Erros na Gestão da Segurança da Informação

U

AVA 1

Disciplina: Segurança e auditoria de sistemas

Aluno:

Erros na gestão da segurança da informação.

A informação nunca foi tão valiosa para as empresas como é atualmente. Em razão da dinâmica acelerada do mercado e da alta conectividade que marca o cenário empresarial, os dados e as informações hoje ocupam a posição de verdadeiro ativo para as companhias, servindo de base para a tomada de decisão, as otimizações e a personalização de produtos e serviços.

Em contrapartida a esse movimento de utilização e valorização crescente da informação, há também que se considerar o aumento dos riscos envolvendo a manipulação de dados. Na dinâmica atual do mercado, erros de segurança da informação podem implicar prejuízos incalculáveis, colocando em xeque as operações de uma empresa.

Primeiramente será necessária uma reunião com o Diretor da empresa, a fim de explicar e demonstrar a importância do assunto Segurança de Informação para a SELF IT. A mudança e a quebra de paradigmas devem começar de cima para baixo na cadeia hierárquica e consequentemente influenciará os demais colaboradores. Quando o diretor compreender a importância da Segurança da Informação para a empresa, poderemos demonstrar os erros mais comuns, sendo eles:

• Entender a segurança da informação como gasto e não como investimento

Embora essa cultura esteja se transformando, muitas empresas ainda insistem em visualizar os custos com segurança da informação como gastos. Na realidade, em razão da importância dos dados no cenário atual, esses custos são verdadeiros investimentos, visto que contribuem para a regularidade do negócio e permitem que a empresa utilize os seus dados de maneira ainda mais competitiva.

Assim sendo, é preciso ter em mente que todo valor investido em segurança da informação tem o potencial de garantir ainda mais resultados e lucros para a sua empresa. Afinal, a jornada digital pela qual o mercado passa atualmente só reforça a ideia de que o valor da informação passará a ser ainda maior no futuro.

• Ausência de controle de usuários

Boa parte das empresas não realiza um controle rigoroso de acesso dos usuários aos níveis de informação dentro da empresa, possibilitando que qualquer funcionário tenha acesso a todos os dados, sem exceção.

É preciso criar níveis de permissão e conceder acesso de acordo com o nível de cada usuário aos sistemas da empresa. Isso evita que, caso um funcionário tenha suas credenciais roubadas, o criminoso tenha irrestrito acesso aos dados da empresa.

Uma empresa com um ERP deve ter seus módulos expostos por nível/tipo de usuário. Um exemplo é que um colaborador do PCD não tem necessidade alguma de acessar o módulo de Contabilidade ou o módulo de Filiais, assim como o colaborador da contabilidade não tem necessidade de acessar o módulo de Utilitários que é destinada ao pessoal de TI. Outro ponto importante é acesso ao banco de dados. É interessante criar o ambiente de Views para quem trabalha com BI ou Qlikview. Acesso á determinadas áreas restritas também devem ser controladas, assim como a área onde se encontra o servidor.

• Não ter controle sobre as alterações do sistema

É natural que em uma empresa haja alterações constantes no sistema. Porém, é fundamental que tais mudanças sejam devidamente registradas para impedir que uma alteração indevida fique sem responsável. Um colaborador que esteja insatisfeito com a empresa pode apagar algum dado importante e vindo a comprometer processos e até mesmo os outros colaboradores que dependem desse dado, então um LOG é muito importante para identificar, pegando o usuário do sistema que realizou a alteração no dado ou até mesmo ter apagado.

• Falha na conscientização dos colaboradores

Segurança é responsabilidade de todos. Por mais que o principal responsável pela gestão da segurança da informação seja o gestor de TI, é necessário incutir em todos os colaboradores a ideia de que a proteção dos dados deve ser uma prioridade para todos.

Muitas das ameaças obtêm sucesso por meio de falhas de atenção dos funcionários, que navegam em sites proibidos ou abrem e-mails pessoais em computadores da empresa.

Para conscientizar os colaboradores, pode-se investir em palestras, cursos e capacitações para disseminar uma política de segurança na empresa e mostrar os riscos existentes nas mais simples ações.

A cooperação dos funcionários é essencial para o sucesso de uma estratégia de segurança da informação, já que, mesmo com as melhores ferramentas de proteção, o elo mais fraco é sempre o usuário.

• Não se atualizar com a evolução dos sistemas de segurança

O time de TI é uma área crucial para a segurança de informação. O responsável de infraestrutura se prontifica a realizar estudos e trazer novas tecnologias quando o assunto é firewall, antivírus e monitoramento. O DBA fica responsável por garantir a integridade do banco. Buscar atualizações no mercado é crucial para garantir a segurança constante dentro da empresa.

• Garantir a auditoria de segurança da TI

É fundamental que, ao menos uma vez por ano que seja feito uma auditoria dentro da empresa. Essa auditoria pode ser feita pela própria equipe de TI local ou por uma empresa terceira especializada. É bom lembrar que para a equipe de TI efetuar a auditoria, é necessário que o assunto esteja no mindset da equipe.

Fontes

           https://gdsolutions.com.br/seguranca-da-informacao/6-erros-de-gestao-de-seguranca-da-informacao-que-sua-equipe-de-ti-nao-deve-cometer/

https://www.strongsecurity.com.br/blog/6-erros-em-seguranca-da-informacao-que-voce-nao-pode-cometer/

https://www.totvs.com/blog/negocios/erros-de-seguranca-da-informacao/

https://www.totvs.com/blog/negocios/seguranca-da-informacao/

https://www.totvs.com/blog/negocios/seguranca-da-informacao/