*Umberto Rosti
Sua empresa sabe o que cada colaborador está acessando e quais informações ele tem direito de acesso?
Tudo está na rede e esta é a realidade de pequenas, médias e grandes empresas nos dias atuais. A segurança das informações, a prevenção de vazamento de dados, assim como gerenciamento de acessos e identidades, agrega maior valor ao negócio da sua empresa.
A dificuldade em administrar inúmeros sistemas, controlar seus acessos versus a função exercida pelo colaborador e, até mesmo, saber por onde andam seus dados sensíveis neste novo mundo, que está na nuvem, virtualizado e móvel em diversos dispositivos, podem resultar em prejuízos financeiros, devido ao risco de acesso não autorizado ou inapropriado, e em perda de produtividade.
Durante a recente onda de ataques hackers no Brasil e no mundo, e vendo toda esta exposição na mídia, percebemos um certo alvoroço no setor empresarial, onde vários CSO e CIOs são indagados sobre a segurança de seus sistemas.
É preciso que estes profissionais tenham na ponta da língua respostas para estes questionamentos, para que se previna o risco de sofrer com a exposição negativa da empresa/marca acerca de uma vulnerabilidade em controlar suas informações sensíveis.
1. Gestão de Acesso e Identidade:
O primeiro passo é implementar na empresa uma gestão que controle todos os acessos às informações e dados da corporação. Para isso, é preciso também identificar cada funcionário e suas funções. Há dez anos, poucas empresas tinham condições de implantar em seus sistemas ferramentas que fizessem o controle de acesso e identidade de seus funcionários. E estes processos podiam demorar até dois anos para serem concluídos. Hoje, com a popularização de ferramentas, os preços se tornaram mais acessíveis e o processo pode ser concluído em até dois meses. A necessidade deste serviço faz crescer a maturidade das empresas acerca dessa segurança.
2. Conhecendo a empresa:
Todo funcionário deve estar ciente da política da empresa, ou seja, o que pode e o que não pode. A conscientização e educação do usuário são fundamentais para o gerenciamento e controle de acesso. O que acontece hoje é um alto investimento em sistemas para prevenir riscos externos, ocultando a importância de evitar riscos internos, já que muitos funcionários têm acesso às principais informações das companhias e podem ser os responsáveis por fraudes. Essa conscientização também deve ser acerca da portabilidade e mobilidade das informações. Este colaborador precisa estar ciente do que ele pode publicar referente a informações corporativas, principalmente em ambientes de mídias sociais e páginas pessoais.
3. Perfis de Acesso:
Esta complexidade amplia quando falamos do aumento de identidades devido a fusões de grandes corporações e reestruturações. O gerenciamento de quem tem acesso, e por quanto tempo este acesso pode ser feito, tem se tornado um problema crescente nas empresas. Hoje, pesquisas mostram que 60% a 80% dos ataques e fraudes vêm em sua grande maioria de usuários internos, ex-colaboradores, etc., os quais conhecem bem a companhia e possuem uma motivação maior para o crime. Por isso, é preciso que o RH da companhia, já no momento da contratação, tenha definido em seu sistema o cargo e funções do novo funcionário. Qual perfil lhe dará direito a um determinado sistema? E, principalmente, acompanhar a trajetória deste usuário.
4. Prevenção de vazamento de informações:
O DLP (data loss prevention) é uma ferramenta muito simples e de extrema importância no ambiente corporativo. A solução, que controla onde estão as informações, ajuda a prevenir que usuários do sistema tenham domínio a dados não autorizados. Por exemplo, a diretoria de uma empresa não permite que seus funcionários tenham acesso a números de documentos oficias, como CFP e RG, contidos no seu sistema. Assim, com esta ferramenta, toda vez que um usuário tenta “copiar” esses dados, ela tem a função de avisar o gestor ou bloquear a cópia do arquivo em diferentes mídias, como CD, pen drive e rede.
5. Segregação de funções:
É preciso determinar a responsabilidade de cada funcionário dentro da corporação, o que aumenta a autonomia da companhia e sua lucratividade. Com as funções definidas, a empresa á capaz de controlar o perfil de cada usuário, podendo, por exemplo, visualizar quando um funcionário é autorizado a iniciar um processo de compras, porém não está liberado a finalizá-lo. Ou quando o empregado pode fazer o pagamento, mas não é responsável pela aprovação da ordem.
6. Facilidades dentro da gestão de acesso:
Alguns serviços facilitam e tornam mais simples o uso dessas ferramentas. O auto-serviço, que possibilita o usuário “resgatar” sua senha imediatamente, reduz o tempo de chamada ao evitar a necessidade de se ligar para um help desk. Outra tecnologia que pode facilitar o modo de fazer negócio e melhorar a experiência do usuário é single sign-on (SSO). Com uma única senha o usuário é capaz de acessar todos os sistemas que for de seu direito. Facilitando também a empresa no caso de desligamento e até de bloqueio durante ausência temporária como férias e problemas de saúde. Ao promover gerenciamento simplificado de senha, as organizações podem se beneficiar com o aumento da produtividade e a redução de custos.
Até pouco tempo atrás, a Segurança da Informação era vista como um gasto necessário, no intuito de evitar prejuízos. No entanto, hoje as empresas estão abordando o assunto como uma necessidade estratégica que as ajudará a atingir seus objetivos e sucesso. Temas como os descritos no decorrer deste artigo são importantes para atingirem o objetivo de segurança e permitir que o negócio possa alcançar sua meta com o menor risco possível, mas, também, não devem ser aplicados de forma indiscriminada em toda a organização. São orientações as informações sensíveis e diferenciais competitivos de forma a garantir a resiliência e lucros maiores para a organização.
*Umberto Rosti é CEO da Safeway
Sobre a [SAFEWAY]
A [SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:
● Archer da RSA Security, considerada pelos institutos Gartner e Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;
● [SAFEWAY] Security Tower, suportada pelo IBM Qradar (tecnologia Watson), IBM Resilient e outras soluções sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.
● E outras, envolvendo tecnologias Imperva, Thales, Tripwire e WatchGuard Technologies.
