Uma prioridade chamada segurança

12584
0
Share:

As empresas continuam a olhar para o negócio e para os riscos financeiros inerentes ao negócio como a grande prioridade da sua atividade. No entanto, há que não esquecer que existe uma panóplia muito grande de variáveis que devem ser encaradas com o máximo de seriedade. A segurança da informação, será, dentro destas variáveis, a mais importante

A Internet gerou uma forma completamente nova de trabalhar, quer a nível interno, como externo, abrindo também um novo canal de negócio. Praticamente todas as empresas possuem actualmente uma página na Internet e conta nas redes sociais. Isto dá-lhes uma grande visibilidade, mas também as deixa mais vulneráveis caso não tenham tomado as devidas precauções de segurança.

Os ataques a sites são cada vez mais falados, mas a verdade é que este tipo de ataques já vem acontecendo há muito tempo, aumentando de ano para ano em número e grau de sofisticação, fruto da “profissionalização” do hacking. O cibercrime passou a ser um negócio, e muito lucrativo por sinal. No passado, os hackers praticavam o cibercrime para se vangloriar ou como forma de protesto. Embora continuem com esta faceta, muitos já efetuam ataques para benefício pessoal a nível monetário, nomeadamente através da utilização de cartões de crédito ou da venda de dados a terceiros.

O principal problema para o aumento do cibercrime, e que levou a este crescimento exponencial do número de ataques a sites empresariais, é o desconhecimento das vulnerabilidades das empresas por parte dos seus responsáveis máximos, e até mesmo alguma negligência em proteger devidamente as companhias. Ainda são muitas as empresas que olham para os consultores de segurança como vendedores, que querem convencê-las que necessitam de soluções de segurança, mesmo quando estes pensam que não têm um grau de exposição que justifique o investimento nesta área, o que é errado.

A abordagem à segurança da informação deverá estar assente nos seguintes pilares: Organização, Tecnologia, Processos e Pessoas. Em primeiro lugar deve ser definida a estratégia da Organização para esta temática tão critica,  depois  de identificadas as Tecnologias a implementar. Para além disso, as empresas devem ter em especial atenção os Processos e Procedimentos a utilizar, sendo a compatibilidade uma das peças fulcrais. É imprescindível que as soluções implementadas estejam alinhadas com as boas práticas em segurança de informação decorrentes das Normas de Segurança de referência internacional (ISO27002). Os utilizadores devem também ter regras a cumprir na utilização dos sistemas, assim como ferramentas que permitam, além de gerir os seus privilégios, mapear a utilização que fazem dos dados. Por sua vez, os administradores de sistemas e os decisores da empresa têm de saber, a qualquer hora e a qualquer momento, a utilização que está a ser feita dos seus dados.

Não existe uma fórmula 100% segura para a segurança, pois todos os dias surgem novas ameaças e vulnerabilidades nas empresas, mas existem boas práticas que as empresas devem seguir de forma a tornarem-se mais seguras e menos vulneráveis a ataques.

A presença da empresa na Web deve ser assente em três pontos-chave: Desenvolvimento seguro; Fortificação do servidor Web; Auditorias regulares e especializadas. Um site empresarial deverá ser construído corretamente de base, com um bom desenvolvimento de código, que tenha como prioridade a segurança dos dados. As empresas devem optar neste campo por seguir a metodologia do Open Web Application Security Project (OWASP),

um projeto mundial sem fins lucrativos focado na melhoria da segurança aplicacional, que disponibiliza as melhores práticas para o desenvolvimento seguro de sites e aplicações Web. É também imprescindível implementar o site num servidor Web seguro, que cumpra com as melhores práticas de segurança. Por fim, dado o constante aparecimento de novas ameaças, é imprescindível que as empresas façam auditorias regulares de segurança aos seus sistemas e sites, ou através de recursos internos com conhecimentos específicos nesta área ou então de entidades externas especializadas. Sugerimos que as grandes empresas o façam com uma periodicidade semestral e que as PME o realizem entre uma periodicidade semestral ou anual. Há que pensar sempre na segurança quando se planeia uma estratégia de promoção. Este será sempre o melhor conselho.

Albano Formiga

Coordenador da Divisão de Consultoria da CESCE SI

http://www.cesce.pt/


Share:

Deixe o seu comentário