spersky Lab
cumprimentos da Ka
os
m
co
,
as
es
pr
em
Para as pequenas
Simplificando a
I
T
e
d
a
ç
n
a
r
u
g
e
S
Trazido a você pela
Georgina Gilmore
Peter Beardmore
Sobre a Kaspersky Lab
A Kaspersky Lab é o maior fornecedor de capital fechado do
mundo de soluções de proteção de terminais. A empresa está
classificada entre as quatro maiores empresas do mundo com
soluções de segurança para usuários de terminais.* Ao longo
de sua história de mais de 15 anos, a Kaspersky Lab mantevese inovadora em segurança de TI, e fornece soluções de
segurança digital eficazes para as grandes, pequenas e médias
empresas e consumidores. A Kaspersky Lab atualmente
opera em cerca de 200 países e territórios em todo o mundo,
fornecendo proteção para mais de 300 milhões de usuários
em todo o mundo.
Saiba mais no site www.kaspersky.com/business.
* A empresa foi classificada em quarto lugar no Mundial de Receita de
Segurança para Terminais da International Data Corporation por Fornecedor
em 2011. A avaliação foi publicada no relatório da Previsão Mundial de
Segurança de Terminal 2012-2016 e Ações de fornecedores “(IDC nº 235930,
julho de 2012). O relatório classificou os fornecedores de software de acordo
com os ganhos provenientes da venda de soluções de segurança de terminais
em 2011.
Simplificando a
Segurança de TI
Kaspersky Lab Edição Limitada
Simplificando a
Segurança de TI
Kaspersky Lab Edição Limitada
Por Georgina Gilmore e
Peter Beardmore
Simplificando a Segurança de TI para Leigos®, Kaspersky Lab Edição Limitada
Publicado por
John Wiley & Sons, Ltd
The Atrium
Southern Gate
Chichester
West Sussex
PO19 8SQ
Inglaterra
Para obter detalhes sobre como criar um livro personalizado Para Leigos para o seu
negócio ou organização, entre em contato com [email protected].
Para obter informações sobre o licenciamento da marca Para Leigos para produtos ou
serviços, entre em contato com BrandedRights&[email protected].
Visite nossa página www.customdummies.com
Copyright © 2014 por John Wiley & Sons Ltd, Chichester, West Sussex, Inglaterra
Todos os direitos reservados. Nenhuma parte desta publicação pode ser reproduzida,
armazenada em um sistema de recuperação ou transmitida de qualquer forma ou por
qualquer meio, eletrônico, mecânico, por fotocópia, gravação, digitalização ou de outra
forma, exceto sob os termos do Direito Autoral, Lei de Designs e Patentes de 1988 ou nos
termos de uma licença emitida pela Copyright Licensing Agency Ltd, 90 Tottenham
Court Road, Londres, W1T 4LP, Reino Unido, sem a autorização, por escrito, da Editora.
Os pedidos para permissão para editora devem ser endereçados ao Departamento de
Permissões, John Wiley & Sons, Ltd, The Atrium, Southern Gate, Chichester, West Sussex,
PO19 8SQ, Inglaterra, ou enviado por e-mail para [email protected], ou por fax para
(44) 1243 7706 20.
Marcas registradas: Wiley, Para Leigos, o logotipo Para Leigos, Uma Referência para
o Resto de Nós, O Caminho dos Leigos, Diário dos Leigos, a Maneira Fácil e Divertida,
Dummies.com e marcas relacionadas são marcas comerciais ou marcas registradas da
John Wiley & Sons, Inc. e/ou de suas afiliadas nos Estados Unidos e em outros países,
e não podem ser usadas sem permissão por escrito. Todas as outras marcas são de
propriedade de seus respectivos proprietários. John Wiley & Sons, Inc., não está
associado a qualquer outro produto ou fornecedor mencionado neste livro.
LIMITE DE RESPONSABILIDADE/EXONERAÇÃO DE GARANTIA: A EDITORA, O AUTOR E QUALQUER
OUTRA PESSOA ENVOLVIDA NA PREPARAÇÃO DESTE TRABALHO NÃO REPRESENTAM OU
GARANTEM COM RELAÇÃO À PRECISÃO OU INTEGRIDADE DO CONTEÚDO DESTE TRABALHO E
ESPECIFICAMENTE REJEITAM TODAS AS GARANTIAS, INCLUINDO, SEM LIMITAÇÃO, GARANTIAS
DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. NENHUMA GARANTIA PODE SER CRIADA OU
ESTENDIDA POR VENDAS OU MATERIAIS PROMOCIONAIS. OS CONSELHOS E ESTRATÉGIAS AQUI
CONTIDOS PODEM NÃO SER ADEQUADOS PARA CADA SITUAÇÃO. ESTE TRABALHO É VENDIDO
COM O ENTENDIMENTO DE QUE A EDITORA NÃO ESTÁ ENVOLVIDA NA PRESTAÇÃO LEGAL,
CONTABILIDADE OU OUTROS SERVIÇOS PROFISSIONAIS. SE AJUDA PROFISSIONAL FOR
NECESSÁRIA, OS SERVIÇOS DE UM PROFISSIONAL COMPETENTE DEVEM SER PROCURADOS. NEM
A EDITORA NEM O AUTOR SERÃO RESPONSÁVEIS POR DANOS POR MEIO DESTA. O FATO DE UMA
ORGANIZAÇÃO OU SITE SER REFERIDO NESTE TRABALHO COMO UMA CITAÇÃO E/OU UMA FONTE
POTENCIAL DE INFORMAÇÕES NÃO SIGNIFICA QUE O AUTOR OU A EDITORA APROVA AS
INFORMAÇÕES QUE A ORGANIZAÇÃO OU SITE PODEM FORNECER OU RECOMENDAÇÕES QUE
ESTES FIZEREM. ALÉM DISSO, OS LEITORES DEVEM ESTAR CIENTES DE QUE SITES DE INTERNET
LISTADOS NESTE TRABALHO PODEM TER ALTERADO OU DESAPARECIDO ENTRE QUANDO ESTA
OBRA FOI ESCRITA E QUANDO FOI LIDA.
Wiley também publica seus livros em uma variedade de formatos eletrônicos. Algum
conteúdo que aparece na impressão pode não estar disponível em livros eletrônicos.
ISBN 978-1-118-84806-7 (ebk)
Printed and bound in Great Britain by Page Bros, Norwich
Introdução
B
em-vindo ao “Simplificando Seguranca de TI Para
Leigos” - o seu guia para alguns dos desafios de
segurança da informação enfrentados por todos os
tamanhos de negócios no mundo de hoje, conectado à
Internet. Com valiosas dicas e sugestões, este livro
pretende ajudar a sua empresa a garantir que as
informações confidenciais permaneçam seguras - assim é
menos provável que você venha a sofrer penalidades
regulatórias/legais ou danos à sua reputação comercial.
Embora os avanços de computação da última década
tenham ajudado os empresários a reduzir custos,
aumentando a eficiência e proporcionando níveis ainda
melhores de serviço ao cliente, essas mesmas novas
tecnologias têm criado oportunidades para hackers para
atacar empresas inocentes. Mais do que nunca, todos os
negócios - mesmo aqueles que pensam que não têm
nenhuma informação confidencial que eles precisam
proteger - devem estar ciente dos riscos e como evitá-los...
assim, é por isso que escrevemos este livro.
Sobre este livro
Embora seja pequeno, este livro é repleto de informações
para ajudar as empresas em crescimento a elaborar
a melhor forma de proteger informações confidenciais incluindo informações sigilosas sobre seus clientes e como proteger seus computadores e dispositivos
móveis contra vírus, ataques maliciosos e muito mais.
2
Desde as menores às maiores corporações, cada organização está em risco com os métodos sofisticados que os
hackers usam para acessar informações confidenciais
e roubar dinheiro de contas bancárias de negócios.
Considerando que grandes multinacionais podem se dar
ao luxo de contratar equipes de especialistas em
segurança de TI, as empresas menores são menos
propensas a ter experiência em segurança de TI no local.
“Simplificando a Segurança de TI para Leigos” propõe
ajudar as empresas através da consciência quanto a:
✓Por que praticamente todas as empresas têm
informações sensíveis que eles precisam proteger.
✓O alcance e a natureza dos riscos de segurança da
informação de hoje
✓As medidas simples e ‘sem custo’ que ajudam as
empresas a proteger informações confidenciais.
✓Os produtos fáceis de usar que podem melhorar
muito a segurança da informação.
Pressupostos tolos
Para ajudar a garantir que este livro forneça as informações
que você precisa, nós fizemos algumas suposições sobre
você:
✓O negócio que você possui, gerencia ou no qual
trabalha usa laptops, dispositivos de desktops e/ou
móveis.
✓Você precisa se certificar de que seu negócio não
colide com os regulamentos de segurança da
informação.
✓Você está interessado em garantir que as informações
confidenciais da sua empresa permaneçam
confidenciais.
3
✓Você gostaria de aprender como evitar ataques de
hackers que afetam as atividades do dia-a-dia do seu
negócio.
✓Você pode estar considerando armazenar algumas de
suas informações de negócios em “nuvem”.
✓Você gostaria de receber algumas dicas sobre como
escolher um software de segurança de TI que é mais
adequado ao seu negócio.
Como este livro é organizado
“Simplificando Segurança de TI para Leigos” é dividido em
seis capítulos concisos repletos de informações:
✓Capítulo 1: Por que todas as empresas precisam
proteger informações confidenciais. Explicamos as
armadilhas de uma falsa sensação de segurança.
✓Capítulo 2: Entendendo o que a sua empresa precisa.
Mesmo que todas as empresas precisem de segurança,
este capítulo considera como os requisitos de
segurança podem variar.
✓Capítulo 3: Descobrindo a verdade sobre ameaças de
segurança. Saiba por que a TI de hoje é mais complexa
e as ameaças mais perigosas para as empresas.
✓Capítulo 4: Planejamento para uma melhor
segurança da informação. Avalie os riscos certifique-se de que o seu negócio sabe como evitá-los.
Também lhe damos alguns pontos a considerar para
armazenar com segurança as informações em
“nuvem”.
✓Capítulo 5: Escolhendo o software de segurança para
atender ao seu negócio. Com tantos produtos
disponíveis no mercado, vamos explicar os fatores que
podem ajudar você a fazer a escolha certa.
4
✓Capítulo 6: Dez perguntas para ajudar a identificar
como proteger o seu negócio. Use essas perguntas
como uma lista de verificação útil quando se considera
o que você precisa para proteger seu negócio.
Ícones usados neste livro
Para tornar ainda mais fácil para você encontrar a
informação que precisa, nós usamos esses ícones para
realçar o texto principal:
A
LEM
A
DIC
M-SE
BRE
Este ícone alvo chama a atenção para
conselhos bons
A corda atada destaca informações importantes
a levar em consideração.
O
VIS
Cuidado com as armadilhas potenciais!
Aonde ir a partir daqui
Este livro é uma leitura rápida e fácil. Você pode entrar
e sair do texto como quiser, ou você pode ler o livro de
capa a capa. Seja qual for o caminho que escolher, temos
certeza que você vai encontrá-lo repleto de bons conselhos
sobre como proteger as informações dos seus clientes
e os outros dados valiosos que seu negócio armazena
e processa.
Capítulo 1
Por que todas as empresas
precisam proteger
informações confidenciais
Neste capítulo
▶ Avaliando os encargos adicionais para empresas menores
▶ Protegendo informações de negócios precisas
▶ Evitando os perigos de uma falsa sensação de segurança
▶ Entendendo por que os cibercriminosos almejam
negócios de todos os tamanhos
N
este primeiro capítulo, vamos considerar algumas
razões pelas quais as empresas estão sujeitas a riscos
de segurança da informação - e por que não é aconselhável
tentar varrer questões de segurança para debaixo do tapete.
As empresas estão sob ataque
Na era da informação, conhecimento é poder. As
informações que a sua empresa mantém - sobre o seu
conhecimento técnico especializado, seus produtos e seus
clientes - é vital para o seu sucesso contínuo. Se você já não
fosse mais capaz de acessar algumas das informações
preciosas, isto poderia afetar o dia-a-dia do seu negócio.
Pior ainda, quais seriam as consequências se estas
6
informações caíssem nas mãos erradas - nas mãos de um
criminoso? Além disso, o que aconteceria se um criminoso
pudesse ter acesso aos seus computadores e roubar dados
de contas bancárias online do seu negócio? Caramba!
Infelizmente, empresas de todos os tamanhos são atacadas
por cibercriminosos que utilizam uma ampla gama de
métodos para interromper as operações de negócios,
acessar informações confidenciais e roubar o dinheiro.
Em muitos casos, a empresa vítima pode estar totalmente
alheia ao ataque. . . até que seja tarde demais..
Cibercrime e cibercriminosos
Os criminosos sempre foram bons em detectar novas oportunidades
para explorar uma falha e ganhar algum dinheiro - à custa de outra
pessoa. Quer se trate de uma fechadura frágil em uma janela do
escritório ou um alarme que é fácil de desativar, os criminosos
aproveitam qualquer oportunidade para explorar qualquer
fraqueza. No entanto, na era de hoje com a Internet, um novo tipo
de criminoso emergiu das profundezas escuras. . . o cibercriminoso.
O cibercrime abrange uma vasta gama de atividades criminosas
que são realizadas através de sistemas de TI e/ou na Internet. É
muito fácil descartar a ameaça do cibercrime - e essa é uma
maneira que as empresas ajudam a tornar ainda mais fácil para os
cibercriminosos lucrarem.
Os cibercriminosos são altamente organizados e muito habilidosos
no desenvolvimento de formas sofisticadas para atacar
computadores empresariais, acessar informações confidenciais e
roubar o dinheiro. Muitas vezes, as recompensas financeiras são
consideráveis. . . enquanto que o custo para lançar um ataque pode
ser muito baixo. Isto traz uma taxa de retorno com a qual muitos
outros tipos de crime só podem sonhar! Assim, o volume de
cibercriminalidade continua aumentando.
7
Empresas menores - Pressões maiores
De muitas maneiras, as empresas menores enfrentam
praticamente todas as questões gerais, no dia-a-dia que as
grandes empresas têm de enfrentar. . . além de toda uma
série de desafios adicionais. Todas as empresas têm de
continuar encontrando maneiras de lidar com a mudança
das condições de mercado e responder às atividades dos
concorrentes, e, ao mesmo tempo, estarem um passo à
frente quanto a mudanças das necessidades e preferências
dos clientes. No entanto, ao mesmo tempo, ao lidar com
todos esses fatores, as empresas que mais crescem também
têm de lidar com uma vasta gama de outras questões que
surgem como resultado de um crescimento contínuo da
empresa.
Estes desafios adicionais podem incluir:
✓Encontrar maneiras de lidar com um número
crescente de clientes - e receitas maiores.
✓Recrutamento regular e treinamento de pessoal
adicional para lidar com demandas crescentes.
✓Encontrar instalações maiores e organizar a mudança,
sem interromper as operações do dia-a-dia.
✓Garantir financiamento adicional para ampliar
o negócio.
✓Adicionar novas localizações de escritórios.
✓Encontrar tempo para considerar coisas que as
empresas maiores tiram de letra – como, por exemplo,
como manter as informações dos clientes de forma
segura.
Todas estas tarefas são necessárias para garantir que o
negócio continue funcionando de forma eficiente e esteja
pronto para as próximas etapas do seu crescimento.
8
Esse não é meu trabalho!
Além disso, ainda há a gama de responsabilidades que os
fundadores e empregados têm de cobrir. Desde o início,
assim como um empreendimento de um só homem (ou
mulher) ou de um pequeno grupo de indivíduos altamente
motivados, trabalhar em uma empresa de pequeno porte
geralmente significa “todas as mãos estão ocupadas” - com
todos tendo que cuidar de uma variedade muito maior de
tarefas do que em seus empregos anteriores. Normalmente,
não há equipes de RH, departamentos jurídicos ou pessoal
especialista em TI com que contar.
Se o seu negócio terá sucesso, todo mundo tem que
conseguir ser mais do que apenas um “pau para toda obra”.
Você e seus colegas todos sabem que vocês têm de dominar
tudo o que acontece na gestão do negócio.
Sim, competências especializadas podem ser contratadas
por hora, mas isto custa um dinheiro precioso. Cada gasto
em atividades que não fazem parte do negócio principal
limita o investimento em outras áreas vitais e pode até
mesmo retardar seu crescimento empresarial.
Qual é o problema com a TI?
Para a maioria das empresas, a ideia de tentar funcionar
sem nem mesmo TI básica - como laptops - é quase
impensável. Mesmo que seja apenas um meio para um fim,
é uma ferramenta chave que permite ajudar a aumentar
a eficiência das empresas e melhorar a interação com
clientes, colaboradores e fornecedores. No entanto, ela tem
de servir o negócio - e isso significa que precisa ser fácil de
configurar e gerenciar. Da mesma forma, qualquer software
de segurança que protege os computadores da empresa
e informações confidenciais tem de ser fácil de usar.
9
Há uma selva lá fora. . . então vá armado!
As empresas que consideram a computação como um mal
necessário tendem a ter uma visão muito semelhante
quando se trata de manter as informações armazenadas
nesses computadores seguros. Essa visão é totalmente
compreensível, se TI não for o seu ponto forte.
A
LEM
No entanto, a triste realidade é que a segurança das
informações de negócios nunca foi tão importante - para
todos os tamanhos de negócios. Com altos níveis atuais de
ameaças - e cibercriminosos utilizando regularmente as
conexões de Internet para invadir computadores de
empresas - nenhuma empresa pode se dar ao luxo de
ignorar a segurança. Mesmo que sua empresa só
implemente algumas medidas simples de proteção, essas
precauções podem ser o suficiente para poupar muita dor
de cabeça e uma quantidade significativa de dinheiro.
M-SE
BRE
O
VIS
É perfeitamente aceitável considerar a segurança
de dados e segurança de TI como males
necessários. . . desde que você coloque forte
ênfase na palavra “necessário”! Assim, a palavra
“mal” é apenas um lembrete do tipo de
cibercriminosos que lançam ataques contra
empresas inocentes.
Um varejista não sonharia em deixar a sua caixa
registradora aberta para que qualquer criminoso
que passasse pegasse um punhado de dinheiro.
Da mesma forma, qualquer empresa que usa
computadores, dispositivos móveis ou a Internet
precisa ter certeza de que a sua TI não está
escancarada para o ataque. É simplesmente
muito fácil se tornar a vítima involuntária de um
cibercriminoso que ataca as vulnerabilidades
de segurança ocultas em seus laptops, tablets
10
e smartphones. Assim, você precisa fazer tudo
o que puder para garantir que os criminosos não
possam roubar informações confidenciais ou
roubar suas contas bancárias online.
Um pouco de segurança pode significar muito
A diferença entre não fazer nada e realizar algumas medidas simples
de segurança pode ser enorme. Em primeiro lugar, se você só
implementar algumas medidas básicas de segurança, estas poderiam
ser o suficiente para garantir que o cibercriminoso médio acha mais
fácil correr para outro negócio. . . e deixar o seu negócio em paz.
No gráfico, você vê como um pequeno investimento em segurança
pode reduzir drasticamente a possibilidade de um lançamento de
malware ser bem-sucedido.
Taxa de Sucesso de Malware
Investir para proteger
Conforme seu negócio contribui
para o seu investimento em
segurança ... a chance de
ser infectado por malwares
cai exponencialmente
Investimento em Segurança
11
Segurança não deve atrasar o seu negócio
Tempo é dinheiro! Pronto! falamos... É claro que é um clichê,
mas é verdade. Qualquer atividade não principal, que o leva
para longe das principais atividades geradoras de receita da
sua empresa lhe custa tempo, oportunidades e dinheiro. Ser
ágil e focado é o que lhe deu a oportunidade de estabelecer
o seu negócio em primeiro lugar. Assim, a última coisa que
você precisa é de segurança de TI que serve como
empecilho ao seu espírito empreendedor - não importa até
que ponto a segurança de TI possa ser importante.
Qualquer coisa que atrasa pode significar que você está
gastando menos tempo nas atividades principais que lhe
dão uma vantagem sobre seus concorrentes e ajudam a
impulsionar seus negócios. Com a abordagem errada para
proteção de informação e tecnologias de proteção inadequadas, seu negócio pode se encontrar prejudicado pelas
mesmas coisas que se destinam a ajudar sua defesa.
A fruta mais fácil de apanhar para os
cibercriminosos
Com as preocupações sobre a complexidade e desempenho,
é de se admirar que tantas pequenas empresas fechem os
olhos para a segurança de TI. No entanto, apesar do fato de
que empresas recém-abertas e pequenas poderiam praticamente usar essa abordagem sem danos, há alguns anos, os
níveis atuais de cibercrime revelam que essa é uma estratégia muito mal aconselhada. Adiciona-se a isto o fato de
que alguns criminosos consideram as pequenas empresas
como a “fruta mais à mão”, e que é mais fácil de obter do
que as grandes organizações, e é claro que a segurança
efetiva de TI não é mais opcional.
A boa notícia é que a sua empresa pode fazer muitas coisas
simples para ajudar a proteger informações confidenciais.
12
A
Além disso, alguns dos mais recentes produtos de softwares
de segurança foram desenvolvidos especificamente para
ajudar empresas menores com pouco tempo a proteger
seus sistemas e informações. Estes produtos de segurança
significam que você não tem de comprometer a proteção ou
perder tempo tentando executar um software de segurança
complexo que é difícil de gerir.
O
Mesmo as organizações gigantes podem não ter a
VIS
dimensão e os recursos necessários para se
recuperar de uma falha de segurança prejudicial.
Portanto, empresas menores podem achar que é
impossível continuar comercializando depois de
um incidente de segurança.
Falsa sensação de segurança?
Algumas empresas podem se convencer de uma falsa
sensação de segurança, com a crença equivocada de que os
criminosos estão apenas em busca de peixes grandes. ‘Sim,
é isso’, diz o empresário. ‘Quem iria querer atacar uma
pequena empresa como a minha, quando alvos maiores e
mais ricos estão disponíveis? Nós simplesmente não
estamos no radar de nenhum cibercriminoso.’
Bem, é verdade que o radar não vai ajudar um cibercriminoso a identificar a sua próxima vítima de negócio.
No entanto, os cibercriminosos usam todos os tipos de
outras ferramentas de varredura para encontrar empresas
mais vulneráveis, e eles podem fazer tudo através da
Internet. Com estas ferramentas de verificação inteligentes,
os cibercriminosos podem identificar as empresas que têm
falhas de segurança dentro de seus computadores.
Em praticamente nenhum momento, os scanners podem
encontrar o próximo negócio que será vítima dos criminosos - e apontar como um negócio vulnerável a ataques.
13
Isto pode soar como uma trama de ficção científica
elaborada, mas é verdade. Todos os dias, estes e outros
métodos sofisticados servem para atacar pequenas
empresas. Em um dia normal, o Kaspersky Lab identifica
cerca de 12 mil ataques de malware (software malicioso) e esse número continua crescendo.
As empresas menores podem
ser alvos mais fáceis para o crime
Geralmente, a maioria dos cibercriminosos está procurando
maximizar os retornos financeiros de suas atividades ilegais
e minimizar o esforço e tempo gastos para gerar esses
retornos. Assim, embora acessar finanças de uma multinacional possa ser muito lucrativo, é uma aposta justa que
o cibercriminoso teria de trabalhar muito duro para superar
as defesas de segurança sofisticadas que tal empresa
é suscetível de possuir.
Como alternativa, o cibercriminoso pode optar por alvejar
um grupo de pequenas empresas. Sim, os rendimentos de
cada ataque individual podem ser muito menos valiosos,
mas, se as empresas menores tiverem defesas fracas ou
inexistentes, isto poderia ser dinheiro fácil para o cibercriminoso. Ataques lançados em dez ou vinte pequenas
empresas podem gerar tanto dinheiro quanto um único
ataque em uma grande empresa - e ser muito mais fácil
de alcançar.
A
DIC
Como muitas empresas menores podem achar que
é difícil reservar um tempo para pensar em
segurança, alguns criminosos se concentram
deliberadamente em presas fáceis de pequenas
empresas. Não deixe que o seu negócio esteja
entre a suas próximas vítimas.
14
Os cibercriminosos podem usar pequenos
negócios como um trampolim
Os cibercriminosos reconhecem que as pequenas empresas
são muitas vezes fornecedoras para grandes empresas e essa é outra razão para os ataques contra pequenas
empresas. Um ataque a um negócio como esse pode ajudar
cibercriminosos a roubarem informações que podem vir
a ser úteis, permitindo um ataque posterior contra uma
grande corporação.
O cibercriminoso pode deliberadamente escolher um
negócio por causa de suas relações com as grandes
corporações. Por outro lado, um cibercriminoso oportunista
pode simplesmente identificar o potencial enquanto eles
estão roubando informações de clientes da empresa de
pequeno porte.
Não é preciso dizer que, se o ataque subsequente à grande
organização for bem-sucedido e o papel da pequena
empresa no ataque tornar-se evidente, isto pode resultar
em graves dificuldades para as pequenas empresas.
Mesmo que a empresa de pequeno porte seja inocente de
qualquer delito direto, a sua falta de segurança permitiu que
seus próprios sistemas fossem infiltrados - e isto ajudou a
permitir um ataque contra o cliente de porte corporativo.
Se o papel da pequena empresa no compromisso torna-se
conhecido, este é suscetível de ter repercussões - como
ação legal, remuneração, multas, perda de clientes e danos
à reputação da empresa de pequeno porte.
15
Perdendo. . . em ambas as pontas do negócio
Imagine o caso de uma pequena empresa que compra
matérias-primas a partir de um grande fornecedor corporativo
e, em seguida, vende seus produtos acabados para uma
empresa multinacional. No interesse de eficiência, o
fornecedor pode esperar que seus clientes - incluindo a
pequena empresa - interajam e comprem através dos seus
próprios sistemas online. Da mesma forma, o cliente
multinacional pode esperar que a pequena empresa apresente
notas fiscais eletrônicas diretamente em seus próprios
sistemas de contas internas.
Isto significa que a pequena empresa possui ligações
eletrônicas diretas com sistemas de computadores de seu
fornecedor corporativo e sistemas informáticos de seus
clientes multinacionais.
Se um cibercriminoso infiltra-se em computadores da pequena
empresa, o cibercriminoso pode reunir informações que
ajudam a atacar os dois fornecedores da empresa e do cliente.
Mesmo que os ataques subsequentes não sejam bem
sucedidos, a pequena empresa pode ter várias explicações a
dar. . . e pode ser impedida de interagir eletronicamente com
seus fornecedores e clientes. Isso poderia afetar
negativamente a eficiência da pequena empresa e as margens
de lucro - especialmente se os seus concorrentes estão se
beneficiando de uma maior interação com os mesmos
fornecedores e clientes.
16
Capítulo 2
Descobrindo quais são suas
necessidades de negócios
Neste capítulo
▶ Sabendo suas obrigações legais e regulamentares
▶ Avaliando o que é esperado no seu setor
▶ Percebendo que as ameaças de hoje são mais perigosas
do que nunca
▶ Considerando como as necessidades de segurança
podem variar
N
este capítulo, vamos dar uma olhada em como alguns
requisitos de segurança podem ser semelhantes para
empresas diferentes. . . e também a forma como eles podem
variar.
Algumas necessidades de segurança se
aplicam a negócios de todos os tamanhos
Muitas empresas caem na armadilha de pensar que elas
não possuem informações que poderiam ser de qualquer
valor a um cibercriminoso. Além disso, o fundador pode
acreditar que um incidente de perda de informações não
causaria qualquer grande prejuízo para sua empresa.
18
Infelizmente, para empresas de qualquer tamanho,
essas crenças raramente são verdadeiras.
Mesmo um simples banco de dados de contatos de clientes
tem valor para uma ampla gama de pessoas diferentes - de
cibercriminosos que desejam utilizar esses detalhes, como
parte de golpes de roubo de identidade, até concorrentes
que tentam roubar seus clientes.
Obrigações legais para proteger informações
A
Em muitos países, as empresas estão sujeitas a normas
rígidas sobre como eles devem lidar com informações
sobre indivíduos. O não cumprimento pode resultar em
multas elevadas para o negócio. Em alguns casos, os
diretores ou proprietários do negócio podem estar sujeitos
a processos - com alguns crimes, até mesmo levando a
penas de prisão.
Para alguns países, a legislação e o cumprimento de regulamentos sobre como informações pessoalmente identificáveis são processadas e armazenadas, podem causar
obrigações mais onerosas em grandes organizações.
No entanto, mesmo que as autoridades competentes exijam
que as grandes corporações implementem medidas de
segurança muito mais sofisticadas, a lei ainda espera que as
pequenas empresas ajam de forma responsável e tomem as
medidas cabíveis para ter em segurança todas as
informações relevantes.
O
VIS
Se uma empresa não adotar medidas que
poderiam razoavelmente ser esperadas a serem
realizadas por esse tipo e tamanho de empresa,
o negócio poderia encontrar-se em sérios apuros.
Expectativas de segurança ainda maiores
Muitas jurisdições obrigam todas as empresas a exercerem
um maior grau de cuidado na forma como lidam com
19
qualquer material particularmente sensível, ou qualquer
outra informação que poderia causar danos significativos
a um terceiro caso esses dados vazassem.
Além disso, as indústrias e setores específicos do mercado
podem estar sujeitos a requisitos de segurança da informação muito mais rigorosos do que outros setores. Por
exemplo, empresas que atuam nos setores de saúde e legal
são suscetíveis de terem mais cuidado com as informações
que usam, armazenam e processam.
No entanto, mesmo se nenhuma dessas “expectativas estendidas” se aplicarem ao seu negócio, a perda de informações
confidenciais pode ter consequências terríveis.
Uma confidencialidade catastrófica?
Poderia haver um negócio menos intensivo em termos de TI do
que a execução de um canil ou gatil? Seria realmente
necessário segurança de TI para tal operação? Bem, sim!
Basta considerar as informações que a empresa detém sobre
os nomes e endereços de seus clientes - além do diário
eletrônico da empresa de quando os felinos peludos ficarão na
instalação.
E se essas informações cairem nas mãos erradas? É bastante
óbvio que ninguém vai estar em casa para cuidar dos pequenos
Bola de Neve e Totó - e esta é uma informação valiosa para os
assaltantes. Com esse conhecimento interno sobre quando o
dono da casa ficará afastado - e por quanto tempo ficará
afastado - para que assaltantes possam desfrutar do luxo de
serem capazes de tomar o seu tempo removendo objetos de
valor da propriedade do dono do gato.
20
Diferentes níveis de compreensão
e recursos
Apesar das semelhanças entre algumas das obrigações de
segurança que são colocados em todos os tamanhos de
empresas, há também algumas variações claras em como
as organizações de diferentes tamanhos processam
questões de segurança.
As coisas não são o que costumavam ser
A sofisticação e a natureza implacável de ataques de
segurança de TI modernos significam que as ameaças de
hoje são muitas vezes maiores e mais perigosas do que as
ameaças de poucos anos atrás. Falha ao perceber isto pode
deixar as empresas vulneráveis.
Quando se trata de segurança da informação, as grandes
empresas podem se dar ao luxo de contratar especialistas
em segurança de TI em tempo integral. No entanto, os
proprietários de pequenos negócios não têm esse luxo.
O tamanho é importante?
A disponibilidade de recursos é, obviamente, um fator que
diferencia as empresas menores de grandes corporações.
As grandes empresas têm os especialistas internos para
tomar decisões informadas sobre quais tecnologias de
defesa investir. Eles também têm as finanças necessárias
e recursos de suporte para a implantação de sua solução
escolhida. Além disso, sua equipe local é experiente e sabe
como desenvolver e aperfeiçoar constantemente os planos
de segurança da empresa e políticas de segurança, de
modo que o negócio continue a estar um passo à frente
dos criminosos e nenhum buraco seja feito na defesa
da organização.
21
Por outro lado, as pequenas empresas podem não ter
qualquer conhecimento interno sobre segurança. Além
disso, para uma empresa em crescimento, uma série de
demandas concorrentes clama por qualquer dinheiro que
esteja sobrando (hmm, dinheiro que sobra é um conceito
interessante, mas nenhum dos autores se lembram de ter
experimentado). Assim, a segurança do computador tem
de ter o seu lugar na fila e justificar plenamente as
despesas necessárias.
Noções sobre requisitos de
segurança diferentes
Mesmo que não haja um lote de terreno comum, diferentes
tipos de negócios são suscetíveis de terem algumas
diferenças em seus requisitos de segurança de TI. . .
e também podem ter pontos de vista diferentes sobre
o que é necessário no nível da segurança. Além disso,
conforme a empresa cresce, suas necessidades de
segurança da informação podem mudar.
Você reconhece algum dos seguintes perfis de negócios
e suas opiniões sobre a segurança de TI?
A empresa recém-criada
“Sérgio dono de empresa nova” com 36 anos está deixando
uma operação de grande porte, de base municipal e
criando uma nova empresa de advogados com dois de seus
colegas.
Como a empresa planeja usar TI:
✓Sérgio e seus colegas são fortemente dependentes
dos laptops, tablets e smartphones que lhes dão a
flexibilidade para trabalhar em qualquer lugar.
✓A equipe vai fazer uso pesado de e-mail para se
comunicar com os clientes e usará seus
22
computadores para a geração de cartas, propostas
e notas.
A atitude da empresa quanto à segurança:
✓A natureza altamente confidencial das informações do
cliente que serão tratadas - incluindo dados
financeiros - significa que a proteção de todas as
informações sensíveis é de vital importância.
✓Qualquer vazamento ou perda de informações seria
extremamente constrangedor e poderia ter grandes
repercussões em termos de reputação pessoal para
Sérgio e a empresa. Ela poderia até resultar em Sérgio
ser processado.
✓Salvaguardar o negócio é de vital importância e Sérgio
entende que o software antivírus padrão não oferece
proteção adequada.
Sérgio diz: ‘Nós temos que comprar um novo kit de TI e
configurar tudo. Ao mesmo tempo, precisamos ser capazes
de começar a gerar receita o mais rápido possível - assim o
software de segurança que nós escolhemos tem de fornecer
o nível adequado de proteção, além de ser fácil de
configurar, gerenciar e manter. Além disso, o fornecedor de
software de segurança tem de fornecer o apoio que
precisamos e quando precisarmos - assim podemos nos
concentrar em servir os nossos clientes. Então, conforme
o nosso negócio cresce, a nossa solução de segurança deve
ser capaz de se adaptar para atender às novas demandas.’
O negócio em expansão
‘Ambicioso Ahmed’ conseguiu muito em seus 48 anos.
Ele é o dono de uma cadeia de alfaiates de roupas
masculinas que emprega dezoito pessoas - e o negócio
está em expansão.
Como a empresa planeja usá-lo:
23
✓Assim como abrir outra nova loja, a empresa está se
aventurando em varejo online - venda de ternos
através do seu site.
✓Com a expansão, a empresa tem que comprar muito
mais tecnologia - incluindo mais Pontos de Venda
(POS), mais PCs, roteadores de redes Wi-Fi e um novo
servidor.
✓Apesar de Ahmed não estar focado em TI, ele
considera seu novo smartphone útil para acessar
seus e-mails.
A atitude da empresa quanto à segurança:
✓A empresa utiliza um produto de software antivírus
que o sobrinho de Ahmed, “familiarizado com
segurança tecnológica” comprou na loja de PC.
No entanto, Ahmed sabe que este produto não é
suficiente para manter as informações de seu negócio
seguras - especialmente por que o negócio está se
expandindo muito rapidamente. Ahmed odiaria ver
sua concorrente local obtendo a lista de clientes
regulares de Ahmed e seu modelo de precificação.
✓Devido a Observância dos padrões de segurança de
dados na indústria de cartões de pagamento (PCI),
Ahmed sabe o que o negócio precisa para implantar
o software de segurança e mantê-lo atualizado, a fim
de gerenciar vulnerabilidades.
Ahmed diz: ‘Costurar - e não TI - é a minha paixão.
No entanto, é o momento certo para investir em algum
software de segurança mais profissional de TI - mesmo que
apenas para minha própria paz de espírito. Precisamos de
segurança de TI que nos dê a proteção que precisamos,
mas que seja fácil de instalar e gerenciar. Eu estou
procurando um pacote que faça o seu trabalho e me deixe
continuar com o meu. Desde que assumi o negócio do meu
24
pai, já alcançamos um cresci-mento impressionante.
Estamos prestes a abrir a nossa quinta loja e estamos
construindo nossas vendas na Internet - assim precisamos
de uma solução de segurança de TI que possa crescer
conosco.
O negócio que está mudando sua segurança
Dra. ‘Ivana Irritada’, 40 anos, é uma sócia sênior em um
consultório médico local, que inclui dois outros médicos,
um fisioterapeuta e três recepcionistas/administradores de
pessoal de meio período.
Como a empresa planeja usar TI:
✓Cada médico tem um PC de desktop e um PC na sala
que a fisioterapeuta utiliza. Dois outros PCs estão na
recepção e mais um no escritório de administração.
✓A Internet e os computadores mudaram a forma
como a clinica funciona - o que torna muito mais fácil
manter o controle de registros de pacientes, descobrir
novos medicamentos e procedimentos e, manter-se
atualizado de uma maneira geral.
A atitude da clinica quanto à segurança:
✓Dada a dependência da prática de TI e à natureza
sensível dos arquivos e informações que são manipulados, a Dra. Ivana nunca hesitou em comprar
software de segurança de TI.
✓No entanto, o software de segurança atual está
irritando todos os funcionários. Os PCs levam muito
tempo para iniciar - e depois, quando o software de
segurança verifica a existência de malware, os PCs
parecem ficar paralisados.
Dra. Ivana diz: “a confidencialidade do paciente é de suma
importância. É por isso que nunca hesitamos em instalar
software de segurança. No entanto, nosso software atual
25
teve um efeito notável e muito negativo sobre o desempenho de nossos computadores. Com a licença para a
renovação, agora é o momento perfeito para mudarmos
para um produto de software de segurança que não afete
o desempenho de nossos computadores para que possamos ser mais eficientes na forma como lidamos com os
pacientes. Nós só queremos algo que torne informações
altamente confidenciais seguras, sem ficar no caminho
de nossos esforços para oferecer o melhor atendimento
ao paciente”.
A empresa que começou mal
‘“Suzie Sofredora” de 32 anos é uma proprietária de uma
agência de marketing de sucesso, que emprega 22 pessoas.
Os negócios da Suzie cresceram rapidamente, suas vendas
e marketing garantiram que ela ganhasse novos clientes
facilmente.
Como a empresa planeja usar TI:
✓A equipe principal de Suzie fica no escritório. No
entanto, muitos de seus gerentes de contas visitam
sites de clientes.
✓Apesar de sua equipe possuir Apple Macs, o resto da
empresa utiliza uma combinação de PCs de desktop
e laptops, além de smartphones.
✓Muitos da equipe também usam tablets. Uma vez que
os tablets são de propriedade da equipe, eles não
fazem parte do kit de trabalho oficial. No entanto,
Suzie não se importa da equipe utilizar os dispositivos
- especialmente porque eles fazem a agência parecer
uma empresa de ponta.
A atitude da empresa quanto à segurança:
✓Infelizmente, a agência sofreu recentemente um
grande incidente de segurança. Depois de uma
reunião com um cliente, um dos diretores da conta de
26
Suzie levou seu laptop para um bar e o laptop foi
roubado. O laptop tinha alguns arquivos muito
sensíveis sobre ele - incluindo planos confidenciais
para lançamento de um novo produto que daria ao
cliente uma vantagem real no mercado.
✓Suzie teve de informar o cliente, que ficou extremamente irritado. O incidente foi escalado para a equipe
jurídica do cliente. Parece também que o cliente
romperá o relacionamento com a agência. Assim,
a agência de Suzie está prestes a perder uma parte
significativa do negócio, e também pode haver
implicações legais.
Suzie diz: “Nós ainda estamos somando o custo daquele
incidente de segurança. Agora, a minha principal prioridade
é ter certeza de que não há absolutamente nenhuma
chance daquele tipo de dor de cabeça de segurança
acontecer novamente. Nós precisamos ter uma solução de
proteção integral o quanto antes. No entanto, também
precisamos ter a certeza de que seja simples de gerenciar
– para que um dos nossos designers, que tem um talento
incrível para todas as coisas técnicas, possa gerenciá-la
e mantê-la’.
O negócio que mantém seus dedos cruzados
“Raul Corre Riscos” tem 53 anos e é dono de uma empresa
de contabilidade de cinco pessoas. É um negócio estabelecido, que nunca levou a sério as ameaças de segurança.
Raul sempre esperou que “não fosse acontecer com ele”.
Como a empresa planeja usar a TI:
✓Raul e outros dois assessores de contabilidade
gastam muito tempo com os clientes. O uso de
laptops dá aos consultores a flexibilidade para
trabalhar fora do local.
27
✓dois funcionários da administração do negócio usam
PCs de desktop.
✓A empresa também tem um servidor de arquivos que
gere o seu software de gestão de relacionamento com
clientes (CRM).
A atitude da empresa quanto à segurança:
✓Raul recentemente leu um artigo em uma revista
especializada, sobre uma empresa rival que sofreu
uma grave falha de segurança de TI. Um administrador tinha baixado um arquivo anexo que continha um
malware que acessou os arquivos confidenciais de
clientes. A falha de segurança só foi descoberta
quando um cliente encontrou seus próprios dados
confidenciais sendo vendidos na Internet.
✓A reportagem deixou Raul extremamente nervoso
com a segurança de TI de sua própria empresa. Raul
agora reconhece que o software de segurança gratuito
que a empresa vem utilizando é provavelmente
inadequado.
Raul diz: “A indústria mudou muito nos últimos anos. Há
muito mais regulação agora. Ao mesmo tempo, a natureza
das ameaças de segurança que estão à espreita significam
que temos de implementar uma segurança de TI muito
mais robusta.”
Necessidades diferentes exigem soluções
diferentes
Mesmo que todas as empresas que citamos neste capítulo
estejam em mercados diferentes e cada uma tenha expectativas diferentes para a sua TI, todas elas têm uma coisa em
comum: a necessidade de proteger informações preciosas.
No entanto, com cada negócio tendo diferentes níveis de
28
sistemas de informática e experiência em TI, eles têm
necessidades de segurança diferentes.
Os exemplos de empresas são, obviamente, baseados em
generalizações sobre como alguns tipos diferentes de
negócios podem ter necessidades diferentes de segurança
de TI. No entanto, assim como as variações de modelos de
negócios e tamanhos de negócio são virtualmente infinitas,
assim também são as variações nos requisitos de TI.
É perfeitamente possível para uma pequena empresa - com,
digamos, três a cinco pessoas - executar processos em
massa de computação intensiva. Nesses casos, o negócio
é suscetível de ter uma rede de TI muito mais extensa
e diversificada do que as outras empresas de dimensão
semelhante. Portanto, este tipo de negócio exige uma
solução de segurança que possa cobrir todas as complexidades de seu ambiente de TI - incluindo portais de Internet,
servidores proxy e sistemas virtuais.
Capítulo 3
Descobrindo a verdade sobre
ameaças de segurança
Neste capítulo
▶ Compreenda como a complexidade de TI acrescenta
novos encargos
▶ Saiba por que a proteção antivírus não é suficiente
▶ Aprenda sobre as ameaças online
▶ Protegendo suas transações bancárias online
N
este capítulo, consideramos como a crescente
complexidade das soluções de computação de
negócios típicos e a sofisticação dos vírus, malware e
ataques de cibercrime estão tornando a vida muito mais
difícil para todas as empresas.
Tudo se tornou mais complexo
Apenas alguns anos atrás, qualquer líder empresarial podia
simplesmente esticar o braço e tocar todos os dispositivos
de TI que precisavam ser protegidos dentro de sua organização. Era também simples desenhar um anel imaginário
em torno de rede de computação da empresa. Se você
colocasse um firewall em torno de tudo dentro desse anel e se certificasse de ter um software de segurança adequado
30
em execução em todos os computadores - você seria
intocável.
Mas isso era nos tempos de mobilidade limitada e quando
não se era capaz de acessar informações de negócios
sempre que você estivesse fora do escritório. Isto também
acontecia muito antes de os negócios terem se tornado tão
fortemente dependentes de TI.
Os negócios não podem existir sem TI
Hoje, será que você poderia considerar gerir uma empresa
sem todos aqueles aplicativos de negócios vitais e sem
acesso celular, ou acesso “em qualquer lugar” às informações de negócio essenciais? Bem, não. . . porque seus
concorrentes estariam rindo no caminho até o banco.
No entanto, estes avanços tecnológicos tiveram consequências. A conveniência de acesso em qualquer lugar aumentou
muito a complexidade de TI. Se você e seus funcionários
estarão acessando informações usando laptops, smartphones e tablets, onde está o anel imaginário no qual você
tem de aplicar suas medidas de segurança?
BYOD acrescenta outra camada de complexidade
Para tornar as coisas ainda mais complexas, iniciativas do
tipo Traga seu Próprio Dispositivo (BYOD) - que permitem
que os funcionários usem seus próprios dispositivos para
acessar sistemas de informação e de negócios - estão
acrescentando ainda mais complexidade. Com BYOD, sua
segurança agora tem de lidar com acesso “em qualquer
lugar - a partir de qualquer dispositivo”.
As empresas têm sido rápidas ao reconhecer os custos
operacionais e os benefícios potenciais que a iniciativa
BYOD pode oferecer. No entanto, BYOD também significa
que você se depara com um aplicativo de segurança em
toda uma gama quase ilimitada de dispositivos móveis incluindo uma vasta linha de Android, iPhone, BlackBerry,
31
Symbian, Windows Mobile e dispositivos Windows Phone
que podem nem mesmo pertencer ao negócio.
Felizmente, alguns fornecedores de segurança reconheceram que uma TI cada vez mais complexa contribui para
pesadelos de segurança. Então, eles gentilmente desenvolveram novas soluções de segurança inovadoras que
simplificam a tarefa de proteger a TI complexa - incluindo
dispositivos móveis e BYOD.
A
DIC
Para obter mais informações sobre
questões de segurança móveis e soluções,
Segurança Móvel & BYOD para Leigos está
disponível em todas as boas livrarias. Bem, na
verdade, não está dispo-nível em todas as lojas,
mas você pode obter uma cópia gratuita no site:
http://brazil.kaspersky.com/
produtos-para-empresas.
Antivírus ou anti-malware?
Algumas empresas caem na armadilha de pensar que vírus
e malware são a mesma coisa - e isso os leva a acreditar que
não há diferença entre os produtos antivírus e anti-malware.
No entanto, isso simplesmente não é verdade, e de fato é um
erro que pode custar muito caro.
A maioria das pessoas está familiarizada com os tipos de vírus
que podem se espalhar de computador para computador.
No entanto, malware - que é a abreviação de software malintencionado - é o nome dado a uma gama muito maior de
software hostil. Malware inclui vírus, worms, cavalos de Troia,
ransomware, keyloggers, spyware e muitas outras ameaças.
Assim, um produto de software que oferece recursos antimalware protege seus computadores e informações de muito
mais do que apenas vírus.
32
As ameaças de hoje são cada vez
mais perigosas
Praticamente todo mundo tem algum nível de compreensão
sobre vírus de computador. A maioria das pessoas foi
sujeita a uma infecção por vírus desagradável (em seu PC não estamos falando de seu corpo), ou conhece alguém que
sofreu um ataque desse tipo no passado. No entanto,
grande parte dessa experiência - e as anedotas que os
amigos e família se lembram - podem datar da época do
vandalismo cibernético, quando o desenvolvimento de
malware era para se divertir. Hoje, os cibercriminosos usam
malware para ganho financeiro.
Os anos de baixo risco se foram
Anos atrás, vândalos cibernéticos muitas vezes eram
estudantes e crianças em idade escolar que procuravam
mostrar suas habilidades de computação e de hacker.
Eles criavam e distribuíam vírus que causavam um nível
de perturbação em máquinas infectadas. Talvez o vírus
apagaria alguns arquivos ou faria o computador da vítima
‘desligar’. Apesar de ter sido em grande parte uma questão
de decisões más por parte dos desenvolvedores de vírus,
os programas poderiam causar alguns inconvenientes.
No entanto, esses vírus raramente causaram problemas
significativos em curso para as empresas e não tentaram
roubar fundos de indivíduos ou empresas de prestação
de contas bancárias. Além disso, o software antivírus
básico era muitas vezes suficiente para repelir a maioria
desses ataques.
33
O vandalismo simples abriu caminhos
para o cibercrime sério
Nos últimos anos, os jovens geeks de computador têm
voltado sua atenção para jogos online que lhes dão a
oportunidade de mostrar seu talento. Ao mesmo tempo e mais importante - com a ascensão inexorável no uso de
processos de negócios com base na Internet e transações
financeiras online, estamos todos muito mais dependentes
da Internet e do comércio eletrônico. Isso tem atraído
a atenção de criminosos. A era relativamente inocente
do vandalismo cibernético passou, e uma presença muito
mais ameaçadora se esconde na Internet.
A
Os cibercriminosos têm sido rápidos ao reconhecer as oportunidades para desenvolvimento de
malware e golpes na Internet, os quais fazem
muito mais mal do que os vírus à moda antiga.
Em vez disso, estes novos ataques estão focados
em roubar informações, dinheiro e qualquer
outra coisa de valor para o cibercriminoso.
Não se engane, não se trata apenas de amadores.
Os cibercriminosos com habilidades técnicas
consideráveis estão constantemente desenvolvendo novos métodos de ataque às empresas.
Na maioria dos casos, eles são motivados pelo
ganho financeiro - seja diretamente roubando
dinheiro da conta bancária de uma empresa,
roubo de dados corporativos sensíveis para
vender no mercado negro, ou extorquindo pagamentos da empresa através de outros meios.
Além disso, através da “colheita” de informações pessoais
de laptops, servidores de uma empresa e dispositivos
móveis, os cibercriminosos podem realizar golpes de roubo
de identidade e roubar dinheiro de indivíduos associados
ao negócio.
O
VIS
34
Nossa dependência de computadores também tornou
mais fácil para os atacantes perturbarem os sistemas de
negócios, como uma forma de protesto social ou político
(o chamado “hacktivismo”).
Conheça o inimigo e saiba seus métodos
Malware e ameaças de segurança de TI podem ter um efeito
prejudicial sobre qualquer negócio. Para as empresas
menores, os resultados podem ser fatais. Ao mesmo tempo
em que a lista a seguir não é uma lista exaustiva de todos os
tipos de ameaças, esta seção dá uma indicação de alguns
dos riscos de segurança que as empresas têm de enfrentar...
Vírus, worms e cavalos de Troia
Os vírus de computador e worms são programas maliciosos que podem se auto-replicar em computadores sem que
a vítima esteja consciente de que o seu dispositivo tornouse infectado. Cavalos de Tróia executam ações maliciosas
que não foram autorizadas pelo usuário. Cavalos de Troia
são incapazes de se auto-replicar, mas a conectividade
proporcionada pela Internet tornou fácil espalhá-los para
os cibercriminosos.
Se estes programas maliciosos atacam sua rede, eles
podem apagar, modificar ou bloquear o acesso aos dados,
perturbar o desempenho de seus computadores e roubar
informações confidenciais.
Cavalo de Troia de Porta dos Fundos
Portas dos fundos são usadas por cibercriminosos para
controlar remotamente máquinas que eles infectaram.
Tipicamente, os computadores infectados tornam-se parte
de uma rede maliciosa - conhecida como botnet - que
podem ser usados para uma grande variedade de
finalidades cibercriminosas.
35
Keyloggers
Keyloggers são programas maliciosos que gravam as teclas
que você pressiona no teclado do computador. Os cibercriminosos usam keyloggers para capturar dados confidenciais - incluindo senhas, números de contas bancárias
e códigos de acesso, cartão de crédito e muito mais.
Keyloggers muitas vezes trabalham em conjunto com
cavalos de Troia de portas dos fundos.
Spam
Na sua versão menos prejudicial, o spam é simplesmente
uma versão eletrônica do lixo eletrônico. No entanto, o
spam pode ser muito perigoso se for usado como parte de
uma campanha de mistificação da interface ou se incluir
links para sites infectados que faz download de vírus,
worms ou cavalos de Troia no computador da vítima.
Phishing
Phishing é uma forma sofisticada de ataque malicioso, no
qual os cibercriminosos criam uma versão falsa de um site
verdadeiro, como um serviço bancário online ou um site de
rede social. Quando a vítima visita o site falso, o site utiliza
métodos de engenharia social para obter informações
valiosas da vítima. Phishing é muitas vezes usado para
golpes de roubo de identidade e para roubar dinheiro
de contas bancárias e cartões de crédito.
Ransomware
Cavalos de Troia ransomware são projetados para extorquir dinheiro. Normalmente, o cavalo de Troia ou criptografa dados sobre a vítima no disco rígido do computador
- para que a vítima não possa acessar seus dados - ou
bloqueia totalmente todo o acesso ao computador.
O cavalo de Troia ransomware exige, então pagamento
para desfazer essas mudanças.
36
Infecções cavalo de Troia ransomware podem se espalhar
via e-mails de phishing ou podem ocorrer quando um
usuário visita um site que contém um programa malicioso.
Como os sites infectados podem incluir sites legítimos que
foram infiltrados por cibercriminosos, os riscos de pegar
uma infecção ransomware não são de modo algum
limitados a visitas a sites suspeitos.
Ataques distribuídos de negação de serviço (DDoS)
Os cibercriminosos usam ataques distribuídos de negação
de serviço, a fim de tornar o computador ou rede indisponível para o seu uso pretendido. As metas para esses
ataques podem variar. No entanto, o site de uma empresa
é muitas vezes o foco principal para um ataque.
Com a maioria das empresas, dependendo de seu site para
atrair e interagir com clientes, qualquer coisa que acarrete
no mau funcionamento do site, executado lentamente ou
deixando de permitir o acesso dos clientes, pode ser muito
prejudicial para o negócio.
Existem muitas formas diferentes de ataque DDoS. Por
exemplo, os cibercriminosos podem infectar grandes
quantidades de computadores de usuários inocentes e,
em seguida, usá-los para bombardear o site da empresa
alvo com um enorme volume de tráfego inútil. Isso pode
sobrecarregar os computadores que executam o site da
empresa vítima e fazer com que o site fique lento ou
falhe totalmente.
37
A
DIC
O que está incomodando o negócio?
Praticamente todos os aplicativos de software e sistema
operacionais que sua empresa executa são suscetíveis de conter
“bugs”. Muitas vezes, estes erros no código de computador não
podem causar nenhum dano direto. No entanto, alguns criam
vulnerabilidades que os cibercriminosos podem explorar a fim de
obter acesso não autorizado aos seus computadores.
Essas vulnerabilidades agem um pouco como se deixasse a porta
do escritório aberta - exceto pelo fato de que os cibercriminosos
não apenas marcham em sua área de recepção, eles ficam bem
no coração do seu computador. O uso de tais vulnerabilidades
para instalar malware está agora difundido, por isso é importante
manter os aplicativos atualizados e corrigidos (não ignore os
avisos de atualização de software ou os adie como um incômodo).
Algumas soluções de software de segurança incluem recursos
de “varredura de vulnerabilidades” - para identificar qualquer
aplicativo ou vulnerabilidades do sistema operacional no seu
negócio de TI da rede - e pode ajudá-lo a aplicar “remendos” que
corrigem as vulnerabilidades para que os cibercriminosos não
possam explorá-las.
Entendendo outros riscos
de segurança
Além dos tipos específicos de ataque que explicamos na
seção anterior, a sua empresa precisa se proteger contra
outros perigos.
38
Riscos ao usar Wi-Fi público
A
Com hotéis, aeroportos e restaurantes que oferecem aos
clientes acesso gratuito a uma conexão Wi-Fi pública, é fácil
verificar o e-mail e acessar as informações de negócios
quando você está fora. No entanto, é também muito fácil
para os cibercriminosos espionarem redes públicas de
Wi-Fi e capturar informações que você envia ou acessa.
Isto poderia significar que os criminosos ganhariam acesso
direto às suas contas de e-mail de negócios, a sua rede de
negócios de TI e suas senhas para transações financeiras.
O
VIS
Online Banking e a necessidade
de segurança adicional
Usar Online Banking tornou-se um mecanismo extremamente
importante para muitas empresas. É conveniente e economiza
tempo. No entanto, sempre que você estiver realizando todas as
transações financeiras online, você pode estar no seu estado
mais vulnerável.
Os cibercriminosos desejam monitorar computadores de suas
vítimas e dispositivos móveis, a fim de saber quando a vítima está
visitando um site de banco ou serviço de pagamento online. Em
seguida, programas especiais keylogger podem capturar as
informações digitadas. Isso significa que o cibercriminoso pode
roubar sua senha furtivamente - para que ele possa acessar sua
conta e roubar seu dinheiro, sem você saber.
Felizmente, alguns produtos de software de segurança incluem
tecnologias que fornecem camadas adicionais de proteção
quando você está realizando transações financeiras online.
39
Spear phishing
Spear phishing é outra forma sofisticada de ataque.
O cibercriminoso procura capturar informações pessoais talvez por espionagem em uma conexão Wi-Fi pública.
Mais tarde, o cibercriminoso que utiliza informações
pessoais para adicionar um verniz de credibilidade a um
e-mail de phishing que tem como alvo um negócio.
Por exemplo, se o cibercriminoso consegue acessar um
dos posts do seu empregador em um site de rede social
e descobre alguns detalhes sobre o recente feriado do
funcionário, o cibercriminoso pode depois usar essa
informação em um e-mail de phishing. Quando o
empregado recebe um e-mail de alguém fingindo ser um
colega - e aquele e-mail menciona alguns detalhes sobre
férias do empregado - é mais provável se parecer com um
e-mail verdadeiro. E, se a mensagem pede ao empregado
para clicar e confirmar o acesso à rede da empresa,
o cibercriminoso pode capturar as senhas de acesso
necessárias.
Laptops perdidos
Todos nós já lemos sobre aqueles indivíduos infelizes que
já deixaram seus laptops em táxis, trens ou restaurantes.
O potencial de informações de negócios altamente
sensíveis caindo nas mãos erradas é alarmante. Quando
isso acontece, pode danificar seriamente a reputação do
negócio de uma organização e resultar em multas pesadas.
Uma saída é escolher uma solução de segurança que
criptografa as informações da empresa para que, mesmo
se um laptop for perdido ou roubado, seja praticamente
impossível que cibercriminosos acessem as informações
no disco rígido do laptop.
40
Entendendo a criptografia
A criptografia é uma forma particularmente astuta de vencer os
criminosos em seu próprio jogo. Assim como espiões na versão
mais recente de cinema codificam as mensagens de forma que
apenas os seus destinatários pode entendê-las, a criptografia
permite codificar informações sensíveis do seu negócio - por isso
as informações não podem ser decodificadas sem a chave de
decodificação necessária.
Isso significa que se alguma das informações confidenciais da
sua empresa for acessada por cibercriminosos, eles não serão
capazes de vê-la em sua forma legível - a menos que tenham a
sua chave secreta de decodificação.
No caso de um membro de sua equipe perder seu laptop ou
esquecer um cartão de memoria USB cheio de informações
confidenciais, se os dados no laptop ou cartão de memória já
tiverem sido criptografados, você pode evitar o constrangimento
de vazamento de informações.
As ameaças móveis
Indivíduos e empresas podem ambos cair na armadilha de
pensar que os seus smartphones e iPhones são apenas
telefones. Eles não são: eles são poderosos computadores
que podem armazenar uma grande quantidade de
informações confidenciais da empresa - assim, perda ou
roubo de um aparelho celular pode causar graves violações
de segurança. Se um smartphone perdido ou roubado não
estiver protegido com um PIN (ou, melhor ainda, um código
mais longo), quem acessa pode simplesmente acessar
qualquer conta online usada no dispositivo.
41
No entanto, algumas soluções incluem recursos de
segurança operados remotamente - tais como os que lhe
dão a possibilidade de contato com o seu telefone perdido
e permissão para ‘limpar’ todos os dados dele.
Se a sua solução de segurança escolhida também
incluir um recurso de criptografia de dados, isto
também pode adicionar uma camada adicional de
proteção. Mesmo se um criminoso encontrar
o telefone antes que você perceba a sua falta e você ainda não tenha tido a chance de limpar
seus dados - o fato de que as informações sobre
o telefone foram criptografadas garantem que
o criminoso não conseguirá ler os dados.
Além disso, como smartphones e tablets de hoje são
realmente computadores, eles são vulneráveis a um volume
crescente de malware e ataques que se tornaram comuns
em desktops e laptops - incluindo vírus, worms, cavalos
de Troia, spam e phishing. Portanto, é imprescindível
a utilização de software de segurança para proteger
dispositivos móveis (para saber mais, obtenha a sua cópia
gratuita do Mobile Security & BYOD para Leigos no site:
http://brazil.kaspersky.com/
produtos-para-empresas).
A
DIC
42
Capítulo 4
Planejamento para melhor
segurança da informação
Neste capítulo
▶ Beneficiando-se de uma simples avaliação de seus riscos
de negócios
▶ Melhorando a sensibilização para as questões de
segurança do seu pessoal
▶ Compreendendo como a computação em nuvem pode
afetar a segurança
▶ Avaliando os prestadores de serviços de computa-
ção em nuvem
Q
uando se trata de segurança de TI, algumas pessoas
pensam: “É tudo muito difícil. Vou cruzar os dedos e esperar pelo melhor”. Desejamos-lhes boa sorte com
essa abordagem. No entanto, quando os seus clientes
e parceiros de negócios começam a processar a empresa
como resultado de um incidente de perda de dados,
a empresa não deu realmente muito com que seu advogado
de defesa pudesse trabalhar. Assim, neste capítulo, vamos
considerar algumas medidas de segurança simples que você
pode introduzir sem gastar nada em software ou hardware e nós consideramos como a computação em nuvem pode
afetar a estratégia de segurança de uma empresa.
44
Negócio arriscado?
A realização de uma avaliação de risco pode soar como
uma tarefa onerosa que é melhor realizada por uma equipe
de cientistas com jalecos brancos e pranchetas. No entanto,
se você está interessado em melhorar a segurança da
informação, nesta seção nós compartilharemos alguns
conceitos simples que formam a base de uma avaliação de
valor dos riscos que a sua empresa enfrenta.
Comece fazendo a si mesmo algumas perguntas básicas:
✓Onde as informações da minha empresa estão
armazenadas?
✓Qual é o valor destas informações - para o meu
negócio e para um responsável por um ataque em
potencial?
•Quais seriam as consequências para o meu
negócio, se qualquer informação confidencial
caísse nas mãos erradas?
•Como é que um vazamento de informações
afetaria as relações do meu negócio com clientes,
colaboradores e parceiros de negócios?
•Qual seria o custo provável - em termos de perda/
penalidades financeiras e reputação empresarial
danificada?
✓O que meu negócio está fazendo para proteger as
informações confidenciais?
✓As disposições de segurança da informação da minha
empresa são adequadas?
•Como essas disposições de segurança se
comparam com a norma prevista dentro do meu
setor de mercado e para o meu tamanho de
negócio? (Não se esqueça, conforme seu negócio
cresce, você provavelmente vai precisar
45
implementar níveis mais elevados de segurança da
informação.)
•Será que um tribunal concorda que a segurança
da minha empresa é suficiente? (Uma resposta
honesta a essa pergunta pode acabar com
qualquer empresa que esteja tentando varrer toda
a questão para debaixo do tapete ao mentir para si
mesma que uma segurança inadequada é boa!)
✓Qual é a probabilidade de o meu negócio sofrer um
vazamento de informações confidenciais? (Lembre-se,
isso poderia resultar de um evento simples, como a
perda de um laptop ou smartphone. Não importa
o quanto você é diligente, até que ponto os seus
funcionários são cuidadosos?)
Suas respostas serão úteis para ajuda-lo a decidir sobre
como proceder para melhorar a segurança da informação.
Educando funcionários na arte da segurança
Quando se trata de proteger informações valiosas,
“o precavido vale por dois” (“quatro braços” também
ajudariam a tirar mais proveito do seu dia de trabalho mas, a menos que o seu negócio seja na indústria biônica,
isso nunca vai acontecer!). Então, certificar-se de que você
e seus funcionários estejam cientes da grande variedade de
riscos de segurança - e como evitá-los - é essencial.
É surpreendente como muitas empresas não conseguem
dedicar esforços o suficiente para espalhar a notícia sobre
a melhor prática de segurança entre o seu pessoal - apesar
de que educar os funcionários sobre os riscos de segurança
e como evitá-los pode ser uma das formas mais rentáveis
de tornar a vida mais difícil para cibercriminosos.
Trazer funcionários para o seu lado na batalha por uma
melhor segurança não precisa ser difícil:
46
✓Considerar todos os riscos do cibercrime que podem
afetar o seu negócio e decidir sobre como seus
funcionários podem ajudar a evitar esses riscos de
malware potenciais. Apesar do caráter sofisticado das
ameaças de hoje, muitos ataques começam simplesmente enganando alguém para fazer algo que põe em
risco a segurança do negócio, tal como clicar em um
link num e-mail que lança pishing.
✓Elaborar e compartilhar uma política de segurança
que defina claramente como você espera que sua
equipe se comporte com relação à manutenção da
segurança e eliminação de riscos desnecessários.
✓Realizar sessões de sensibilização do pessoal regularmente. Destinam-se a aumentar a conscientização
sobre questões principais, tais como:
•A necessidade de usar senhas diferentes para cada
aplicação e conta.
•Os perigos do Wi-Fi público e como evitá-los.
•Como detectar tentativas de lançamento de
phishing.
•As consequências da perda de um dispositivo
móvel para segurança.
✓Aplicar a política de segurança da sua empresa - por
exemplo, certificando-se de que todos usam senhas
fortes para proteger o acesso a informações de
negócios, contas bancárias e muito mais (veja a barra
lateral “O que faz com que uma senha seja forte?”
para obter dicas sobre isto).
✓Revisar a política de segurança, como e quando
surgem novos riscos ou adotar novos processos de
trabalho.
✓Executar cursos de reciclagem para manter as questões de segurança em mente para seus funcionários.
47
✓Certifique-se de que os novos funcionários recebam
sessões de sensibilização para a segurança como
parte de sua indução.
A
DIC
O que torna uma senha forte?
Se um de seus funcionários configurar uma senha baseada em
uma palavra fácil de lembrar ou uma simples sequência de
números, um cibercriminoso pode facilmente adivinhar a senha.
Senhas fortes usam uma combinação de letras maiúsculas e
minúsculas, números e símbolos especiais. Elas devem ter oito
caracteres de comprimento, no mínimo.
Certifique-se de que nenhum dos seus funcionários use a mesma
senha para vários aplicativos e/ou contas diferentes da Internet.
Se um cibercriminoso consegue descobrir a senha do Facebook
de um funcionário, esta não deve ser a mesma senha que dá
acesso ao cibercriminoso para o sistema de e-mail empresarial.
Nas nuvens
Nos últimos anos, a fama da computação em nuvem tem
crescido. Empresas de todos os formatos e tamanhos estão
avaliando o potencial da nuvem para simplificar o armazenamento de informações e reduzir custos operacionais. Em
muitos casos, pequenas e médias empresas têm estado na
vanguarda do movimento para a nuvem.
Às vezes, as organizações menores podem ser mais rápidas
do que as grandes empresas para adotar novas estratégias
de negócios. Ao mesmo tempo, as empresas menores
costumam ser mais conscientes da necessidade de se
concentrar em suas atividades principais. Então, qualquer
coisa que permita a empresa a subcontratar atividades não
48
essenciais de TI para um terceiro pode ser vista como
benéfica.
Com ou sem nuvem, suas informação
são sua responsabilidade
Se você está pensando em usar a computação em nuvem,
esteja ciente de que terceirizar o armazenamento de suas
informações de negócio - e a entrega de alguns ou de todos
os seus aplicativos - não exime o seu negócio de suas
responsabilidades de segurança. Também não garante
automaticamente que as suas informações confidenciais
de negócios estejam totalmente protegidas. Ainda são
informações da sua empresa, independentemente do local
onde estão armazenadas. Assim, a proteção dessas
informações ainda é de sua responsabilidade - e isso
é exatamente como a lei encara suas obrigações.
Considere também como você está acessando essas
informações diariamente. Mesmo que o seu fornecedor
de serviços de nuvem tenha credenciais impecáveis e
segurança rigorosa, você ainda tem que se certificar de
que todos os dispositivos que a sua empresa usa para
acessar a informação têm a segurança adequada.
Você precisa executar uma solução de segurança local,
que proteja todos os desktops, notebooks, servidores
e dispositivos móveis que a sua empresa utiliza.
Uma necessidade constante de estar ‘ciente
da segurança’
Com uma solução de nuvem, você ainda precisa ter certeza
de que você e seus funcionários estão aderentes a todas as
melhores práticas que você definiu em sua política de
segurança. Por exemplo, senhas fortes ainda são necessárias para ajudar a prevenir o acesso não autorizado às
suas informações, e seus funcionários precisam continuar
se protegendo contra a perda de dispositivos móveis.
49
Você também precisa avaliar todos os riscos de segurança
da informação potenciais e assegurar que a sua equipe
esteja ciente de precauções de segurança simples. Na
verdade, a única coisa que a nuvem muda é que as
informações serão armazenadas fora do local por um
fornecedor terciário.
Atenção com os catches em nuvem
O mercado de computação em nuvem está razoavelmente
estabelecido com alguns provedores de serviços em nuvem
muito capazes. No entanto, muitas soluções de armazenamento em nuvem foram desenvolvidas para os consumidores. Em alguns casos, a segurança pode ter sido pouco
mais do que uma reflexão tardia e pode ser insuficiente
para usuários empresariais.
Considere as seguintes perguntas quando você está
selecionando um fornecedor:
✓Quem será o dono das minhas informações de
negócios, quando elas estiverem sendo armazenadas
na nuvem?
✓O que acontece se o provedor de serviços em nuvem
parar de comercializar?
•Eu ainda vou ser capaz de acessar minhas
informações?
•Haverá um período de tempo de inatividade,
enquanto as minhas informações estiverem sendo
transferidas para outro provedor de serviços para
armazenamento?
•Será que o fornecedor original ainda terá cópias
das minhas informações - e há alguma maneira de
garantir que estas cópias serão excluídas?
✓Como faço para cancelar o meu contrato?
50
•Se eu terminar, como faço para transferir minhas
informações de negócios?
•Existe um processo simples e rápido para mover
meus dados armazenados para um novo
fornecedor?
✓Até que ponto são robustos os computadores que
o fornecedor utiliza para armazenar meus dados e os
sistemas de comunicação que o fornecedor utiliza
para fazer a minha informação acessível quando eu
precisar dela?
•O fornecedor garante o acesso permanente às
minhas informações (para que eu possa acessar
informações importantes quando eu precisar e não
ser afetado pelo fornecedor constantemente
reivindicando que o seu “sistema está fora de
serviço”)?
•O fornecedor tem tecnologia adequada para
garantir uma rápida recuperação a partir de uma
grande falha ou um ataque a seus sistemas de
computação - sem que isso afete a segurança e
acessibilidade das minhas informações?
•Qual o nível de segurança que o fornecedor
oferece para proteger minhas informações contra
perda e acesso não autorizado? (Lembrando que
eu ainda preciso executar software de segurança
em todos os computadores e dispositivos móveis
que uso para acessar essas informações.)
✓Onde as minhas informações serão armazenadas?
•O armazenamento fora do país levantará questões
legais ou de conformidade para o meu negócio?
A
DIC
Você nunca contemplaria deixar seu filho sob
os cuidados de alguém que você não houvesse
verificado e não confiasse totalmente. Da mesma
51
forma, se o seu negócio for o seu ‘bebê’, você
precisa investir um pouco de tempo para avaliar
qualquer provedor de serviços em nuvem em
potencial, a fim de assegurar que as informações
confidenciais e sensíveis do seu negócio estariam
seguras sob seus cuidados.
A
Pode haver alguns argumentos muito convincentes
para mover o armazenamento de informações - e alguns
aplicativos de software - para a nuvem. No entanto, você
precisa adentrá-la com os olhos bem abertos. Mesmo que
a computação em nuvem possa ajudar a simplificar alguns
aspectos, ela também pode adicionar uma nova camada
de complexidade quando se trata de escolher e gerenciar
o seu provedor de serviços em nuvem.
O
VIS
A computação em nuvem não diminui suas
obrigações para proteger informações confidenciais. É sua a responsabilidade de proteger as
informações confidenciais - e é sua responsabilidade se você escolher um fornecedor que lhe
decepciona com segurança inadequada.
52
Capítulo 5
Escolhendo software de segurança
para atender ao seu negócio
Neste capítulo
▶ Selecionando o fornecedor de software de segurança
certo para você
▶ Garantindo que você receba o apoio necessário
▶ Pensando em como as suas necessidades de segurança
da informação podem mudar
▶ Decidindo sobre o nível ideal de software de segurança
E
ntão, você já avaliou os riscos de segurança para o seu
negócio e educou sua equipe sobre a importância da
segurança da informação (claro, se você é a soma total dos
funcionários, este poderia ser um curso de formação
bastante curto). Agora é a hora de escolher a solução de
software de segurança que está em melhor posição para
ajudar a proteger o seu negócio.
Selecionando o fornecedor certo
Quando você está tentando escolher entre vários softwares
de segurança de TI disponíveis no mercado, o objetivo
é de selecionar um que seja capaz de se adaptar à forma
como suas necessidades podem mudar quando o seu
negócio crescer.
54
A
DIC
Mostre algum apoio!
Pergunte aos fornecedores sobre o nível de suporte que você terá
se problemas surgirem quando você estiver operando o software
ou se a sua empresa sofrer um ataque ou violação de segurança.
Ser capaz de pegar o telefone e ter alguém orientando-o através
de todas as questões complicadas, não é apenas conveniente e
reconfortante - também poderia poupar-lhe muito tempo e ajudar
a obter os seus computadores e processos de negócio instalados
e funcionando novamente o mais rápido possível.
Por outro lado, se um fornecedor espera que você procure em sua
base de conhecimento online e encontre a sua própria solução
para a dificuldade, isso pode desviá-lo das atividades comerciais
importantes por um tempo significativo. E não é incrível como
esses tipos de incidentes parecem aguardar o momento quando
você está mais ocupado - com um prazo apertado para concluir
aquela proposta detalhada para o negócio da sua vida!
Tente selecionar um fornecedor que ofereça suporte local. . .
na sua língua local. . . no seu fuso horário local.
Escolher um fornecedor de segurança de apoio é uma
parte importante do processo de seleção. Enquanto o
mercado inclui alguns excelentes produtos de software de
segurança e pacotes que oferecem uma série de tecnologias
de segurança anti-malware e Internet, considere o que pode
acontecer quando o seu negócio supera o pacote que você
comprou:
✓Será que o seu fornecedor escolhido é capaz de
oferecer outros pacotes mais abrangentes, para os
quais você pode migrar?
55
✓O produto permite que você inclua recursos extras
para que você possa proteger novas adições à sua TI,
como servidores virtualizados, sem alterar seu
produto de segurança ou ter de obter ajuda especializada para resolver todos os problemas de integração
demorados?
Estas perguntas podem não parecer vitais agora. No entanto, conforme a sua empresa cresce, elas podem ajudá-lo a
evitar a interrupção e os custos associados com a necessidade de mudar de um fornecedor de segurança para outro.
Obtendo mais - em menos tempo
Para qualquer negócio, é importante identificar soluções de
software que sejam fáceis de usar. Afinal, quem quer passar
horas intermináveis criando e gerindo software de segurança, quando uma solução superior pode automatizar
muitos processos de segurança e deixá-lo com mais tempo
para outras atividades de negócio?
Facilidade de uso é vital - especialmente se você não tiver
especialistas em segurança de TI na empresa. No entanto,
mesmo que o seu negócio cresça e você potencialmente
contrate pessoal especialista em TI e segurança, um
software de segurança fácil de usar ajuda a aumentar a sua
produtividade.
Simplificando o gerenciamento de segurança
A interface de usuário para a maioria dos softwares de
segurança é muitas vezes indicada como um console de
gerenciamento. Um pouco como os diversos mostradores,
luzes e interruptores no painel de um carro, o console deve
dar-lhe uma visão geral rápida de como o produto está
funcionando, indicar quaisquer questões das quais você
precisa estar ciente e permitir que você faça ajustes. Parece
bastante simples - mas alguns fornecedores de software
não deixam as coisas tão fáceis quanto poderiam ser.
56
Alguns fornecedores de software de segurança
esperam que os seus clientes usem vários
consoles de gerenciamento diferentes, a fim de
controlar as diversas tecnologias de proteção
diferentes dentro do pacote do fornecedor do
produto. Às vezes, isso é porque o fornecedor de
segurança adquiriu tecnologias diferentes, como e
quando eles compraram de outras empresas de
segurança. Seja qual for a razão, a necessidade de
se usar vários consoles pode ser demorada e
potencialmente muito confusa para o operador.
Por outro lado, algumas soluções de segurança permitem
que você visualize, controle e defina políticas para todas as
tecnologias de segurança do pacote - por meio de um único
console de gerenciamento unificado. Isso pode significar
que você só tenha que se familiarizar com uma interface
intuitiva que dá uma visão clara de todas as tecnologias de
proteção do fornecedor que estão sendo executadas em
sua rede de computação.
Se você for pessoalmente responsável por gerenciar
o software de segurança da sua empresa, este nível de
usabilidade e capacidade de gerenciamento significa que
você tem mais tempo para todos os outros aspectos muito
mais importantes do seu negócio. No entanto, mesmo se
você estiver usando um especialista externo ou interno de
TI para manter o seu software de segurança funcionando
como deveria, se você tem um console de gerenciamento
fácil de usar, isto pode ajudar a controlar os custos e
aumentar a eficiência.
A
O
VIS
Reportando de volta a você
Qualquer produto de segurança que lhe oferecer a flexibilidade necessária para gerar uma ampla gama de
relatórios sobre o status de segurança e vulnerabilidades
em sua TI - incluindo dispositivos móveis e BYOD - pode
57
ajudar a dar-lhe muito mais visibilidade quanto a qualquer
problema.
High Flyer ou Estilo de Vida de Negócio:
Identificando suas Necessidades de Segurança
Levar um pouco de tempo para dar uma olhada objetiva
em seu negócio e as suas aspirações realmente vale a pena.
Pode ser tentador ter uma visão de fanfarrão e se empolgar
ao imaginar que um dia o seu negócio será uma multinacional capaz de rivalizar com os maiores conglomerados.
No entanto, nem todo dono de empresa quer isso para
o seu negócio.
É claro que muitas empresas têm crescido passando de
origens humildes na mesa da cozinha ou na garagem a
campeãs mundiais.
No entanto, se o seu é um “negócio de estilo de vida” no qual o seu objetivo principal é crescer sua receita de
negócios para um nível que financia um bom estilo de vida
para você e sua família - não há decididamente nenhuma
vergonha nisso. Reconhecer o que você quer pode ajudá-lo
a fazer as escolhas ideais quando se trata de investir em TI
e segurança.
O truque é compreender:
✓Que tipo de negócio você tem agora.
✓Como o seu negócio poderia estar dentro de um ano. . .
e além disso.
Armado com estas informações, você estará em uma
posição muito melhor para decidir como suas necessidades
de segurança da informação podem mudar. Então você
pode se concentrar na escolha de um produto de software
de segurança que é certo para o seu negócio agora, e
possui flexibilidade e escalabilidade suficiente para se
adaptar conforme o seu negócio precise de mudanças.
A
58
O
VIS
A escolha da solução de segurança errada pode
não ser catastrófica - mas poderia custar-lhe
tempo e dinheiro, agora ou no futuro.
De segurança familiar a proteção
de nível de negócios
Produtos de software de segurança estão disponíveis para
todos os tamanhos de negócios. A solução ideal para você
depende de uma série de fatores.
Produtos de segurança para usuário doméstico
Se a TI de seu negócio começou apenas com o seu próprio
laptop pessoal, há chances de que você já estivesse
executando uma das muitas soluções de segurança destinadas a usuários domésticos. Alguns excelentes pacotes
voltados ao consumidor combinam tecnologias de
segurança anti-malware e tecnologias inovadoras de
segurança na Internet. Alguns até oferecem camadas
adicionais de proteção para operações bancárias online,
e outras transações financeiras na Internet.
Para as empresas com poucos funcionários, um produto
de usuário doméstico pode ser a solução ideal. No entanto,
com a falta de produtos de consumo no mercado,
você precisa gastar um pouco de tempo avaliando as
características e funções que cada produto oferece.
Uma solução que só oferece proteção antivírus não será
o suficiente no ambiente de alta ameaça de hoje.
Normalmente, o software de segurança que está voltado
para o usuário doméstico pode ser bom para os negócios
de uma a quatro pessoas - desde que a licença de software
permita que entidades comerciais possam utilizar o
software. No entanto, a maioria dos pacotes de usuário
doméstico pode ser difícil de gerir quando cinco ou mais
59
pessoas o usam dentro da empresa. Estes tipos de pacotes,
muitas vezes não se tornam mais fácil - ou rápidos - para
aplicar a mesma configuração de segurança e opções em
todos os laptops, desktops e dispositivos móveis que a
empresa utiliza.
A
O
VIS
Se você está com o objetivo de ampliar o seu
negócio de forma significativa, você poderá
acabar em breve com uma extensa e complexa
infraestrutura de TI. Assim, a escolha de um
produto de segurança de usuário doméstico - que
não pode crescer com o seu negócio - pode levar
a uma movimentação cara e prejudicial para uma
nova solução em um estágio crítico no
crescimento da sua empresa.
Antivírus de software gratuito
Se você estiver usando um software de antivírus gratuito,
você pode querer continuar usando o mesmo software
de segurança quando o negócio começar a expandir.
Ao mesmo tempo em que isso poderia ser uma solução
razoável para alguns requisitos de segurança, vale a pena
considerar exatamente o que o software gratuito
proporciona - e o que não proporciona.
Ele oferece todas as tecnologias necessárias para se defender contra as últimas ameaças contra a segurança e as
novas formas sofisticadas através das quais cibercriminosos tentam roubar informações valiosas? Se ele só inclui
capacidades de antivírus e alguns adicionais de segurança
na Internet, pode não ser adequado para se proteger contra
toda a gama de ameaças.
Muitos pacotes de software gratuitos não são destinados
ao uso por empresas. Os termos e condições da licença
gratuita, muitas vezes impedem o uso por qualquer
organização comercial. Assim, usar software gratuito pode
60
ser ilegal. Em outros casos, o fornecedor do software
gratuito cobrará uma taxa quando o software for utilizado
por uma empresa.
A
DIC
Cachorrinho gratuito para um bom lar. . .
Que grande negócio! Você sempre quis ter um cão fiel ao seu
lado - e desta forma você evitou as taxas que os criadores de
cães exigem. Ok, é um vira-lata, mas é o seu vira-lata e, melhor de
tudo, totalmente gratuito.
Gratuito. . . Além do trabalho, a bagunça (desculpe trazer isso à
tona, mas é o seu cão - assim você terá de limpá-lo), e todas
aquelas despesas. Sim, você tinha contabilizado o custo das
vacinas e as visitas de rotina ao veterinário, mas você pensou
que ele mastigaria tanto a sua mobília?
Na realidade, não há muita coisa na vida que seja
verdadeiramente gratuita. Muito parecido com o seu cachorro
gratuito, software de segurança gratuito pode ter custos ocultos.
Pode ser que a versão gratuita do software continue a piscar
anúncios de produtos de terceiros ou passe o tempo tentando
vender-lhe as virtudes de sua versão premium ‘paga’. De qualquer
maneira, sendo um conjunto de anúncios de banner ou esforços
do pacote para lhe vender versão atualizada do software, essas
distrações podem afetar a produtividade de seus funcionários.
Mesmo que o software não faça nenhuma dessas coisas, você
pode achar que quando você precisar de qualquer apoio do
fornecedor de software, isso poderia ser caro.
Soluções de segurança para grandes empresas
Tendo adquirido uma compreensão das ameaças por aí,
você pode optar por ir direto ao ponto e comprar a solução
de segurança mais completa do mercado.
61
A
No entanto, isso pode realmente não ser ideal para um
negócio pequeno.
Muitas empresas não conseguem perceber que, para a
maior parte dos produtos de software, há uma relação
inversa entre a funcionalidade e a facilidade de uso.
Produtos que incluem funções que apenas empresas de
grande porte precisam, podem ser muito mais difíceis de
configurar e gerenciar, quando comparados a produtos que
foram desenvolvidos com empresas de pequeno porte em
mente.
Assim, a empresa de pequeno porte que decide simplificar
o processo de seleção - por apenas escolher o produto de
software mais abrangente - pode tornar a vida difícil até
algum momento no futuro distante. . . quando o negócio
eventualmente crescer o suficiente para usar seu software
de segurança escolhido! Por outro lado, você também
precisa saber que, conforme seu negócio cresce, o seu
fornecedor de segurança escolhido pode ajudar você a
gerenciar suas novas necessidades de segurança - sem ter
de tirar o seu produto já existente e começar tudo de novo.
O
VIS
Soluções de segurança para empresas de grande
porte podem incluir tecnologias avançadas que
protegem ambientes complexos. No entanto, se a
sua rede é relativamente simples - e é provável
que continue assim - você pode estar pagando
por recursos que você nunca vai usar. Além disso,
uma solução de segurança excessivamente
complexa pode ser muito mais complexa para
ser executada. . . em todas as fases de sua vida.
A partir da configuração inicial, através de gestão
em curso, uma solução de nível corporativo pode
ter habilidades e tempo que uma empresa de
pequeno porte pode não ter de sobra. Simplificando, as soluções de nível corporativo muitas
vezes assumem que os recursos de nível
62
empresarial e conhecimentos de TI de nível
corporativo estão à mão.
Segurança em nível de consumidor proativo
Segurança de consumidor proativo? Sim, é um desses
termos inventados por tipos marqueteiros afiados de terno
- mas o que isso realmente significa? (A propósito, se você
estiver gerenciando uma agência de marketing ... só queria
dizer que você fica muito bem de terno!)
Na sua forma mais eficaz e útil, soluções de segurança em
nível de consumidor proativo constróem uma ponte entre
produtos fáceis de usar que foram desenvolvidos para
usuários domésticos e produtos de nível corporativo que
podem fornecer funcionalidade extra, mas podem ser mais
complexo de configurar e gerenciar.
A
Assim, produtos para consumidor proativo pretendem
combinar as capacidades estendidas que as empresas
exigem, além da facilidade de uso que é necessária quando
a empresa não tem uma equipe de especialistas em
segurança de TI no local. Quando os fornecedores de
segurança obtiverem este equilíbrio, os produtos de
consumidores proativos oferecem uma combinação
irresistível para muitas empresas.
O
VIS
Há uma grande diferença entre um produto de
segurança que foi desenvolvido “a partir do zero”
para satisfazer as necessidades de empresas de
pequeno porte, e um produto de nível corporativo
que foi simplesmente reembalado para o mercado
de pequenos negócios. Se um fornecedor está
vestindo seu produto de nível corporativo como
um produto de consumidor proativo, você
poderia acabar com uma segurança que é muito
complexa e demorada para ser executada.
63
Seja qual for o tamanho do seu negócio, certifique-se de
escolher um fornecedor que investiu tempo para
considerar os desafios únicos que uma organização como
a sua enfrenta, e desenvolveu uma solução de software que
é otimizada para empresas como a sua.
Quando a corporação encontra
o consumidor proativo
Somente para confundir ainda mais a questão, nem todos
os produtos de segurança de grandes empresas são
adequados para as pequenas empresas. É verdade que os
produtos que foram desenvolvidos sem pensar nos
desafios específicos que as empresas menores enfrentam
não são suscetíveis de serem adequados para as
organizações que não têm recursos de suporte de
segurança de TI no local. No entanto, há também uma
classe de produtos de segurança empresarial que tem
como base uma arquitetura simples e modular.
Aqui, o fornecedor pode oferecer vários níveis de
pacotes de software, com cada camada fornecendo uma
combinação diferente de tecnologias de proteção. O nível
mais baixo pode oferecer proteção de nível básico que é
bem adequado para as redes de TI simples nas quais
empresas de porte menor operam. Em seguida, as camadas
mais altas adicionam mais tecnologias de proteção, com o
produto final da camada oferecendo a segurança do
fornecedor em ambientes mais complexos de TI - incluindo
suporte para sistemas operacionais múltiplos e várias
plataformas de dispositivos móveis, segurança personalizada para ambientes virtualizados e tecnologias especiais
para proteger portais da Internet, servidores de e-mail e
muito mais.
64
LEM
Com esses produtos modulares, as empresas ambiciosas
podem se beneficiar de uma solução de segurança que
aumenta prontamente conforme elas crescem - sem o
negócio de ter de gerenciar a interrupção da migração de
uma solução de segurança relativamente pequena para
uma solução em nível corporativo.
M-SE
BRE
Se parecer que você tem muitas escolhas,
lembre-se que a gama de diferentes empresas é
quase ilimitada - e todas elas têm diferentes
requisitos de segurança. Então faça uma boa
escolha. Mesmo que demore um pouco de tempo
para entender os prós e contras das várias
opções, ao fazer isto significa que você será capaz
de selecionar a solução de segurança que
corresponda às suas necessidades.
Capítulo 6
Dez perguntas para ajudar
a identificar como proteger
o seu negócio
Neste capítulo
▶ Avaliando o que sua empresa precisa
▶ Avaliando suas obrigações legais
▶ Decidindo sobre a política de segurança
A
qui estão dez perguntas simples para ajudá-lo
a descobrir o que é necessário para proteger o seu
negócio contra a cibercriminalidade, malware e outros
riscos à segurança:
✓Você já avaliou os riscos potenciais de segurança para
o seu negócio e identificou quais informações e
computadores precisam ser protegidos?
✓Além de proteger os computadores, você também
precisa proteger os dispositivos móveis e um
programa de BYOD?
✓Você está ciente das obrigações legais e
regulamentares aplicáveis ao seu negócio no que diz
respeito à segurança de informações confidenciais?
66
✓Você já definiu algumas políticas básicas de segurança
que a empresa pode usar para manter a informação,
computadores e outros dispositivos de segurança?
✓Você já criou um programa de educação simples para
ajudar a melhorar a sensibilização para as questões
de segurança e motivar funcionários a evitarem falhas
de segurança?
✓Você já avaliou os produtos de software de segurança
disponíveis no mercado - com base na facilidade de
uso, níveis de proteção que eles oferecem e sua
capacidade de acomodar novas necessidades?
✓Será que o seu fornecedor de software de segurança
escolhido oferece o nível de apoio que você precisa na sua língua e no seu fuso horário?
✓Será que você se beneficia de funcionalidades de
segurança adicionais que fornecem uma camada
adicional de proteção para operações bancárias
online e transações financeiras?
✓Se você está adotando a computação em nuvem,
você tem verificado a adequação da segurança do
seu provedor de serviços em nuvem escolhido e os
termos do contrato?
✓Já escolheu um produto de software de segurança
capaz de proteger todos os computadores e
dispositivos móveis que a sua empresa utiliza para
acessar a informação que está armazenada em
nuvem?
As consequências de violações de segurança da informação
e os ataques cibercriminosos podem ser devastadores –
certifique-se que seu negócio e seus sistemas de TI estejam
protegidos por um produto de software de segurança
rigorosa. A seguir mais detalhes . . .
Segurança na qual o seu negócio pode
depender
Com as tecnologias de segurança premiada da Kaspersky Lab que
protegem seus computadores, informações comerciais e dispositivos
móveis, você pode utilizar mais tempo em suas atividades
principais. . . e menos tempo se preocupando com malware e
cibercriminosos.
Soluções de segurança para empresas
em crescimento
Kaspersky Endpoint Security for Businessoferece um produto
personalizado para atender às necessidades específicas do seu
negócio. Basta escolher o nível que se adapta às suas necessidades
empresariais. Conforme seu negócio cresce e sua rede de TI se torna
mais complexa, você pode passar para o próximo nível. . . todo
o caminho para a nossa solução de segurança máxima - Kaspersky
Total Security for Business.
Kaspersky Segurança Total para Negócios combina funções de
gerenciamento de sistemas essenciais para ajudar você a gerenciar
e proteger todos os seus endpoints:
✓ PCs com Windows, Macs e Linux
✓ Máquinas físicas e virtuais
✓ Dispositivos móveis - Android, iOS, Windows Phone,
Windows Servidores Mobile, BlackBerry e Symbian
✓ Arquivo, e-mail, Internet e colaboração
Para saber mais sobre o Kaspersky Endpoint Security for Business
e Kaspersky Total Security for Business , visite http://brazil.kaspersky.
com/produtos-para-empresas
Soluções de segurança para empresas
de pequeno porte
A Segurança para Escritórios de Pequenas Empresas 3 da
Kaspersky foi projetada especificamente para empresas que
necessitam de segurança de classe mundial. . . sem o incômodo
ou a necessidade de recrutar especialistas de segurança de TI.
Ela protege seus PCs Windows, laptops e servidores de arquivos
e dispositivos móveis Android contra as ameaças complexas de
hoje.
Com a Segurança para Escritórios de Pequenas Empresas da
Kaspersky, é rápido e fácil proteger seus sistemas de TI, serviços
bancários online e informações confidenciais da empresa incluindo as informações sigilosas que seus clientes confiam
a você:
• Líder na indústria, proteção em tempo real para PCs com
Windows e servidores de arquivos
• Tecnologias de Safe Money e Teclado Virtual - fornecem
segurança adicional para operações bancárias online
• Gerenciamento de senha - ajuda você a usar senhas
fortes. . . e mantê-las seguras
• Criptografia - mantém suas informações confidenciais. . .
confidenciais
• Controle da Web - aumenta a produtividade, restringindo
sites e bloqueando conteúdo malicioso
• Segurança móvel - protege smartphones e tablets
Android contra malware
Para descobrir como a Segurança para Escritórios de Pequenas
Empresas da Kaspersky pode proteger o seu negócio, visite
www.kaspersky.com/protectmybusiness
Dicas essenciais
como
Essential
tips onsobre
defending
defender
o seu negócio
your
business
against
contra
malware
e cibercrime
malware and cybercrime
Desde empresas recém-estabelecidas até
From
start-ups
to multinationals,
multinacionais,
todas
as empresas estão all
cada
vez mais dependentes
de computadores
e
businesses
are increasingly
reliant on
dispositivos and
móveis
- e issodevices
significa–que
computers
mobile
andelas
that
estão cada vez mais vulneráveis a ataques
means
they’re increasingly vulnerable to
maliciosos. Este livro fácil de ler traz dicas
malicious
sobre comoattacks.
protegerThis
suaseasy-to-read
informações debook
negócioyou
- incluindo
confidenciais
brings
tips oninformações
how to protect
your
sobre seusinformation
clientes - e como
protegersensitive
os seus
business
– including
computadores e dispositivos móveis contra
information
about your customers – and
vírus e outros malwares, assim você gasta
how
totempo
secureem
your
computers
mobile
menos
segurança
e maisand
tempo
no funcionamento
de seuand
negócio.
devices
against viruses
other malware,
so• Eyou
spend less time on security and
ntenda os riscos – saiba o que está em
more
your business.
jogotime
pararunning
o seu negócio
• S• aiba
mais sobre the
as ameaças
como
Understand
risks ––know
criminosos escolhem negócios
what’s at stake for your business
• Plano para se proteger – ao evitar
• Learn about
the threats
–
armadilhas
de segurança
comuns
how criminals
businesses
• Defenda
seus dadostarget
– com software
de segurança
fácil
de
usar
• Plan to protect – by avoiding
Abra othe
livro
Open
book
e descubra:
and find:
• Uma visão geral dos
• An
overview
métodos
típicosof
de
ataques de
cibercrime
typical
cybercrime
methods
• attack
Maneiras
simples
de aumentar a sua
• Simple
ways
to boost
segurança
da informação
your information
• Como escolher um
security
software de segurança
certo para o seu negócio
• How to choose
security software
that’s right for
your business
the common security pitfalls
Georgina Gilmore tem experiência
• Defend
– withde TI.
de mais
de 20your
anos data
na indústria
Georgina
é Diretora
Sênior da
Global
easy-to-use
security
software
Cliente B2B & Partner Marketing da
Kaspersky Lab. Peter Beardmore entrou
Georgina
Gilmore
has2008,
over 20
years’
experience
na Kaspersky
Lab em
com
amplas
inhabilidades
the IT industry.
Georgina de
is Senior
de marketing
TI e Director
of
Global B2B Customer
& Partner
gerenciamento
de produtos.
Ele Marketing
é Diretor
atSênior
Kaspersky
Lab. Peter
de Marketing
deBeardmore
Produto. joined
Kaspersky Lab in 2008 with extensive IT
marketing and product management skills.
He is Senior Director of Product Marketing.
Tornando tudo mais fácil!
Making Everything Easier!™
Vá para
Dummies.com® ®
Go
to Dummies.com
para
acessar
vídeos, exemplos
passo
for
videos,
step-by-step
examples,
a passo, artigos “como fazer” ou para
how-to articles, or to shop!
fazer compras!
ISBN: 978-1-118-84806-7
ISBN: 978-1-118-84041-2
Não é permitida a revenda
Not for resale