Segurança da informação deixou de ser um assunto exclusivo do setor de TI. A responsabilidade pelos dados de uma empresa e a disponibilidade de sistemas é de todos os colaboradores. Ataques que comprometem os recursos tecnológicos da organização estão entre as principais preocupações das lideranças do negócio — inclusive, casos recentes de prejuízos gigantescos causados por vazamentos de dados reforçam esse temor.

A tecnologia hoje está no centro da estratégia da maior parte das empresas. Cada vez mais valor é gerado com o suporte de sistemas informatizados que, quase sempre, estão conectados à internet. Ainda que todos tenham responsabilidade sobre a segurança da informação do negócio, é claro que o time de TI carrega a maior parte desse dever.

A preocupação com a segurança da informação deve estar presente em todas as etapas desde a análise do sistema, codificação, na escolha da solução de infraestrutura e processos entre as áreas.

Deseja saber mais sobre o assunto? Então continue a leitura, conferindo este guia completo que aborda os principais desafios da segurança da informação, os riscos relacionados a eles e as melhores práticas para o setor.

Qual é a importância da segurança da informação para o negócio?

A tecnologia hoje está presente em todos os níveis de uma empresa, independentemente do seu porte ou setor de atuação. Em uma grande indústria, o time de manutenção executa rotinas preventivas no maquinário e inserem dados sobre as vistorias em sistemas que vão gerar indicadores automatizados, que por sua vez serão avaliados pela gestão.

Da mesma forma, uma pequena padaria de bairro também utiliza a tecnologia para controlar seu fluxo de caixa e estoque, em um sistema simples e de fácil usabilidade. E hotéis em todo lugar do mundo integram seus dados com agregadores de busca de hospedagem, em uma operação que é muito mais complexa do que parece.

É um fato que o avanço da tecnologia potencializou os resultados de todos esses e muitos outros negócios. Porém, essa transformação chega acompanhada de uma ameaça que ainda é novidade para muitos gestores: a segurança da informação.

A segurança da informação está presente em todo lugar da empresa em que o trabalho é apoiado por sistemas informatizados e dados digitais. Ou seja, muito provavelmente em toda a operação. E isso gera novos desafios para a área.

Se em um passado recente apenas o time de TI precisava entender a importância da segurança da informação, hoje é preciso que todos tenham noção da sua responsabilidade.

Além disso, os dados armazenados por uma empresa podem ser os seus ativos mais valiosos. É fundamental que eles sejam bem guardados e protegidos de qualquer tipo de risco, seja ele interno ou externo.

Quais são os principais desafios da segurança da informação?

A segurança da informação de uma empresa é como o casco de um navio em alto-mar. Basta uma única brecha para que toda a estrutura seja comprometida e afunde. Isso significa que não adianta, por exemplo, investir fortunas em testes de intrusão se o sistema operacional dos servidores está desatualizado e vulnerável a ameaças.

Para uma proteção eficaz é preciso considerar todos os aspectos que envolvem o sistema, desde a infraestrutura de rede e o código até a ponta final, que é o comportamento do usuário.

Por isso, uma boa política de segurança da informação é sustentada em três pilares principais: confidencialidade, disponibilidade e integridade.

Confidencialidade

Confidencialidade é o princípio de que todo tipo de informação só pode ser acessada por pessoas autorizadas. Em uma estrutura de TI de uma empresa, é natural que existam dados públicos, que podem ser acessados por qualquer pessoa e dados privados em vários níveis de acesso.

Além disso, empresas que lidam com dados pessoais de usuários, como instituições financeiras e lojas virtuais, também precisam garantir a proteção dessas informações.

Alguns dos piores desastres na segurança da informação nos últimos anos envolveram o vazamento de dados pessoais de usuários, como os ataques na PlayStation Network da Sony em 2011 e a vulnerabilidade que comprometeu o login e senha de mais 50 milhões de usuários do Facebook em 2018.

Disponibilidade

Enquanto a confidencialidade se refere ao controle de acesso e proteção de dados, a disponibilidade é a garantia de que sistemas e dados estejam disponíveis sempre que forem requisitados.

Hoje, muitos negócios dependem da sua estrutura tecnológica para gerar valor. Se os sistemas de um banco ficam indisponíveis por apenas uma hora, os prejuízos para a operação podem ser imensos. E a consequência de passar um dia inteiro fora do ar pode ser catastrófica para a empresa.

Para garantir disponibilidade, é preciso uma infraestrutura robusta, redundância, manutenções programadas e proteção contra ataques externos que possam derrubar o serviço, como, por exemplo, aqueles do tipo DDoS.

Integridade

Por fim, o pilar da integridade se refere a garantia de que os dados armazenados não serão modificados ou danificados de nenhuma forma. Tanto acessos indevidos de terceiros com má fé como falhas de hardware e software podem comprometer a integridade dos dados. Para lidar com esse tipo de ameaça, é preciso tomar ações de prevenção e resposta efetivas.

Para assegurar a integridade dos seus dados, uma empresa pode investir em mecanismos de backup efetivos, controle de acesso rigoroso e criptografia avançada. Todo tipo de edição nos dados precisa ser monitorada e só pode ser realizada por pessoas autorizadas.

Quais são os riscos de uma segurança da informação ineficaz?

Problemas na segurança da informação de um negócio podem trazer inúmeros riscos para o negócio, desde o óbvio prejuízo pela perda de dados valiosos até o dano na imagem institucional causada por um vazamento de informações pessoais de usuários.

A responsabilidade da segurança da informação é imensa. Vulnerabilidades externas e internas podem colocar em risco confidencialidade, integridade e disponibilidade.

Se a confidencialidade fica comprometida, informações privadas e estratégicas podem vazar e serem republicadas na internet, incluindo logins, senhas e até mesmo conteúdo de mensagens privadas.

Problemas com a disponibilidade sempre significam prejuízos para o negócio, seja pela ociosidade de um sistema fora do ar ou por contatos ativos de usuários externos que não conseguem acessar o sistema, o que significa gastos com a mobilização de uma equipe de atendimento e um dano para a imagem de estabilidade da empresa.

Por fim, uma falha que comprometa a integridade pode reduzir a confiabilidade dos dados armazenados e gerar danos irreversíveis com a interrupção do ciclo de vida da informação.

Quais são as melhores práticas relacionadas à segurança da informação?

Existem diversas boas práticas que podem ser adotadas para mitigar riscos na segurança da informação. Pensando nisso, vamos listar abaixo algumas das mais importantes que serão aplicadas na maior parte dos casos. Confira!

1. Mantenha o ambiente atualizado

Talvez todo o rastro de prejuízos e danos causados pelo devastador ransomware WannaCry poderia ter sido evitado. Meses antes do software malicioso infectar centenas de milhares de pessoas em uma difusão que se baseou principalmente em phishing, a brecha de segurança explorada por ele já havia sido descoberta e, pasme, corrigida.

O WannaCry explorou uma falha no Windows que foi eliminada em uma atualização disponibilizada pela Microsoft bem antes do ataque. Os únicos atingidos foram aqueles que não atualizaram os seus sistemas.

É um fato que existem muitas razões que podem justificar um atraso na atualização de um sistema operacional, como a incompatibilidade com aplicações já utilizadas ou o temor de que o update tenha sido publicado com algum tipo de falha crítica.

Mas o quão mais rápido for possível atualizar o ambiente, melhor, já que com isso muitos bugs e falhas serão corrigidos.

2. Exija senhas mais complexas

Nem sempre o usuário comum entende porque uma senha longa e complexa é importante para evitar ataques de dicionário e engenharia social que podem ser utilizados para acessar e comprometer dados importantes.

Por isso, cabe aos desenvolvedores determinar parâmetros obrigatórios para uma senha segura, como o uso de letra minúscula, maiúscula, caracteres especiais, números e pelo menos 8 dígitos — sendo que muitos especialistas recomendam 15.

E por mais prático que possa parecer, nunca é uma boa ideia deixar uma senha anotada em um papel ao lado do computador que ela dá acesso, por exemplo. Para evitar isso, é necessário educar os usuários do sistema.

3. Crie mecanismos de controle de acesso

Além do simples login e senha, pode ser interessante estabelecer outros mecanismos de controle de acesso, como a autenticação em dois fatores e até o uso de biometria em alguns casos mais críticos.

Todo bom sistema precisa de mecanismos eficientes de controle de acesso, que devem ser proporcionais aos riscos e o valor dos dados que serão acessados.

4. Estude bem as soluções de código aberto

Por envolver milhares de pessoas diferentes em seu desenvolvimento colaborativo, o software de código é, no geral, muito seguro e robusto. Só que essa confiança não pode nunca se tornar imprudência.

Às vezes na tentativa de ganhar tempo ou publicar algo muito rápido, um desenvolvedor pode se contentar em utilizar uma solução de código aberto sem customização alguma. Só que nem sempre essa é a opção mais segura. Para evitar riscos, é necessário conhecer bem as configurações da aplicação escolhida e, em alguns casos, adaptar parte do código para incrementar a segurança.

5. Automatize os backups e restore de dados

Crie rotinas para automatizar backups em periodicidade regular, de forma que os dados da empresa sempre estejam protegidos. Uma boa prática é sempre realizar backups em, pelo menos, três variações de frequência como diário, semanal e quinzenal, por exemplo.

Bancos de dados constantemente alterados, a frequência pode ser ainda maior, com períodos de algumas horas apenas, o que reduzirá o trabalho perdido em alguma emergência.

Além da periodicidade, é interessante armazenar backups em, pelo menos, dois locais distintos, como por exemplo a nuvem e um datacenter local. Dessa forma, se algum tipo de catástrofe afeta um desses dois backups, o outro ainda estará seguro.

Não menos importante é a criação de rotinas de restore dos backups, e dessa forma validar a consistência dos arquivos salvos.

6. Faça um plano de recuperação de desastres

A segurança da informação não é feita apenas de ações preventivas. Sempre é preciso considerar a possibilidade de que a proteção falhe, seja por um trabalho melhor do outro lado ou por puro azar.

O plano de recuperação de desastres é um planejamento antecipado para uma situação que idealmente nunca acontecerá. Ele consiste na elaboração de ações imediatas que visam mitigar danos causados por falhas na disponibilidade, integridade e confidencialidade da empresa.

Normalmente, essas ações envolvem a restauração de backups, manutenções rápidas e, em muitos casos, a suspensão do serviço. Com o planejamento bem feito, a resposta é rápida e os prejuízos ficam limitados.

7. Desenvolva em um ambiente seguro

Segurança não é uma exclusividade do ambiente de publicação. O ambiente de desenvolvimento também precisa ser seguro e contar com mecanismos que evitem o acesso indesejado de terceiros.

Um erro relativamente comum é, por exemplo, trabalhar no desenvolvimento de uma aplicação web sem implementar nenhum tipo de controle de acesso porque ela ainda reside em um servidor dedicado exclusivo que não foi divulgado, mas pode ser acessado pela internet.

Para evitar problemas ainda no desenvolvimento, é crucial ter atenção com o ambiente de desenvolvimento e aplicar boas práticas de segurança ainda nessa etapa. Esses cuidados já começam na definição da infraestrutura e tecnologias que serão utilizadas no projeto.

8. Revise o código regularmente

A qualidade do código é essencial para uma boa segurança em sistemas. Mesmo que uma aplicação “funcione” com um código confuso e mal otimizado, sua manutenção e aprimoramento serão dificultados pela falta de capricho do desenvolvedor.

Mesmo em um framework de desenvolvimento ágil que preze pela entrega de valor constante, é muito importante ter atenção com a estrutura do código que está sendo escrito, até mesmo para evitar que tudo precise ser refeito posteriormente.

Portanto, vale a pena investir um pouco em revisões e verificações do código. Com isso, o software será mais consistente e sem brechas para ameaças externas.

9. Proteja dados importantes com criptografia

Esta é uma dica que pode parecer banal, mas os inúmeros escândalos de dados pessoais de usuários vazados porque não eram armazenados com criptografia adequada provam que esse alerta ainda precisa ser feito.

Todo tipo de dado confidencial armazenado nos servidores da empresa precisa ser protegido por criptografia. Dessa forma, mesmo com algum acesso indevido ou vazamento de dados, a informação fica inacessível para terceiros e ainda protegida.

Naturalmente, criptografar dados é algo que aumenta a complexidade da aplicação.  Entretanto, ainda assim, é um esforço bem pequeno para um incremento muito significativo na segurança.

10. Avalie vulnerabilidades no hardware

Boa parte das dores de cabeça na segurança digital está concentrada na parte de software, mas isso não significa que o hardware deve ser deixado de lado. Um equipamento obsoleto e sem a devida manutenção pode, no mínimo, representar um risco para a integridade dos dados.

Da mesma forma, backups locais estão sujeitos a ameaças físicas como incêndios e descargas elétricas, um fator que precisa ser levado em conta na hora de formatar uma infraestrutura de tecnologia.

Mesmo em empresas mais modernas que utilizam preferencialmente serviços na nuvem e contam com um parque tecnológico enxuto, a preocupação de segurança com o hardware deve existir, especialmente naquelas em que existe uma política de BYOD, ou Bring Your Own Device, em que os colaboradores trazem seus próprios notebooks e dispositivos para trabalhar no escritório.

A configuração do firewall e talvez uma DMZ na rede também pode ser interessante para aprimorar a segurança dos sistemas da empresa e potencializar o controle de acesso.

11. Fique por dentro das tendências da área

Assim como em qualquer especialidade da tecnologia da informação, a área de segurança digital é muito dinâmica. Falhas novas são descobertas todos os dias e é preciso ficar por dentro de novidades e tendências da área.

Uma dica para os desenvolvedores, mesmo que não tenham foco na parte de segurança, é acompanhar a OWASP, uma comunidade sem fins lucrativos que tem como missão deixar a tecnologia mais segura. Lá, brechas recentes são discutidas, assim como boas práticas de desenvolvimento.

Na área de TI tudo acontece com muita velocidade. Um desenvolvedor que para de evoluir fica tão obsoleto como softwares e hardwares sem atualizações. Se informar constantemente é essencial para a evolução na carreira.

12. Estabeleça uma política de segurança de informação na empresa

Além de todos os fatores que envolvem hardware, software e infraestrutura de tecnologia, existe um outro elemento que exerce um papel decisivo na segurança da informação: o usuário.

O fator humano talvez seja a variável mais instável e difícil de lidar de toda a área de proteção, mas isso não quer dizer que ela é incorrigível. Com uma cultura de segurança digital bem construída com treinamentos e reforçada com comunicação constante, é possível minimizar todas essas incertezas.

E, por ser o detentor do conhecimento técnico na área, a política de segurança da informação deve partir de recomendações do time de tecnologia, em parceria com todos os outros setores da organização.

Como escolher uma boa solução de segurança da informação?

Não existem soluções mágicas na segurança da informação, que vão servir para todo tipo de sistema e lidar com todas as ameaças possíveis. Cada tipo de estrutura exige soluções diferentes, que deverão ser escolhidas com base em um estudo sobre os possíveis riscos das aplicações e dados usados.

Além disso, também é fundamental considerar sempre os já citados 3 pilares da segurança da informação: confidencialidade, disponibilidade e integridade.

Se um desenvolvedor está em um projeto que utiliza o WordPress, por exemplo, é importante buscar por ferramentas específicas para esse CMS, que é baseado em PHP com um banco de dados MySQL.

Dependendo da visibilidade e valor dos dados armazenados pela empresa, investimentos maiores podem ser justificáveis. Em uma organização de grande porte que lida com dados pessoais como, por exemplo, uma rede de hotéis, um vazamento dessas informações pode causar prejuízos devastadores.

Portanto, para escolher uma boa solução de segurança de informação é preciso conhecer não apenas as boas práticas e ferramentas disponíveis como a infraestrutura de tecnologia da empresa e os principais riscos e ameaças a ela.

Como lidar com falhas na segurança da informação?

Quando uma falha é detectada prematuramente, ou seja, antes de ser explorada por hackers e softwares maliciosos, a recomendação é uma correção imediata, mesmo que isso signifique a interrupção do serviço por algum tempo. Dependendo do nível de criticidade do problema, pode ser necessário lidar com questões de software, hardware e cultura de segurança digital.

Já se a falha na segurança da informação for percebida após alguma ocorrência, é preciso acionar o plano de recuperação de desastres da empresa, que usualmente envolverá ações imediatas como a interrupção do serviço, manutenções corretivas no código e restauração de backups.

Em alguns casos, como os dos temidos ransomwares, até mesmo alguns dos backups podem estar comprometidos. Por essa razão é muito importante ter rotinas de backup bem desenvolvidas com periodicidade regular e armazenamento em, pelo menos, dois locais seguros diferentes, sendo um deles, idealmente, a nuvem.

Uma vez que o plano de recuperação de desastres é executado, pode ser necessária uma investigação interna para desvendar as causas do ataque, que muitas vezes pode ter nascido em uma falha humana, como o compartilhamento de logins e senhas sigilosos.

A segurança da informação é hoje estratégica para qualquer negócio e uma responsabilidade todos na empresa, usuários, suporte e, claro, desenvolvedores que lidam com a construção e manutenção de softwares de uso interno e externo.

Para mitigar os riscos e evitar fissuras na confidencialidade, disponibilidade e integridade dos sistemas e dados da empresa, é importante adotar técnicas e ferramentas para prevenir e responder às ameaças digitais.

Ainda que uma política rigorosa e com adesão total dos usuários seja necessária, o papel de quem desenvolve continua sendo primordial nessa questão. Não à toa, um dos desafios do DevOps é fazer com que desenvolvimento e operação caminhem juntos de uma forma segura: a agilidade não pode significar desleixo com as boas práticas de segurança da informação.

Gostou de aprender mais sobre segurança da informação? Aproveite então para assinar nossa newsletter e receber sempre em primeira mão os novos artigos do nosso blog! Esperamos por você!

 

Fontes:

https://cartilha.cert.br

https://pt.wikipedia.org/wiki/Segurança_da_informação

Exibir ComentáriosOcultar Comentários

Faça um comentário