ESET revela regras essenciais para a segurança informática nas PME

11968
0
Share:

Os ataques informáticos às empresas são cada vez mais recorrentes e por isso a tarefa de proteger as empresas contra os cibercriminosos, pode parecer assustadora. A ESET Portugal, reuniu um conjunto de regras, que permitem às pequenas e médias empresas obterem uma segurança mais eficaz e com o mínimo investimento.

1. Avalie os activos, riscos, recursos
2. Crie políticas de segurança
3. Escolha os mecanismos de controlo
4. Implemente os mecanismos de controlo
5. Eduque os funcionários, directores, vendedores
6. Avalie, realize auditorias e experimente

Proteger uma empresa contra os cibercriminosos não é um projecto, mas sim um processo, que deve ser contínuo.

1. Avalie os seus activos, riscos, recursos

O primeiro passo neste processo é fazer um balanço. Quais os tipos de dados com que a sua empresa lida? Qual o valor dos mesmos? Que ameaças existem? Quais os recursos disponíveis para combater essas ameaças?

Catalogue os bens: digital e fisicamente

Se não sabe o que a sua empresa possui, nunca poderá estar totalmente protegido. Faça uma lista dos dados que fazem a sua empresa funcionar e dos sistemas que os processam. (Exemplo: computadores da empresa, routers, pontos de acesso, tablets, impressoras, aparelhos de fax, entre outros).

Certifique-se que inclui os sistemas que recebem e enviam dados, bem como aqueles que os processam e os armazenam. Por exemplo, se a sua empresa depende de uma base de dados central de clientes e consequentes encomendas, este será certamente o seu principal activo digital cuja segurança necessita de estar totalmente garantida. Mas garantir a segurança do servidor que contém a base de dados, pode não ser suficiente, caso as estações de trabalho não estejam seguras.

Determine os riscos

Necessita de responder a esta questão: – Quais são as principais ameaças aos seus dados e aos seus sistemas? Elabore a resposta considerando possíveis motivos e o tipo de acções que poderão levar a cabo.

Faça uma lista dos recursos disponíveis

Depois de catalogar todos os bens digitais que necessita de proteger, deverá analisar as ameaças a que os mesmos poderão estar expostos. Posteriormente deverá fazer uma lista de quem o poderá ajudar nesta tarefa, como funcionários com habilidades em segurança informática, consultores externos recomendados por amigos, parceiros e fornecedores de confiança. Pode em muitos casos obter auxílio por parte de associações comerciais e grupos empresariais locais.

2. Crie políticas de segurança

A única abordagem sustentável para uma segurança informática eficaz começa com, e depende, da implementação de boas políticas. As empresas necessitam de regras de segurança e de um enorme compromisso no cumprimento das mesmas. Exemplo: Criação de uma política de acesso aos dados dos clientes: O acesso aos dados dos clientes deverá estar restringido aos colaboradores que deles necessitem, para a execução das suas actividades diárias.

3. Escolha os sistemas de controlo para executar essas políticas

Os profissionais de segurança informática usam o termo controlo para definirem os mecanismos pelos quais as políticas de segurança são reforçadas. Por exemplo, se uma política de segurança afirma que apenas colaboradores autorizados podem aceder aos dados dos clientes, então deverá existir um sistema de controlo que garanta a identificação dos colaboradores no sistema.

Outras regras são:

Solicite a identificação e a autenticação de todos os funcionários através de credenciais exclusivas (por exemplo, nome de utilizador e palavra-passe).
Proíba a partilha de credenciais entre os colaboradores.
Guarde todos os acessos aos dados através de um identificador único.
Verifique periodicamente os relatórios de acessos e investigue anomalias.

4. Implemente os mecanismos de controlo

Colocar estes sistemas de controlo a funcionar é tão importante como educar os funcionários. Aliás, as duas tarefas estão ligadas. Assim, se passar a utilizar uma identificação por nome de utilizador e palavra-passe para cada colaborador, terá de explicar-lhes este facto e ainda a importância de os colaboradores não partilharem as credenciais entre si.

Em muitos casos a melhor foram de implementar mecanismos de controlo, é disponibilizá-los, em primeiro lugar, aos utilizadores mais experientes. Deste modo, poderá obter um bom feedback e se for caso disso realizar algumas alterações, antes de proceder à ampla disponibilização dos mecanismos de controlo.

5. Eduque os funcionários, directores, vendedores

Educar os elementos da empresa para as boas práticas de segurança, são um passo muito importante para uma segurança eficaz. Eis o que deverá explicar aos colaboradores:

Quais são as políticas de segurança em vigor
Como trabalhar de acordo com as políticas de segurança através da utilização das ferramentas de controlo disponíveis.
Porque é importante cumprir estas regras.
As consequências para os colaboradores caso negligenciem estas regras.

O objectivo de tudo isto é garantir que os colaboradores se tornem polícias de si próprios.

6. Avalie, realize auditorias e experimente

O ponto 6 na lista de tarefas que abordámos não significa, de modo algum, o fim da estrada. No fundo, é um lembrete de que o processo continua. Assim que as políticas de segurança e os mecanismos de controlo estiverem em vigor, é tempo de reavaliar a segurança, através de testes e auditorias. Pode fazê-lo internamente ou então contratar uma empresa externa para este trabalho. A melhor prática é sempre reavaliar a segurança numa base periódica e ajustar as “defesas” de acordo com essa avaliação.

Esteja sempre alerta para alterações nos sistemas e ligações aos seus dados.


Share:

Deixe o seu comentário