Proteger sua empresa significa ter um plano
Por Howard Baldwin
Proteger sua empresa hoje significa gerenciar duas prioridades, às vezes, conflitantes: proteger vigorosamente a rede e os dados da empresa, e fornecer acesso razoavelmente fácil para funcionários e outros usuários autorizados. Também significa investir a quantia certa em segurança, isto é, o bastante para ter a proteção adequada, mas não muito a ponto de colocar em risco o orçamento para investimentos tecnológicos mais estratégicos.
Em resumo:
| • | Determine quais dados são mais importantes e concentre-se em protegê-los. |
| • | Mantenha os dados cruciais em servidores separados. |
| • | Conceda acesso aos dados apropriados somente com base na responsabilidade do cargo, e lembre-se de alterar o acesso quando os funcionários deixarem a empresa ou forem promovidos. |
Para começar, sua empresa precisa de uma estrutura em torno da qual discutir e implementar tecnologias e diretivas de segurança. Ao desenvolver um plano abrangente de segurança das informações, você terá um método lógico e estratégico de gerenciar a segurança na sua empresa.
Não entraremos no mérito de abordar tudo o que seu plano de segurança deve incluir, mas aí vão alguns passos básicos que podem ajudar.
1. Comece avaliando seus componentes de hardware e software
Se você fosse obrigado a proteger somente um dispositivo da sua empresa, escolheria o servidor de contabilidade, o servidor de email ou o servidor de comércio eletrônico? Tudo depende do que for mais importante para a empresa. Se a maior parte dos negócios da sua empresa ocorre pela Internet, o servidor de comércio eletrônico é provavelmente o mais importante a proteger.
Ao criar seu plano de segurança, fique atento para proteger os equipamentos de TI que têm mais impacto nos negócios, e vá percorrendo a lista em ordem decrescente de prioridade. "Mas não pense apenas nos dispositivos", alerta Tim Keanini, CTO da nCircle, um fornecedor de segurança com sede em São Francisco, EUA. Ele aconselha pensar também nos processos comerciais — isto é, no fluxo de informações e não somente no local das informações.
Isto significa que você deve envolver seus parceiros comerciais nas discussões sobre segurança. Por exemplo, se suas remessas dependem da obtenção de atualizações de inventário vindas dos fornecedores, você deve se preocupar com duas coisas: a confiabilidade da conexão de rede e como os fornecedores cuidam da segurança das informações.
Precisa de mais ajuda para avaliar os riscos de segurança da TI na sua empresa? Dê uma olhada na Microsoft Security Assessment Tool (em inglês), uma ferramenta desenvolvida especialmente para empresas com menos de 1.000 funcionários.
2. Desenvolva diretivas executáveis
Para manter os custos de segurança baixos, concentre-se no provável mais do que no possível. É muito mais provável que um funcionário guarde a senha anotada em um pedaço de papel do que alguém insatisfeito realize um ataque nas suas redes. (É essa a vantagem de ser uma empresa de médio porte — você tem menos probabilidade de ser alvo do que uma empresa maior, com um nome conhecido.)
Portanto, você precisa de políticas racionais e de uma equipe de gerenciamento que queira investir algum tempo explicando claramente aos funcionários os motivos dessas diretivas. Estas são algumas diretrizes para desenvolver uma diretiva:
| • | Peça a seus funcionários que mantenham seus sistemas Windows e Office, bem como aplicativos comerciais, atualizados com os mais recentes downloads, boletins de segurança e ferramentas da Microsoft. Consulte este artigo para ver uma lista de dicas de segurança para os funcionários, bem como a página de segurança da Microsoft para obter atualizações de software. |
| • | Exija que os funcionários escolham senhas seguras (aquelas que contêm números, letras e caracteres variados), mas não os obrigue a trocá-las a cada duas semanas: 45 a 90 dias é o período padrão. |
| • | Certifique-se de que suas diretivas utilizem segurança de acordo com o cargo, concedendo acesso com base nas responsabilidades da função exercida. |
| • | Deixe claras, no documento das diretivas, as conseqüências do não cumprimento e aja de acordo, se necessário. |
| • | Reveja as diretivas periodicamente e informe todas as mudanças aos funcionários. |
| • | Quando algum funcionário mudar de cargo, reveja e altere seu privilégio de acesso de forma apropriada. |
| • | Quando algum funcionário deixar a empresa, apague sua senha do sistema. |
| • | Saiba que os funcionários podem ser os maiores riscos à segurança, geralmente mais por falta de treinamento adequado do que por maldade. (Para obter mais informações sobre este tópico, veja este artigo.) |
| • | Inclua uma diretiva de segurança móvel para os funcionários que estiverem viajando ou trabalhando fora do escritório. Saiba mais sobre isto no passo 5, a seguir. |
"Por fim, lembre-se de incluir na diretiva um plano de ação, para o caso de ocorrência de um problema na segurança, e atribua responsabilidades por certas decisões", aconselha Mark Mattis, diretor da Ascentium, um parceiro Microsoft Gold Certified Partner sediado em Bellevue, Washinton.
3. Invista em mais de um servidor para ajudar a proteger os dados
Após definir suas prioridades e diretivas, pense na proteção. Uma maneira de proteger informações importantes é simplesmente segmentar essas informações em diferentes servidores, sendo cada servidor separado por um firewall interno. Além disso, não se esqueça de isolar seu servidor público da Web de sua rede interna.
Se você tiver começado como uma pequena empresa, provavelmente não pensou sobre os prós e contras de fornecer aos funcionários acesso a vários servidores, mas agora que você cresceu, é hora de fazer isso. "Não há motivo algum para que suas equipes de vendas e suporte tenham acesso aos servidores de contabilidade", explica Jeff Jones, diretor da unidade de segurança e tecnologia da Microsoft.
4. Escolha os sistemas apropriados para proteger diferentes dispositivos
Embora a Microsoft tenha aumentado o nível de proteção integrada a seus produtos, também desenvolveu uma linha de produtos de segurança empresarial para proteger toda a sua rede e sistemas. Microsoft Forefront é uma família de produtos que protege computadores clientes, aplicativos de servidor e a borda da rede e que pode ser gerenciada de forma centralizada e dimensionada para beneficiar milhares de usuários. (Baixe esta folha de dados para obter informações detalhadas sobre o Microsoft Forefront.)
Em uma época em que há cada vez mais opções e produtos específicos a um nicho no mercado de tecnologia de segurança, os especialistas afirmam que um sistema de segurança integrada, como o Microsoft Forefront, é geralmente o mais fácil de gerenciar.
Ao selecionar seu conjunto de produtos de tecnologia de segurança, lembre-se de que certos dispositivos exigem ferramentas específicas:
| • | Computadores desktop e laptops requerem antivírus, anti-spyware e proteção por firewall (consulte Microsoft Forefront Client Security). |
| • | Os servidores de email requerem um antivírus, como o Microsoft Antigen, que integra a família Forefront. |
| • | Os servidores e redes requerem firewalls e sistemas de detecção de intrusão (o Microsoft ISA Server, também no Forefront, incorpora estes recursos). |
5. Desenvolva uma estratégia de segurança móvel
Com cada vez mais pessoas trabalhando à distância e em trânsito, vem se tornando cada vez mais importante ter uma estratégia de diretiva de segurança móvel que proteja tanto contra simples falhas humanas, como contra vírus, vândalos e hackers mal-intencionados. Gary Chen, analista voltado a problemas de empresas de médio porte do Yankee Group, em Boston, recomenda o uso da tecnologia de rede virtual privada (VPN) para acesso remoto, por ela incluir autenticação criptografada e segura.
Considere essencial investir em dispositivos móveis que tenham o recurso de se "autodestruir", recomenda Chen. Se os dispositivos se perderem, o servidor ao qual foram projetados para se conectarem podem enviar um sinal que inutiliza o sistema operacional móvel. Desse modo, os dados não podem ser obtidos do dispositivo e o dispositivo não consegue acessar o host.
Para obter mais informações sobre como desenvolver uma diretiva de segurança móvel, leia estes artigos (em inglês) no site Windows Mobile em Microsoft.com.
Há alguns pontos básicos para ajudá-lo a iniciar. Consulte a seção sobre Segurança para conhecer mais recursos. Depois, crie um plano para sua empresa.
Howard Baldwin é escritor colaborador do site da Central Microsoft para empresas de médio porte e mora em Sunnyvale, Califórnia. Seu trabalho já foi publicado nas revistas CIO, Optimize e InfoWorld.
