Toda empresa é uma fonte ininterrupta de dados que precisam ser armazenados com cuidado. A quantidade de informações gerada, seja de interesse da administração ou mesmo parte do produto criado, é grande e merece todo o cuidado para que se mantenha segura. Entretanto, é comum que surjam algumas dúvidas quanto à melhor forma de desenvolver uma política de segurança da informação.
Afinal, estamos falando de cuidar dos equipamentos, controlar o acesso ou proteger o sistema contra falhas? Para esclarecer essas questões, mostraremos aqui, de forma simples, tudo o que você precisa saber sobre o assunto. Confira!
Os principais fatores da segurança física de dados
Em primeiro lugar, é preciso destacar que a segurança dos dados se divide entre física e lógica. A primeira, da qual trataremos aqui, diz respeito à estrutura física que armazena as informações, além de quais estratégias são aplicadas para impedir que ela seja acessada por pessoas sem autorização, seja localmente ou na nuvem.
A segurança lógica trata de se certificar que o sistema esteja protegido por programas que barram o acesso de softwares mal-intencionados. Falaremos dessa questão mais adiante.
Onde estão armazenados seus equipamentos?
A segurança física deve levar em conta todo tipo de acesso que pode ser dado aos locais de armazenamento de dados. O primeiro passo é imaginar uma situação comum na rotina da empresa. O que é necessário para acessar os locais onde servidores e demais equipamentos são armazenados? Por fim, quem deve ser autorizado a acessá-los?
Essa simples pergunta pode ajudar a definir políticas que regulem o trânsito de pessoas por locais de acesso restrito. A identificação dos funcionários por crachás, por exemplo, é uma medida básica de controle, mas que exige a presença de um profissional de segurança para permitir ou impedir a entrada ao local.
Sistemas de tecnologia mais avançada vêm ganhando cada vez mais espaço no mercado atual, pois garantem uma política de acesso não só mais eficaz como mais fácil de controlar. Algumas formas interessantes de aumentar o nível de segurança é instalar catracas, portas de acesso controladas por senha ou biometria (impressão digital), verificar os pontos de acesso à rede do prédio, entre outros.
Vale lembrar que, para isso, é fundamental documentar cada acesso, incluindo o nome da pessoa, quais equipamentos ela levava consigo, data e horário etc. Funcionários terceirizados devem estar, sempre que possível, acompanhados de alguém da empresa. Isso inclui os profissionais da limpeza e da manutenção predial que acabam acessando os locais periodicamente.
Todas essas questões devem ser pensadas levando em consideração o perfil específico de sua empresa: que tipos de dados ela armazena, qual a relevância dessas informações, quais os riscos de um vazamento, que prejuízos podem ser causados por uma perda de dados etc.
Lembre-se de que a política de segurança deve considerar também possíveis desastres naturais. Terremotos, inundações e incêndios, por mais que não sejam frequentes, de forma alguma devem ser ignorados. Mantenha seu sistema de segurança física alinhado com a política de segurança dos funcionários, inclusive com a participação de brigadistas e membros da CIPA.
Medidas para elevar a segurança lógica
Um sistema eficaz de proteção à rede da empresa deve ser estruturado em torno de uma política sólida. Para começar, é preciso manter os firewalls, antivírus e softwares de segurança sempre atualizados e gerando relatórios periódicos. Lembre-se de investir em programas de referência no mercado e em versões profissionais, para que eles atendam às necessidades de sua empresa.
Essas são as ações básicas que todo gestor deve tomar. Listaremos, a seguir, pontos complementares aos quais você deve dar atenção especial, de acordo com o perfil de sua empresa.
Cadastro de usuários e senhas
Quem deve acessar o sistema de sua empresa? Quais as funções disponíveis para cada funcionário? Como evitar que ações sejam tomadas de forma anônima? O cadastro de usuários e senhas para cada funcionário é uma forma simples de responder a essas perguntas. Além de evitar o acesso de pessoal não autorizado à rede, ele identifica o que cada usuário faz e facilita o controle de segurança.
Uso de criptografia
Certas informações são delicadas e não podem ser divulgadas a qualquer pessoa. Contratos com clientes, dados sigilosos da empresa e informações referentes a projetos em andamento são alguns exemplos disso. O vazamento pode prejudicar não só financeiramente como gerar problemas judiciais para a empresa.
Por isso, o uso de um sistema de criptografia nos computadores torna as informações incompreensíveis por pessoas sem autorização. Os arquivos só são legíveis por quem possui autorização dentro do sistema de sua empresa. É uma forma extremamente eficiente de garantir a segurança, sendo, inclusive, utilizada por bancos e instituições que lidam com dados de acesso restrito.
Sistema de backup
Não é preciso um dano físico aos servidores para que seus dados sejam comprometidos ou totalmente perdidos. Uma falha na rede pode deixar as informações indisponíveis e até mesmo corromper os arquivos, causando enormes prejuízos.
Implementar um sistema de backup permite que sua empresa possua cópias de todos os dados em um local mais seguro, evitando esse tipo de dor de cabeça. Lembre-se de que esse sistema deve estar sempre desconectado da rede, para que, em um eventual ataque de malware ou ransomware, ele não seja afetado junto do restante dos dados.
Auditorias periódicas
Auditar os sistemas de segurança de forma recorrente é garantir que eles estejam atualizados e oferecendo a proteção que sua empresa necessita. Levante relatórios dos softwares, compare-os, faça testes de penetração e avalie se o nível de proteção digital continua eficiente em suas funções.
Lembre-se de que toda empresa deve contar sempre com um plano de contingência que descreva o que fazer em uma situação de emergência: como reestruturar a TI, quem é responsável por cada função, qual o tempo estimado etc.
Sistemas independentes
Assim como destacamos a importância de manter o backup separado da rede, é fundamental estar atento às conexões feitas. Algumas redes mais delicadas, como a DMZ (zona desmilitarizada) necessitam de maior atenção. Além disso, a própria rede Wi-Fi deve ser configurada de forma diferente para funcionários e convidados ou visitantes.
Todas essas ações visam criar uma estrutura de diferentes níveis, para que uma brecha na segurança de uma delas não comprometa o restante. Por isso, é crucial monitorar os logs de acesso à rede constantemente, assim como verificar de que forma cada usuário atua no ambiente digital.
Implemente estratégias de engajamento dos funcionários, para que eles contribuam com a construção de uma política de segurança da informação cada vez mais eficiente!
Quer mais conteúdos sobre o tema? Assine nossa newsletter!