Politicas de segurança da informação para pequenas e médias empresas

Este artigo visa desmistificar a adoção de uma política de segurança de informação em pequenas e medias empresas, quebrando assim o paradigma que a adoção dessas praticas somente são necessárias em grandes organizações.

O objetivo da segurança da informação está diretamente relacionado com a proteção de dados da empresa, colaboradores, clientes e parceiros. A informação que é gerada, seja por um sistema informatizado ou não é tão importante quanto a qualidade de seus produtos e serviços, porem na visão dos pequenos empresários acaba não sendo importante ao primeiro momento.

O conceito de segurança da informação é regido pela norma ISO/IEC 17799:2005 que resumidamente tem por objetivo garantir a confidencialidade, integridade e disponibilidade das informações seguindo uma série de procedimentos e recomendações.

Para uma implantação de uma Política de Segurança em PMEs, deveremos primeiramente analisar o âmbito de alcance da política de segurança (física e lógica), complexidade de sua implantação e seu custo. Toda e qualquer mudança num ambiente corporativo, independente do tamanho que ele for, deve ter o total apoio da equipe gerencial da empresa e de todas as pessoas envolvidas no processo.

O documento que irá definir a política de segurança não deverá conter técnicos, cabendo essas informações somente serem divulgadas ao pessoal técnico envolvido. Deve também ser feito um trabalho de divulgação de tal política, fixando o documento em murais, enviando via e-mail, alem de apresentações e palestras informando o motivo da adoção da política e seus benefícios para a empresa e os próprios colaboradores envolvidos.

Segurança Lógica

Estudo mostra que 48% das empresas brasileiras já perderam algum tipo de dado confidencial ou proprietário nos últimos anos.

O Relatório Symantec (www.symantec.com.br) no primeiro semestre de 2010 sobre Segurança da Informação nas Empresas mostra que as empresas da América Latina perdem mais de US$ 500 mil por ano em decorrência de ataques virtuais. Outra pesquisa da Qualibest (www.qualibest.com.br) apontou que mais de 85% dos funcionários no Brasil usam a internet da empresa para fins pessoais. Desses, quase 80% usam o e-mail pessoal durante o expediente, mais de 60% fazem pesquisas pessoais em sites de busca, mais de 50% fazem operações com internet banking e cerca de 15% utilizam a conexão com a internet da empresas para download de músicas, jogos e outros downloads de interesses pessoais.

Com esses dados estáticos fica mais que comprovado o risco que a empresa corre disponibilizando seus ativos e recursos para que o colaborador utilize-o de forme errônea. Uma campanha de conscientização as vezes não se torna eficiente sem algumas medidas para coibir esses atos como:

· Adoção de Politicas de Senhas de acesso aos ativos da empresa

· Restrições e bloqueios na utilização da internet, através de Proxy, por exemplo

· Implantar normas de utilização ou bloqueios de Instant Messenger

· Instalação e atualização de uma solução ant-virus/spyware confiável

Certamente haverá um desagrado por parte dos colaboradores da empresa com todas essas restrições impostas, ai que deve entrar o trabalho do gestor e lideres, com palestras e explicações das necessidades de tais medidas.

Segurança Física

Podemos considerar ameaças físicas tudo aquele/aquilo que pode danificar o equipamento informático, impossibilitando assim o acesso a informações nele contido como, incêndios, terremotos, relâmpagos, alagamentos, forma inadequada de manuseio ou instalação e acesso de pessoal não autorizado ao equipamento.

Hoje com a difusão de dispositivos portáteis de armazenamento isso se tornou uma preocupação a mais para os administradores. Por exemplo qualquer pessoa tem acesso fácil e barato a Pendrives, que podem ser utilizados para copiar informações confidenciais da empresa e descarregá-las em qualquer lugar e utilizadas como a pessoa bem entender.

Isso pode ser simplesmente evitado, não permitindo a entrada de dispositivos de armazenamento móvel nas dependências da empresa, alem do bloqueio das portas USBs das estações de trabalho, podendo isso feito pelo próprio Sistema Operacional ou através de Software de terceiros.

Deverá também ser procedimentos de backups das informações essenciais para a empresa como, planilhas, documentos, banco de dados, e-mails e etc. Esses backups podem ser agendados em horários e períodos pré-definidos e de forma automática para garantir sua eficiência e sempre que possível em uma outra mídia e/ou local, por exemplo, nuca salvar um backup de um banco de dados no próprio servidor onde o banco de dados esta alocado, procure sempre salvar em outros equipamentos e/ou mídias (HDs, DVDs, Fitas DAT e etc).

Custo

Sempre quando se fala em soluções em segurança da informação se imagina um gasto exorbitante com equipamentos, pessoal qualificado, treinamento do pessoal envolvido e etc. Isso esta completamente correto! Quando tratamos de empresas de grande porte.

Para as PMEs políticas de segurança podem ser implantadas com pequenas aquisições de software, uma consultoria eficiente de um profissional especializado e o mais importante, a re-educação dos colaboradores da empresa.

Afinal quanto vale a informação de sua empresa? Sua carteira de clientes? Seus melhores fornecedores?

Colocando na ponta do lápis todos esses fatores, vale a pena o investimento. Felizmente algumas empresas já enxergaram essa necessidade e viram que a informação gerada por ela e seus funcionários se não é o bem mais precioso da empresa certamente fica próximo a isso, e que adotar medidas para disponibilizar de forma segura e integra essas informações é de suma importância.

Case

Uma PME do interior do estado de São Paulo, apesar de seu tamanho “pequeno” e com o quadro de funcionários de apenas 20 colaboradores atuando no fornecimento de equipamentos para controle de insetos e pragas para industrias do ramo alimentício, atendendo clientes nacionais e multinacionais no segmento.

A empresa possuia um técnico em informática que era encarregado de toda a parte de infra-estrutura de rede, desenvolvimento do software de gestão, alem de funções administrativas. Por questões internas o funcionário teve que ser desligado da empresa, ficando assim a organização desamparada de toda a parte de TI. Devido a grande preocupação com o nível do acesso que o ex colaborador tinha, o Diretor-Proprietário resolveu contratar uma empresa terceirizada para que assumissem toda a parte de Desenvolvimento do Software de Gestão e também para uma Consultoria para a parte de Segurança e Infra-Estrutura.

Foi encontrado um cenário totalmente a quem deveria estar: senhas idênticas para todos os usuários, rede física e lógica totalmente fora dos padrões, inexistência de um servidor para gerenciamento dos arquivos e internet, softwares antivírus mal configurados e desatualizados, nenhuma regra de utilização da rede e dos ativos da empresa.

O foco inicial da empresa contratada foi elaborar um plano emergencial para garantir que o antigo colaborador não tivesse mais acesso remoto as informações que antes tivera acesso.

Foi proposto então o processo em 4 fases:

A primeira fase (segurança lógica) foi a troca de todas senhas (softwares internos, sites, e-mails, internet banking) e a elaboração de senhas “seguras” para todos os outros colaboradores, implantação de um sistema de firewall e detecção de intrusão, com a regra, “Block ALL”, bloqueando todo os acessos a Internet e só liberando o necessário para o andamento do trabalho.

A segunda fase (segurança lógica) foi a implantação de um sistema de rede estruturado em Cliente / Servidor, um sistema de Proxy fazendo todo o bloqueio e monitoramento dos acessos a sites, ferramentas para controle de Instant Messenger, implantação de um software antivírus adequado para as necessidades da empresa, levantamento e inventario dos ativos de TI da empresa só permitindo a esses acesso ao ambiente da rede da empresa e documentação da rede.

A terceira fase (segurança física) foi expressamente proibida a entrada do ex colaborador nas dependências da empresa.

A quarta fase (segurança física e lógica) foi a elaboração do documento de Política de Segurança da Informação e Utilização dos Ativos. Após a divulgação e a ciência de todos os colaboradores das novas regras, ai sim, foram aplicadas todas as restrições e monitoramento a Sites e de toda a informação que entra e sai na empresa.

Somente adotando essas medidas emergenciais a empresa pode assegurar que o antigo colaborar que antes tinha acesso irrestrito as informações, incluindo remotamente, seria impossibilidade de continuar o tendo, garantindo assim a confidencialidade, integridade e disponibilidade das informações de mais de 15 anos de existência da empresa.

Hoje a empresa se encontra com uma política de segurança definida, com toda sua rede física e lógica estruturada em normas e padrões internacionais (ISO/IEC), servidores com alta disponibilidade, sistema de firewall e contenção de intrusão e política de backup de todos os dados vitais para a empresa.

Tais mudanças alem de garantir o bom andamento do trabalho desenvolvido pela empresa, também irão auxiliar em sua certificação de Qualidade Total ISO 9000, garantindo de forma informatizada e segura toda a rastreabilidade dos processos de produção, compra, venda e etc.

Fica a pergunta: Qual o valor da informação gerada por sua empresa?

Pessoal, no meu próximo artigo irei abordar o tema: Monitoramento de Sites e Messenger no ambiente corporativo, é invasão de privacidade?

Até a próxima!

Infra - Segurança

Leia também