O post de hoje foi uma contribuição da Edefense, referência em Segurança da Informação no Rio de Janeiro. Boa leitura !
———————————————————
Utilização de Pen Drive e dispositivos Externos
Muitas empresas têm as suas atividades interrompidas por tempo indeterminado após utilizar pen drive e dispositivos externos. Em muitos casos, os próprios clientes da empresa trazem esses dispositivos, inserindo novas ameaças e infecções nos sistemas internos. O maior impacto ocorre quando o servidor é infectado, causando paradas inesperadas e obrigando os funcionários a aguardarem o restabelecimento dos sistemas.
Não Mapear as Vulnerabilidades do Negócio
Quando que a sua empresa realizou análise de vulnerabilidades e auditoria em sistemas internos, portais, mensageria eletrônica e servidores ? A situação fica ainda mais grave quando citamos por exemplo alguma atividades que precisam garantir confidencialidade e integridade dos dados. Podemos citar o SPED, o sistema público de escrituração digital. Muitas empresas migraram para a nuvem (Cloud Computing), e estão mais acessíveis a tentativas de ataques. O que ficava dentro da empresa, está publicado para a internet.
Utilizar Softwares Desatualizados
As empresas precisam manter seus sistemas atualizados de forma automatizada, reduzindo o risco de infecções e invasões. As pequenas e médias empresas estão vulneráveis, e a partir de 10 computadores, é importante que o processo seja totalmente automatizado e centralizado.
Falta de Processos de Segurança e Manuseio da Informação
Mesmo utilizando sistemas de segurança conceituados, muitas vulnerabilidades são geradas diariamente de forma não consciente. Podemos citar o uso do “Post-it” para anotar informações confidenciais como senhas de sistemas, bancos, etc. A conversa sem limites dentro do elevador e ambientes públicos, revelando planos e estratégias das empresas. O transporte de notebook sem qualquer mecanismo de criptografia, permitindo que após um incidente (roubo, sequestro, perda, etc..) as informações confidenciais sejam acessadas por pessoas não autorizadas. E também podemos citar as informações que são descartadas de forma ilegal, num simples cesto de lixo, sem qualquer garantia de descarte.
Uso de Antivirus Gratuito na Empresa
Instalar antivirus com licença gratuita além de perigoso é ilegal, visto que a maioria desses softwares tem restrição na licença informando que o uso deve-se ser restrito ao ambiente pessoal e “não corporativo”. Esses softwares possuem mecanismos muito básicos, não fornecendo a proteção adequada para empresas de qualquer porte. Uma infecção pode ser controlada e isolada muito rapidamente em sistemas corporativos, pois existe uma gerência centralizada, incluindo o histórico de atualizações, infecções bloqueadas e incidentes ocorridos durante o mês.
Backup Não Estruturado
A perda de dados corporativos é a uma das maiores preocupações das empresas. Mas não adianta efetuar o backup e não validar a cópia de segurança através de testes regulares e aleatórios. A definição de um processo estruturado para validação do backup é algo indispensável nessa imensidão de dados que são manuseados diariamente. Qual foi a data que a sua empresa fez testes de restauração ? Todos dados foram salvos corretamente ? Sua empresa possui o registro de quais arquivos foram copiados ? E as mídias, estão bem dimensionadas ? São perguntas que fazem parte do processo para garantir o backup das informações.
Falta de Mão de Obra Especializada
Manter profissionais atualizados e motivados sempre foi um dos maiores desafios que as empresas de todos os setores enfrentam há alguns anos. Muitas brechas de segurança ocorrem devido a falhas de configuração, omissão falta de capacidade técnica para manter a tecnologia e segurança da informação em níveis aceitáveis. A melhor opção é terceirizar e foca na atividade principal do negócio, transferindo o risco para as empresas especializadas.
Fonte: Blog Edefense