Blog

Veja como a política e cultura organizacional podem prevenir vazamento de dados de uma empresa!

Gestão de TI

Veja como a política e cultura organizacional podem prevenir vazamento de dados de uma empresa!

Toda empresa tem sua própria forma de avaliar o nível de sigilo das informações envolvidas em seus negócios. Isso depende do setor de atuação no mercado, quem são os clientes, qual a relação com parceiros e fornecedores etc. Entretanto, todas elas têm uma coisa em comum: nenhuma quer ter seus dados vazados.

transformação digital nos proporciona ferramentas extremamente inovadoras para diversos processos empresariais. Porém, esse enorme poder de atuação traz consigo novos riscos que exigem atenção especial. Pensando nisso, mostraremos aqui como política e cultura organizacional são fundamentais para a prevenção de vazamento de dados. Confira!

Um risco a ser combatido todos os dias

Em primeiro lugar, é importante ter em mente que toda empresa está sujeita a um vazamento de informações, sendo ela grande ou pequena. E o resultado disso não é nada agradável. Estamos falando de um prejuízo que pode ser desde a perda de competitividade no mercado até a falência de um negócio.

Tomemos de exemplo uma pequena empresa que mantenha o cadastro de uma centena de clientes, incluindo seus dados bancários. O vazamento dessas informações pode causar fraudes em cartões de crédito, acessos indevidos a contas bancárias etc. Além disso, surge o risco de um processo judicial por parte dos clientes prejudicados.

Se o prejuízo é enorme, imagine o que pode ocorrer com o vazamento de um banco de dados de uma grande empresa que tenha, por exemplo, protótipos e projetos ainda sem patente registrada.

Para evitar que isso ocorra, é fundamental desenvolver uma política de segurança que inclua a implementação de uma cultura organizacional eficiente. Essa prática deve fazer parte da rotina dos funcionários, pois depende da colaboração de todos.

Os erros mais comuns

Antes de pôr o planejamento no papel, é interessante compreender quais os erros mais comuns que criam vulnerabilidades nas empresas. Em geral, eles são os maiores responsáveis por vazamentos de dados e estão diretamente relacionados a práticas no ambiente digital da empresa.

Segundo Jean Sylvain Boudoy, CIO da CCM Tecnologia, os erros mais comuns são:

– não definição e a não aplicação da classificação das informações;
– inconsistência entre acesso a dados e cargos dos colaboradores;
– compartilhamento indevido de logins e senhas;
– processo inadequado de desligamento de funcionários;
– processo inadequado de troca de equipamentos de TI;
– redes Wi-Fi pouco seguras;
– ausência de sensibilização dos colaboradores quanto a questões de cibersegurança;
– proteção ineficaz contra o acesso físico;
– tráfego de dados sem criptografia;
– backups vulneráveis;
–  ausência de controle de acesso aos sistemas;
– falhas na programação de aplicativos;
– firewalls mal configurados (ou ausentes);
– ausência de controle de portas e downloads; e
– ausência de anti-phishing.

Outras falhas identificáveis costumam ser consequência dos problemas citados acima. Por isso, avaliar cada uma dessas questões é essencial para iniciar o trabalho de fortalecimento da segurança dos dados.

A importância das ações práticas

Garantir o bem-estar corporativo envolve o desenvolvimento de uma forte política de segurança da informação. Porém, isso deve ser feito de forma consistente, para que a segurança da informação passe a integrar a cultura da organização.

Grosso modo, o objetivo é estabelecer práticas de segurança e garantir que elas sejam cumpridas por todos. E para que esse processo não apresente falhas, é importante que ele comece de cima — a Diretoria deve se reunir e discutir as práticas a serem adotadas.

Com o planejamento feito, as ações tendem a ser mais eficientes. Ao mesmo tempo que as normas são estabelecidas, os funcionários são conscientizados por meio de treinamentos e reuniões de debate mais aberto. A rotina de todos se adapta aos poucos, tornando os processos mais seguros — principalmente no ambiente digital.

Para que uma prática passe a integrar a cultura de uma organização é necessário engajamento e resiliência de todos os envolvidos, ainda assim, esse é o tipo de coisa que não acontece de um dia para o outro. Entretanto, com o colaboração de todos, os dados não só se tornam mais seguros como a confiança entre a empresa e os colaboradores aumenta. O impacto na produtividade também é significativo, gerando mais valor para os negócios.

Jean Sylvain Boudoy afirma que, para alcançar esse objetivo, é importante ter em mente três questões centrais. A primeira é a comunicação constante entre empresa e colaboradores, que deve envolver a conscientização sobre os riscos atuais, os desafios da empresa e a importância do comprometimento de todos.

Em segundo, temos a implementação de processos de segurança mais simples, transparentes e ágeis. É fundamental que a segurança dos dados não atrapalhe o dia a dia dos profissionais.

Por fim, destaca-se a necessidade da publicação interna de indicadores de segurança, a ser feita pela Diretoria. O monitoramento dos processos é essencial e a continuidade do processo depende de comunicação constante.

O desenvolvimento da política e cultura organizacional

Com essas questões em mente, é hora de uma abordagem mais prática das medidas a serem tomadas. Segundo Boudoy, elas podem ser divididas em duas vertentes principais: técnicas e humanas. Afinal, é preciso estabelecer as normas e guiar os colaboradores quanto ao comportamento esperado pela empresa.

Medidas técnicas

As principais ações são:

– implementar um sistema centralizado de gestão de acesso do tipo Active Directory;
– instalar uma plataforma de criptografia;
– usar conexões criptografadas (VPN) para acessos externos;
– utilizar certificados digitais para garantir a identidade de quem acessa o sistema;
– contar com uma empresa especializada para realizar testes de penetração (Pen Test);
– utilizar um sistema de monitoramento da rede;
– utilizar uma solução UEBA para identificar comportamentos suspeitos entre colaboradores;
– adotar ferramentas de controle de acesso físico (câmeras, biometria, cofres, salas blindadas etc);
– atualizar constantemente os sistemas operacionais e demais softwares;
– utilizar antivírus e firewall conceituados, na versão profissional, além de auditá-los frequentemente;
– implementar um sistema que criptografa backups;
– proteger pontos de acesso à rede Wi-Fi com senhas fortes e alteradas constantemente;
– separar da rede interna os sistemas web com acesso aberto ao mundo inteiro, criando um DMZ (Demilitarized Zone) na rede de TI da empresa;
– implementar um File Server para gerenciar o armazenamento de arquivos.

Essas medidas são a base para uma política de segurança da informação mais sólida. São mecanismos que, no entanto, só funcionam perfeitamente se estivem alinhados com processos e cultura. De que adianta utilizar um mecanismo de ponta se os colaboradores não estiverem conscientes dos riscos gerados pelas ameaças cibernéticas e de seus vetores de entrega?

Podemos destacar como principais medidas humanas:

– estabelecer e divulgar uma política de classificação das informações;
– adotar um termo contratual de confidencialidade assinado por todos os funcionários;
– oferecer treinamentos e reciclagens periódicas sobre segurança da informação e engenharia social;
– aplicar processos claros de controle de inventário e entrada/saída de ativos;
– aplicar uma política clara de BYOD (Bring Your Own Device) com controle de acesso à rede interna;
– não usar ferramentas de comunicação privadas para assuntos corporativos (WhatsApp ou e-mail pessoal, por exemplo);
– controlar sistematicamente acessos físicos de terceirizados, parceiros, fornecedores, clientes etc.;
– se atentar ao descarte de lixo eletrônico como HDs, pendrives e quaisquer outros dispositivos de armazenamento de dados ou mídias, como CDs e DVDs, para que seja realizado de forma correta (com a exclusão definitiva dos dados ou inutilização das mídias);
– controlar com rigor os processos de demissão para evitar vazamentos indevidos.

Colocando essas dicas em práticas, você poderá ampliar significativamente a proteção dos suas dados e minimizas as chances de vazamento, criando também uma cultura organizacional eficiente. Faça uma avaliação em seu ambiente de trabalho e veja como ele pode ser mais seguro para as informações confidenciais de sua empresa!

E aí, gostou do post? Então, compartilhe nas redes sociais e mostre a seus colegas a importância dessas práticas de segurança!

Notícias relacionadas