Artigos
Segurança de informação – Cuidados básicos
02/04/2024
Todos nós já ouvimos a frase: “O ano só começa depois do Carnaval”. Portanto, vamos lá, que 2024 está começando! Mas se está iniciando para nós, também está começando para os cibercriminosos.
Então, vamos conhecer e adotar algumas medidas de segurança para tornar o nosso ano mais seguro e portanto, mais produtivo.
Segundo a norma ISO 27002, a segurança é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Já a segurança da informação “trata de ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações”1.
A base legislativa da gestão da segurança de informação está no Marco Civil da Internet e no decreto 8.771/16. Com a edição da LGPD – lei 13.709, de 14 de agosto de 20182, a segurança de informação ganhou melhores contornos, dispondo o artigo 46 que: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”, bem como que essas medidas “deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução” (§ 2º do artigo 46).
Contudo, apesar da regulamentação prevista nas legislações citadas e das medidas de segurança que o legislador determina sejam adotadas, a possibilidade de ocorrerem violações, hackeamentos, vazamentos, jamais poderá ser descartada.
Desse modo, vale destacar alguns cuidados considerados básicos para o exercício da segurança de informação no seu dia-a-dia e no de sua empresa ou negócio.
Destacam-se como cuidados quanto à proteção pessoal:
Senhas fortes. Use senhas longas com diferentes tipos de caracteres, ex. letra maiúscula, minúscula, símbolos, números. Não usar teclas sequencias, nomes, datas ou dados.
Segundo Fator de Autenticação (2FA). É um método de segurança de gerenciamento de identidade e de acessos que exige duas formas de identificação para acessar recursos, aplicações e dados. Pode ser realizado por SMS, por e-mail, por token, por aplicativo autenticador, sendo este o mais seguro.
Uma senha forte para cada aplicação. Não utilize a mesma senha para todas as aplicações, aplicativos, plataformas, etc. A variação no uso de senhas destina-se a limitar os riscos em caso da ocorrência de acesso indevido ou indesejado. Para tanto, recomenda-se o uso do gerenciador de senhas.
Gerenciador pessoal de senhas. Aplicação de software que facilita a gestão das diversas contas e suas senhas, mediante o uso da criptografia. Há diversos gerenciadores, como por exemplo, NordPass, KeePass, 1Password, Keeper. Alguns gratuitos, outros pagos.
Backup. Faça backup de seus aparelhos pessoais em unidades externas criptografadas ou em nuvem. O backup é uma cópia de segurança, que deve ser feita também para aparelhos pessoais, como celulares e tablets. Incluem-se serviços como Google Drive, ICloud, OneDrive, Dropbox, entre outros. Alguns gratuitos, outros pagos.
Rede doméstica segura e cuidado no uso em locais públicos. Deve-se partir do princípio de que redes públicas não são confiáveis. Há redes falsas e adredemente preparadas para a realização de golpes. Na dúvida, use apenas a sua rede de dados móveis.
Contas do sistema operacional com menor privilégio. Use contas secundárias para os acessos diários e rotineiros. Não utilizar conta administrador e tampouco, contas de convidado.
IMEI do aparelho celular. Mantenha a anotação do IMEI do aparelho móvel em local conhecido e de fácil acesso, o que facilitará eventuais medidas de bloqueio, em caso de roubo ou uso indevido e inclusive, para fins de localização do aparelho.
Ainda, devido ao habitual envolvimento com trabalho, estudos e as mais diversas funções, destacam-se alguns cuidados quanto à proteção em ambiente corporativo:
Equipe ou profissional de TI. Manter um profissional e/ou equipe capacitados é absolutamente necessário em qualquer ambiente profissional. A prevenção, a orientação prévia, a avaliação da necessidade de cada negócio, assim como a implementação de adequados meios de segurança são medidas que devem ser realizadas com a atuação de profissionais técnicos e capacitados.
Criptografia. Método de codificação de dados que permite o acesso apenas por pessoas autorizadas, portadoras de chave de acesso. Protege a integridade e o sigilo das informações e dados.
Firewall. Recurso de software ou hardware que funciona como proteção, filtrando as informações que chegam e saem de uma rede. Serve como controlador do tráfego de uma rede privada.
Observação do princípio do menor privilégio. Estratégia de administração de acessos e autorizações segundo as necessidades de cada atividade específica e de cada usuário. Trata-se de segmentação visando garantir que usuários acessem e utilizem apenas as informações e dados que sejam necessários para sua função ou atividade, isto é, de forma granular.
Senhas fortes. Além da criação de senha longas com diferentes tipos de caracteres, como já sinalizado como medida de proteção pessoal, alterar as senhas constantemente, sem o uso de números sequencias (ex: senha001, senha002, senha003). Todas as contas de acesso devem ter senhas fortes e individuais. Não autorizar a memorização de senhas para fim de utilização automática e muito menos a troca de senhas entre os colaboradores ou o uso comunitário de alguma senha.
Segundo Fator de Autenticação (2FA) e Gerenciador de senhas. O mesmo cuidado já tratado anteriormente quando da proteção pessoal aplica-se também para o ambiente corporativo, de modo a atribuir maior segurança ao uso das senhas. Há métodos e soluções especialmente desenvolvidos para o uso em empresas, como por exemplo: biometria, QRcode, certificado digital, Dashlane, RoboForm, Passwordstate, CyberArk.
Backup em fita, disco, nuvem, espelhamento. Parafraseando a charada: quem tem dois, tem 1; quem tem 1, não tem nenhum. A utilização de rotinas de backup de informações e dados deve ser periódica, sendo que a escolha da melhor forma vai depender da necessidade, do tamanho, da área de atuação. Cada ambiente tem a sua necessidade. Cada negócio também.
Sistemas atualizados em suas versões mais recentes, as quais possuem correções de falhas e vulnerabilidades, tornando-se menos suscetíveis a violações.
Software com assinatura, originais, licenciados. Não permitir a instalação de programas não originais. Reproduções piratas além de violarem direitos autorais e se constituírem em crime digital, são mais suscetíveis a ameaças e violações.
VPN. Trata-se de Rede Privada Virtual e corresponde a uma rede protegida para uso em rede de internet pública. Cria uma espécie de túnel entre uma máquina e a internet.
Confiança zero. Trata-se de estratégia de segurança, que deve pautar os processos internos partindo da premissa de que nenhum usuário pode ser considerado confiável, até que tenha seus acessos autorizados e/ou validados.
Gestão de identidades. Trata-se da organização das identidades e acessos, categorizando as atribuições, papéis e responsabilidades, com a criação de perfis, de acordo com cargos e funções. Isso evita que se mantenham perfis ativos de colaboradores já desligados; ou que se mantenham credenciais de um colaborador mesmo após a sua mudança de função.
Conscientização / treinamento de todos os funcionários e colaboradores, com especial atenção aos novos integrantes. Atualmente adota-se o processo de integração, que é uma das etapas mais importantes para novas contratações. Transmitir a estrutura, a cultura, os cuidados, os hábitos, estabelecer vínculos, são alguns dos benefícios dessa fase inicial da contratação e destina-se inclusive, para evitar o uso de técnicas de engenharia social.
Nunca é demais rememorar que embora todos nós tenhamos algum conhecimento acerca de cuidados com a segurança de informação, é extremamente necessário que haja o comprometimento, seja com o cuidado pessoal, seja no âmbito corporativo, por meio do engajamento de equipes, colegas, colaboradores, tudo para o exercício efetivo de medidas de segurança e proteção, pois em geral os cibercriminosos esperam uma falha dos usuários e dos titulares de dados, para serem bem-sucedidos em suas constantes tentativas de ataque.
Que possamos “iniciar” o ano de 2024 adotando medidas para proteger e cuidar dos dados e informações que utilizamos em nosso dia-a-dia e em nossas atividades, de modo a estarmos sempre atentos e cuidadosos. O sucesso da segurança de informação exige espírito colaborativo e responsável de todos envolvidos.
Fonte: Miglhas
Voltar