à companhia, para que fosse possível a recuperação de seus dados.
Se você quer que sua empresa fique isenta deste e outras categorias de ameaça, então você precisa identificar o nível de maturidade em segurança da informação do seu negócio. Desta forma, vamos abordar os principais pontos que devem ser considerados para ter uma segurança da informação madura.
1 – Conheça seu ambiente
Imagem por ResearchGate
Antes de tudo, é preciso que conheça o seu ambiente. Tenha uma documentação que faça o mapeamento de toda sua infraestrutura, ou seja, servidores, estações, clientes, roteadores, switches, quais os níveis de permissionamento dos usuários na rede, entre outros. Este primeiro passo é a base para todos os próximos pontos.
2 – Conheça suas ameaças na segurança da informação
Agora que já conhece seu ambiente, é preciso conhecer suas ameaças. Para isso, deve-se primeiro conhecer seus ativos, aquilo que te representa valor, pois, assim, é possível entender qual o tipo de ameaça que ele pode estar suscetível. Dentre elas, podemos citar os hackers, funcionários insatisfeitos, fraudadores, estelionatários, espiões, entre outros.
Só após entender quais são seus ativos e as suas ameaças, é que você poderá tomar medidas para mitigar suas possíveis brechas de segurança, por exemplo, se a ameaça da sua empresa for um hacker, então, é interessante que se adote um processo de Pentest nos softwares desta empresa. Se você não sabe do que estamos falando, um Pentest é um teste realizado no software a fim de se encontrar falhas de segurança, para que sejam feitas suas mitigações. Recomendamos que conheça mais nossos serviços.
3 – Monitore
Imagem por Acsoftware
Agora que você já reconhece a existência das ameaças, é preciso reconhecer que a qualquer momento sua companhia poderá sofrer um ataque. Desta forma, faça o monitoramento para garantir que estará sempre um passo à frente da ameaça.
É interessante que o processo de monitoramento seja feito através de registros de logs que garantam a responsabilização do seu ambiente, utilização de IDS (Intrusion Detection System) e NIDS (Network Intrusion Detection System).
4 – Resposta a incidentes
Imagem por Underprotection
Esteja sempre preparado para o pior caso possível, pois nunca se deve considerar que sua empresa está 100% segura. Tenha à disposição um sistema para resposta a incidentes de forma que seja possível minimizar o máximo possível de danos. Para exemplificar um cenário, podemos imaginar que um usuário que acessa um software da sua empresa teve sua conta hackeada, neste caso, sua equipe de monitoramento deve detectar algum comportamento anômalo nesta conta e informar ao setor de resposta a incidentes que deverá atuar de alguma forma como, por exemplo, bloqueando a conta deste usuário.
Para que o setor de respostas incidentes tenha o máximo de efetividade, devem ser documentadas todas as possíveis ameaças, o que deve ser feito e quem deverá atuar neste incidente caso a ameaça seja concretizada.
5 – Treinamento
Imagem por combitech
Antes de tudo, deve-se ter em mente que a segurança da informação não é uma responsabilidade de uma pessoa ou setor, e sim uma cultura e que deve ser responsabilidade de todos. Para isto ocorrer, é crucial que se tenha o envolvimento das pessoas que ocupam o cargo de gestão até os demais vínculos de colaboradores. Para que isso se concretize, é preciso que os colaboradores compreendam que os riscos existem e que eles podem se concretizar em um mínimo descuido como, por exemplo, abrir um simples pdf de um remetente desconhecido.
Agora que já falamos de alguns pontos importantes para garantir a maturidade da segurança informacional, você já deve saber o que olhar dentro da sua empresa. Lembre-se de que este post é generalista e dependendo do cenário da sua organização é possível que outros tópicos precisem ser abordados, neste caso recomendo que fale com um de nossos especialistas.