No post de hoje daremos alguns exemplos de erros cometidos pelas empresas ao gerenciar a segurança. Na verdade, são ações que podem gerar um grande desconforto para os usuários de uma rede. Por isso, cuidado para não cometer os mesmos erros! Evite uma dor de cabeça...
#1 Usam soluções com configurações padrão para todos, esquecendo as necessidades particulares
Se suas necessidades são diferentes e, por isso, devemos ter em conta essas diferenças, não podemos aplicar as soluções ou ferramentas por padrão. Usar o antivírus no “piloto automático”, não personalizar os filtros de email ou um sistema de detecção de intrusos pode ocasionar uma enorme dor de cabeça.
Não existe uma solução mágica que já vem prontinha para nos proteger, por isso, é muito importante contar com profissionais capacitados que possam tirar o maior proveito das ferramentas que serão implementadas.
Muitas vezes, por falta de um bom planejamento no projeto ou por apenas querer apressar as coisas, a configuração de uma ferramenta fica implementada da forma como vem da fábrica, fazendo com que não seja aproveitada em sua totalidade.
Além disso, dificilmente as soluções serão configuradas para atender as necessidades de todos os usuários, por isso, é provável que muitos terminem tendo problemas.
#2 O outro extremo: aplicam uma excessiva personalização que acaba complicando a administração
Não é necessário ir ao outro extremo e implementar soluções impossíveis de administrar. Exageradas configurações e excessivas personalizações fazem com que existam mais exceções do que regras ou, pior ainda, muitos falsos positivos.
Isso é muito comum na hora de implementar sistemas de detecção de intrusos (IDS), antivírus e outras ferramentas de detecção. São geradas muitas exceções ou falsos positivos, fazendo com que algo definitivamente não funciona bem e, às vezes, a ferramenta acaba perdendo a credibilidade. Se todos os dias o registro fica cheio de alertas impossíveis de analisar, no dia em que ocorrer um incidente, provavelmente você não preste atenção ou nem mesmo seja alertado. Dessa forma, a administração será tão tediosa que acabará não sendo útil.
#3 Exigem segurança sem proporcionar as ferramentas adequadas
Por outro lado, quanto mais fechada for uma solução, mais difícil será a sua implementação, maior o impacto e a resistência. Aqui temos um exemplo que é claríssimo: as senhas!
Uma senha segura deve ter letras, números, símbolos e mais de 15 caracteres; além disso, deve ser trocada a cada dois meses e não deve ser igual as últimas 10 chaves. Considerando esses aspectos, uma senha será segura... e provavelmente será colada em um papel no monitor do usuário...
Por isso, além de utilizar chaves seguras, também é importante que as pessoas possam lembrar delas, portanto, além de implementar uma política de senhas, também é fundamental instruir os usuários sobre métodos de criação de combinações que sejam fáceis de lembrar. Além disso, não podemos esquecer da importância de usar sistemas para o gerenciamento de senhas.
#4 Criam processos complicados demais
Outro exemplo são os longos e burocráticos processos, sobretudo para conseguir aprovações. Se conseguir a autorização para uma determinada conexão se torna algo tedioso e burocrático, acaba sendo mais fácil para o usuário enviar a informação por meio de sua própria conta de email ou equipamento pessoal, fazendo com que as empresas percam totalmente o controle.
Nesses casos, os usuários sempre preferem realizar o processo por meio de dispositivos pessoais, utilizar serviços de proxys para impedir o controle ou qualquer outra artimanha para não ter que passar por um processo complicado.
#5 Não são tão específicos ao falar de segurança
Hoje em dia, a maioria das pessoas aceitam sem ler as condições e permissões, se conectam às redes Wi-Fi apenas apertando um botão e guardam as senhas em todos os dispositivos para que estejam sempre sincronizados. Por que? Porque isso é fácil e, além disso, bastante cômodo.
Apesar que todos nós que trabalhamos com a segurança da informação tentamos mudar esses hábitos nos usuários, não podemos obrigar a ninguém para que se interesse com assuntos que não sejam atrativos ou mesmo complicados demais.
Quando for comunicar algo, é importante ir ao ponto e ser específico. Os usuários não estão interessados em ler uma política de segurança com 20 páginas, nem mesmo todas as janelas que tem o último firewall instalado.
A segurança deve ser uma solução e não um novo problema. Pequenas e concretas conversas, guias com boas práticas que sejam mais fáceis de ler e tenham a informação necessária devem ser muito mais atrativos para comunicarem a mensagem da melhor forma.
#6 Não classificam a informação e perdem o foco
Antes de aplicar qualquer medida de segurança, é importante entender o negócio e a informação crítica que deve ser protegida, ou seja, desde classificar a até mesmo conhecer exatamente o alcance de uma medida de segurança.
No caso de uma empresa de saúde, não é o mesmo cuidar do histórico médico de um paciente que a lista de aniversário dos funcionários. Muitas empresas gastam ferramentas, tempo e esforço para proteger informação irrelevante, enquanto deixam de fora outra mais valiosa por apenas não considerar os dados realmente mais importantes.
É fundamental realizar auditorias que analisem quais informações estão sendo guardadas, considerando que muitas vezes são gastos muitos espaços de armazenamento (que pode ser traduzido como um custo de infraestrutura) para guardar arquivos pessoais que não são representativos para o negócio, ou deixam de fora bases inteiras de informação apenas por não conhecerem as mesmas.
Se ninguém sabe qual é a informação crítica da empresa... como saber o que se deve proteger?
A classificação é o primeiro passo para entender quais dados são críticos e como devem ser protegidos.
Um erro comum a respeito da classificação da informação é não identificar o dono dos dados. Muitas vezes pensamos que o departamento de segurança ou de sistemas é o responsável pela informação dos dados, quando o verdadeiro responsável é o dono da informação. Por exemplo, o gerente de RH é responsável pela informação pessoal dos funcionários, suas análises de desempenho, legados, etc. Dessa forma, o gerente administrativo é responsável pela informação contábil, o comercial pelos contratos com clientes, etc.
O dono da informação é quem deve classificá-la e indicar o que é necessário proteger; a área de segurança deve fornecer as ferramentas para proteger essa informação conforme os requerimentos.
#7 Não consideram a segurança como um processo
Outro problema recorrente é acreditar que a segurança é um produto e não um processo. No entanto, hoje em dia não podemos pensar na segurança como algo estático, como um problema que se soluciona configurando um firewall ou um antivírus, esperando apenas que façam o seu trabalho.
Em uma época tão dinâmica, onde todos os dias aparecem novas ameaças, é importante entender a segurança como um processo de melhoria contínua. Para isso é fundamental realizar análises de riscos e auditorias periódicas, avaliar continuamente os resultados e estabelecer objetivos claros e mensuráveis.
#8 Implementam padrões sem conhecer o alcance
Por último, implementar normas ou padrões apenas para que estejam no papel é a pior inversão.
Toda norma tem um alcance (também conhecido como scope), e determinar esse alcance é tão importante como a norma em si. Deve ser focado no negócio, nos processos que realmente são o coração da empresa e para os quais é útil uma certificação. Implementar uma norma ou obter uma certificação não é algo simples nem econômico; portanto, caso seja invertido tempo e dinheiro, que seja para que realmente contribua para o cuidado com a informação e seja um valor agregado ao negócio.
E então… o que podemos fazer?
Com algumas boas práticas e prestando atenção a esses pontos será possível cobrir bastante terreno:
- Entender o negócio: como funciona a empresa, quais são as áreas críticas e os objetivos. Implementar medidas de segurança que realmente tenham um valor agregado e não uma trava.
- Classificar a informação: uma vez que entendemos o negócio, é importante classificar a informação. Entender qual é crítica e por que (se é por confidencialidade, integridade ou disponibilidade). Para essa tarefa os donos dos dados devem ser envolvidos, para que realizem a classificação e sejam responsáveis pela proteção dessa informação.
- Fazer corretamente uma análise de riscos que ajude a identificar todos os pontos fracos que comprometam a disponibilidade, integridade ou confidencialidade da informação e focar nas medidas para diminuir os riscos. Além disso, esse deve ser um processo de melhoria contínua, por isso é necessário contar com um plano de ação que também inclua análises e auditorias periódicas.
- Pense nos usuários. Depois de tudo, são eles quem acabam utilizando os sistemas e as medidas implementadas, e serão os primeiros a serem infectados caso algo aconteça.
- Conte com profissionais capacitados e dispostos a pesquisar as diferentes ferramentas e configurações que serão implementadas.
Com todo o esforço para fazer com que as empresas invistam em segurança, agora é nossa responsabilidade utilizar essa inversão de forma efetiva e cuidar dos ativos mais importantes.