Segurança da informação não é apenas para grandes empresas

Os crackers inventam constantemente novas técnicas de Engenharia Social, utilizam endereços URL encurtados (por meio de Bit.ly, por exemplo) para ocultar os verdadeiros destinos dos links. Há muitos anos, se veem fraudes por meio de ‘phishing’ que recopilam informações pessoais do Facebook, LinkedIn e outros sites de redes sociais e usam tais informações nos e-mails para que pareçam provenientes de amigos pessoais ou do departamento de recursos humanos da empresa. E ainda, na ponta estão os aplicativos baixados nos smartphones e tablets que se tornaram um mecanismo de infecção de ‘malware’ capaz de expor a rede de uma empresa a ataques, tais como o roubo ou o sequestro de informações.

Muitas empresas de médio e pequeno portes não acreditam na importância que políticas de segurança da informação podem trazer para os seus colaboradores. Atualmente, um dos maiores riscos para as empresas é o vazamento de dados. Acredito que fortalecer práticas éticas e cumprir normas corporativas podem prevenir este problema.

Quando se fala em políticas de segurança, muitos pensam em um documento com mais de 300 páginas, porém não é bem assim. As práticas devem ser objetivas e concisas para que todos possam compreender e utilizar todos os dias.

Com um guia de melhores práticas pronto, é possível adaptá-lo a cada situação específica. Um bom modelo de segurança da informação deve incluir alguns temas como:

– A obrigação de proteger os clientes, os funcionários e os dados da empresa.

– O uso aceitável de e-mail e conexões de internet da empresa.

– As políticas para a criação de senhas e outros controles de autenticação.

– As políticas para o uso de mídias removíveis, como HD externo ou pen drive.

– Os guias para o uso de dispositivos móveis e de acesso sem fio fora do escritório.

– Os procedimentos para realizar backups e restaurar a informação.

– Os procedimentos a seguir quando os dispositivos são perdidos ou suspeita-se de uma falha na segurança.

Mas, de que forma estas políticas podem reduzir possíveis condutas perigosas dos colaboradores?

A primeira etapa é a educação dos funcionários, especialmente em relação aos ataques relacionados a novas tecnologias, como smartphones, redes sem fio e redes sociais. Por isso, é importante que as empresas invistam em sessões de capacitação que abordem como os cibercriminosos podem interceptar as comunicações wi-fi sem criptografia e extrair as senhas dos equipamentos compartilhados; o que deve ser levado em consideração ao conectar-se a redes de acesso público; e por que é imprescindível usar VPNs criptografadas nas conexões wi-fi na rede da empresa. O uso de memórias USB e outras mídias removíveis de maneira segura: quem pode utilizá-los, em que contexto e como criptografar arquivos quando são copiados para dispositivos removíveis.

As políticas bem documentadas e um programa de conscientização sobre segurança da informação podem reduzir a responsabilidade legal, melhorar o cumprimento dos regulamentos e as normas empresariais e ajudar a ganhar novos clientes em diferentes indústrias.

*Camillo Di Jorge é country manager da Eset no Brasil