1. Cenário de segurança da informação nas empresas
No atual cenário de TI, onde as empresas sofrem, frequentemente com ataques de ransomware, a segurança da informação está sendo cada vez mais importante, onde a utilização de políticas e práticas de gestão e proteção de dados são fundamentais para manter o ambiente saudável e seguro.
O vírus ransomware é um perigoso malware que criptografa dados e pede uma quantia, em dinheiro, para o resgate. Esse valor pode chegar até alguns milhares de reais. Estima-se que no ano de 2017 as empresas brasileiras perderam mais de 22 bilhões de dólares, segundo Norton Cyber Security Report.
Existe uma preocupação dos fabricantes de tecnologia em manter patchs de correções de bugs de segurança para suas ferramentas, porém não se pode esperar somente uma solução das empresas fornecedoras de tecnologia, pois pode ser tarde demais. Sendo assim é muito importante que as organizações invistam cada vez mais e melhor na segurança em TI.
Não existem empresa 100% segura, quando o assunto é tecnologia da informação, mas pode-se e deve-se chegar o mais perto disso possível, avaliando sempre os custos e nível de risco aos mais variados incidentes, como temos visto na mídia o Ransomware.
Para melhorar a segurança da informação da sua empresa, listamos aqui 3 etapas, que se bem aplicadas e gerenciadas, podem evitar que haja incidentes de cibersegurança e ainda caso esse ocorra, pode-se recuperar com o menor dano possível.
1ª – Prevenção: Melhor Prevenir do que Remediar Prejuízos na Sua Empresa – Processo/ações que possam impedir o incidente de segurança da informação;
2ª – Detecção: Nesse Momento Sua Empresa está sendo Atacada por Grupos Criminosos Hackers – Processo/ações para identificar o início de um ataque ou a detecção de um incidente já em andamento;
3ª – Reação: Como eliminar Um Ataque de Vírus que está Devastando os Dados da sua Empresa – Após detecção de um incidente a TI precisa agir em dois níveis. Impedir a propagação do problema e recuperar-se dos danos causados.
Visto que a TI passou de setor de backoffice para setor estratégico para a maioria dos negócios, listaremos 3 ações de segurança da informação que elevarão o nível de segurança da informação “com custo zero”.
2. Como prevenir incidentes de segurança da informação
Já valia o ditado popular “melhor prevenir do que remediar”, na TI esse dito, vale ouro, pois em alguns casos os dados perdidos podem nunca mais serem recuperados. Então, mãos à obra…
Inicialmente, a gestão de segurança da informação deverá realizar um levantamento dos serviços de tecnologia e um inventário de hardware e software, a fim de avaliar o cenário tecnológico da empresa. Para isto pode-se utilizar as ferramentas abaixo, que são disponibilizadas gratuitamente pelos seus fabricantes:
Após o inventário realizado pela TI, recomenda-se fazer mapa de impacto, onde caso um equipamento/serviço seja comprometido, qual será o impacto no negócio. Desta forma, pode-se elencar as prioridades de prevenção, conforme modelo abaixo:
Agora a TI sabe exatamente o que acontece se cada um dos serviços ficar fora, inclusive, poderá realizar investimentos para ter alta disponibilidades utilizando failover ou backups. Lembrando que é importante avaliar qual o tempo máximo que o serviço pode ficar indisponível x tempo máximo de recuperação.
2.1 Treinando usuários sobre cibersegurança
Não podemos esquecer que as tecnologias e serviço são utilizadas por pessoas, e são essas pessoas o elo entre segurança e vulnerabilidade.
Boa parte dos incidentes chegam através das pessoas, seja por receberem um malware no e-mail, ou um ataque pishing, até mesmo um pendrive infectado com ransomware.
Existe o tal dilema “o quanto a empresa deve limitar o uso das ferramentas aos colaboradores?”. Chegar ao ponto de bloquear tudo, pode atrapalhar os negócios, mas liberar pode colocar em risco a segurança da informação. Então o que fazer?
Nesse caso, não tem outra solução. Treinar os colaboradores para identificar perigos e ameaças é a melhor forma de transformar usuários em inspetores de segurança.
O primeiro ponto de uma apresentação eficiente, para os usuários, é não esquecer que são “usuários”, geralmente leigos no assunto, e acham que a TI resolve tudo sozinha. Iniciar uma apresentação de forma descontraída, basicamente com imagens e sem utilizar tantos termos técnicos são requisitos para o sucesso.
Treine constantemente os usuários e monitore o quanto seus usuários alertam a TI sobre problemas, SPAM, site maliciosos, vírus etc. Esse pode ser utilizado como termômetro sobre os treinamentos.
Uma técnica interessante para avaliar o nível de segurança e conhecimento dos usuários é realizar um teste de engenharia social bem simples.
Crie um e-mail fake (nomeda_empresa@gmail.com) e envie esse e-mail para alguns usuários e solicite acesso remoto ao computador. Se o acesso remoto for passado sem muitos questionamentos, SUA EMPRESA ESTÁ COM SÉRIOS PROBLEMAS.
História em off: Certa vez, fui visitar um novo cliente para orçamento de teste de intrusão, ele queria aumentar o nível de segurança da informação e queria nos contratar para gerenciar todas as melhorias.
Chegando ao tal cliente, fui até a secretária e pedi acesso ao local onde ficam os servidores. Fui muito bem atendido e logo cheguei ao rack, onde a secretária já deixou a chave comigo e comecei a mexer.
Até aqui nada de problemas, correto?
Verdade, não seria um problema se eu não estivesse na empresa errada. Por algum motivo, a empresa me passou o número da sala errada, eu estava no 503 e o correto seria 403… (Por isso as senhas dos servidores não funcionavam. Rs). Claro que quando percebi a falha, imediatamente entreguei as chaves a secretária e alertei ao gerente do local, que no final acabou nos contratando para serviços de TI.
Enfim, com essa história, imagina se fosse uma pessoa mal-intencionada, ou melhor bem-intencionada aos seus interesses próprios, de furtar informações ou até mesmo acabar com a área de TI da empresa.
Resumindo:
- Saiba o que a TI oferece de serviços para a empresa, quais os equipamentos e versões de Software;
- Descubra qual o impacto nos negócios para cada serviço;
- Faça uma avaliação do quanto pode-se esperar para recuperar um serviço x tempo máximo que este pode ficar offline;
- Treine seus usuários, ensine-os a serem detetives da TI;
- Faça testes de intrusão, utilizando várias técnicas como engenharia social;
- Use antivírus de confiança em todos os equipamentos.
- Política de acesso e segurança.
3. Como identificar incidentes de segurança na empresa
Mesmo com todas as ações de prevenção, ainda assim existirão brechas que não foram identificadas pela TI, ou ainda, que não puderam ser bloqueadas e o incidente ocorreu. E agora? Perdi tudo? Ransomware? Hackers? Servidor Zumbi? O que fazer?
Esse é um assunto extenso que exige muito conhecimento técnico, mas ainda assim existem processos, básicos, que podem ajudar na detecção do problema.
Identificar quais serviços/equipamentos foram afetados no incidente: Esse é o ponto número 1 e tão importante quanto os outros. Aqui identifica-se onde está o problema. Para isso basta olhar a tabela feita anteriormente onde constam todos os serviços e os impactos.
Alertas sobre o incidente: A fim de ter o menor dano possível, em caso de incidente, a equipe de TI precisa ser alertada o mais rápido possível quando o problema ocorrer. Para isso pode-se utilizar ferramentas de monitoramento, tais como:
Essas ferramentas, se bem configuradas, ajudam a identificar anomalias, ou seja, movimentos fora dos padrões rotineiros dos serviços, e com isso a TI pode partir para um check-up, a fim de averiguar o que causa o comportamento atípico.
Além dessas ferramentas, pode-se utilizar o EventSentry Light para monitoramento de utilização de dados/arquivos em sistemas de fileserver.
Essa ferramenta faz a leitura da quantidade de arquivos que estão sendo acessados e até editados ao mesmo tempo no servidor, com isso, no caso de um Ransomware, por exemplo, o sistema alerta via e-mail que o padrão de acessos foi mudado. Por exemplo: Se em um determinado servidor de arquivos o padrão de acesso são 100 arquivos editados por hora, caso esse limite seja ultrapassado o sistema alerta via e-mail os administradores de TI para que tomem a ação necessária.
O sistema permite também configurar ações para caso o padrão de uso seja ultrapassado, como por exemplo: desligar o serviço de compartilhamento, bloquear o usuário que está editando mais arquivos etc. Além dessas funcionalidades o sistema detecta alterações em honeypot “arquivos armadilha”, que em caso de alteração o administrador recebe um alerta via e-mail.
Essas são algumas simples soluções gratuitas para detecção de problemas em sistemas, serviços e equipamentos de TI.
4. O que fazer após um incidente de segurança
Após um incidente de segurança, a TI deve, em primeiro lugar, manter a calma e identificar os dados causados. Alertar aos usuários sobre o incidente e quais serviços impactados. Essa é a primeira medida de remediação de um problema de segurança ou invasão hacker.
Com a identificação do dano causado, a TI deve isolar os sistemas afetados a fim de que não propague, ainda mais, o incidente e que o invasor não consiga trazer mais estragos aos serviços de TI.
Com os sistemas isolados, deve-se reestabelecer os serviços. A primeira avaliação do especialista em TI é importante para validar o tempo que levará para recuperação dos serviços e tomar a primeira decisão: A empresa pode esperar a recuperação? Posso reestabelecer os serviços, mesmo que parcialmente?
Essa decisão inicial é importante, pois dependendo do incidente o especialista em TI poderá demorar de minutos até dias em uma verificação e total eliminação dos riscos. Nesse caso seria interessante voltar com os serviços com a área afetada isolada, ou seja: Em caso de um sistema de arquivos, subir o último backup para uma nova máquina e liberar o acesso para os usuários até que o sistema principal seja reestabelecido completamente.
Um processo importante é identificar a origem do problema, a fim de evitar que ocorra novamente, porém nesse caso, exige uma leitura dos logs e avaliação dos sistemas danificados, o que pode levar bastante tempo e até em alguns casos a não identificação da causa do incidente.
Caso seja descoberta a origem do problema, o administrador de TI, deve trabalhar, urgentemente, para eliminar a causa, antes que esse volte a ocorrer novamente.
Uma outra ação é o reestabelecimento dos equipamentos/serviços principais, lembrando que somente após total eliminação das ameaças encontradas nesses, a fim de evitar novos incidentes.
Essas 3 etapas da gestão cibernética/segurança da informação (prevenção, detecção e reação), podem colocar a segurança da TI em um novo nível de segurança, mas vale lembrar que o que vimos aqui é só o início da segurança, são ações básicas, quase que obrigatórias a todas as empresas que não querem, ou melhor, não podem sofrer com incidente de segurança da informação.
Conclusão
Os últimos anos mostrou que a tecnologia da informação se tornou ponto chave para o sucesso de muitas empresas, os dados, as informações e os conhecimentos são fundamentais para garantir a competitividade e com o apoio de sistemas de tecnologia pode-se chegar cada vez mais ao sucesso empresarial.
Não arrisque o que foi construído com tanto esforço, dedicação e dificuldade. Sua empresa, merece ter uma TI eficiente e que se preocupe com a guarda dos dados e dos principais serviços do negócio. Por isso, lembre-se, enquanto você não busca se proteger, os hackers estão veementes, buscando formas cada vez mais robustas para atacar sua empresa.
Se você sente que a sua empresa está pronta para ir para o próximo nível em gestão de TI e segurança da informação, entre em contato conosco e fale diretamente com um especialista e solicite uma avaliação gratuita da sua empresa.
Não deixe de seguir nossas redes sociais para acompanhar todas as notícias e dicas sobre tecnologia da informação que constantemente postamos, não só no blog, mas também em todas as nossas redes sociais.