March 16, 2017 | Author: Fabiano Andrade | Category: N/A
Download Simplificando a Seguranca de Ti Para Leigos...
spersky Lab cumprimentos da Ka os m co , as es pr em Para as pequenas
Simplificando a I T e d a ç n a r u g e S
Trazido a você pela
Georgina Gilmore Peter Beardmore
Sobre a Kaspersky Lab A Kaspersky Lab é o maior fornecedor de capital fechado do mundo de soluções de proteção de terminais. A empresa está classificada entre as quatro maiores empresas do mundo com soluções de segurança para usuários de terminais.* Ao longo de sua história de mais de 15 anos, a Kaspersky Lab mantevese inovadora em segurança de TI, e fornece soluções de segurança digital eficazes para as grandes, pequenas e médias empresas e consumidores. A Kaspersky Lab atualmente opera em cerca de 200 países e territórios em todo o mundo, fornecendo proteção para mais de 300 milhões de usuários em todo o mundo. Saiba mais no site www.kaspersky.com/business. * A empresa foi classificada em quarto lugar no Mundial de Receita de Segurança para Terminais da International Data Corporation por Fornecedor em 2011. A avaliação foi publicada no relatório da Previsão Mundial de Segurança de Terminal 2012-2016 e Ações de fornecedores “(IDC nº 235930, julho de 2012). O relatório classificou os fornecedores de software de acordo com os ganhos provenientes da venda de soluções de segurança de terminais em 2011.
Simplificando a Segurança de TI Kaspersky Lab Edição Limitada
Simplificando a Segurança de TI Kaspersky Lab Edição Limitada Por Georgina Gilmore e Peter Beardmore
Simplificando a Segurança de TI para Leigos®, Kaspersky Lab Edição Limitada Publicado por John Wiley & Sons, Ltd The Atrium Southern Gate Chichester West Sussex PO19 8SQ Inglaterra Para obter detalhes sobre como criar um livro personalizado Para Leigos para o seu negócio ou organização, entre em contato com
[email protected]. Para obter informações sobre o licenciamento da marca Para Leigos para produtos ou serviços, entre em contato com
[email protected]. Visite nossa página www.customdummies.com
Copyright © 2014 por John Wiley & Sons Ltd, Chichester, West Sussex, Inglaterra Todos os direitos reservados. Nenhuma parte desta publicação pode ser reproduzida, armazenada em um sistema de recuperação ou transmitida de qualquer forma ou por qualquer meio, eletrônico, mecânico, por fotocópia, gravação, digitalização ou de outra forma, exceto sob os termos do Direito Autoral, Lei de Designs e Patentes de 1988 ou nos termos de uma licença emitida pela Copyright Licensing Agency Ltd, 90 Tottenham Court Road, Londres, W1T 4LP, Reino Unido, sem a autorização, por escrito, da Editora. Os pedidos para permissão para editora devem ser endereçados ao Departamento de Permissões, John Wiley & Sons, Ltd, The Atrium, Southern Gate, Chichester, West Sussex, PO19 8SQ, Inglaterra, ou enviado por e-mail para
[email protected], ou por fax para (44) 1243 7706 20. Marcas registradas: Wiley, Para Leigos, o logotipo Para Leigos, Uma Referência para o Resto de Nós, O Caminho dos Leigos, Diário dos Leigos, a Maneira Fácil e Divertida, Dummies.com e marcas relacionadas são marcas comerciais ou marcas registradas da John Wiley & Sons, Inc. e/ou de suas afiliadas nos Estados Unidos e em outros países, e não podem ser usadas sem permissão por escrito. Todas as outras marcas são de propriedade de seus respectivos proprietários. John Wiley & Sons, Inc., não está associado a qualquer outro produto ou fornecedor mencionado neste livro. LIMITE DE RESPONSABILIDADE/EXONERAÇÃO DE GARANTIA: A EDITORA, O AUTOR E QUALQUER OUTRA PESSOA ENVOLVIDA NA PREPARAÇÃO DESTE TRABALHO NÃO REPRESENTAM OU GARANTEM COM RELAÇÃO À PRECISÃO OU INTEGRIDADE DO CONTEÚDO DESTE TRABALHO E ESPECIFICAMENTE REJEITAM TODAS AS GARANTIAS, INCLUINDO, SEM LIMITAÇÃO, GARANTIAS DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. NENHUMA GARANTIA PODE SER CRIADA OU ESTENDIDA POR VENDAS OU MATERIAIS PROMOCIONAIS. OS CONSELHOS E ESTRATÉGIAS AQUI CONTIDOS PODEM NÃO SER ADEQUADOS PARA CADA SITUAÇÃO. ESTE TRABALHO É VENDIDO COM O ENTENDIMENTO DE QUE A EDITORA NÃO ESTÁ ENVOLVIDA NA PRESTAÇÃO LEGAL, CONTABILIDADE OU OUTROS SERVIÇOS PROFISSIONAIS. SE AJUDA PROFISSIONAL FOR NECESSÁRIA, OS SERVIÇOS DE UM PROFISSIONAL COMPETENTE DEVEM SER PROCURADOS. NEM A EDITORA NEM O AUTOR SERÃO RESPONSÁVEIS POR DANOS POR MEIO DESTA. O FATO DE UMA ORGANIZAÇÃO OU SITE SER REFERIDO NESTE TRABALHO COMO UMA CITAÇÃO E/OU UMA FONTE POTENCIAL DE INFORMAÇÕES NÃO SIGNIFICA QUE O AUTOR OU A EDITORA APROVA AS INFORMAÇÕES QUE A ORGANIZAÇÃO OU SITE PODEM FORNECER OU RECOMENDAÇÕES QUE ESTES FIZEREM. ALÉM DISSO, OS LEITORES DEVEM ESTAR CIENTES DE QUE SITES DE INTERNET LISTADOS NESTE TRABALHO PODEM TER ALTERADO OU DESAPARECIDO ENTRE QUANDO ESTA OBRA FOI ESCRITA E QUANDO FOI LIDA.
Wiley também publica seus livros em uma variedade de formatos eletrônicos. Algum conteúdo que aparece na impressão pode não estar disponível em livros eletrônicos. ISBN 978-1-118-84806-7 (ebk) Printed and bound in Great Britain by Page Bros, Norwich
Introdução
B
em-vindo ao “Simplificando Seguranca de TI Para Leigos” - o seu guia para alguns dos desafios de segurança da informação enfrentados por todos os tamanhos de negócios no mundo de hoje, conectado à Internet. Com valiosas dicas e sugestões, este livro pretende ajudar a sua empresa a garantir que as informações confidenciais permaneçam seguras - assim é menos provável que você venha a sofrer penalidades regulatórias/legais ou danos à sua reputação comercial. Embora os avanços de computação da última década tenham ajudado os empresários a reduzir custos, aumentando a eficiência e proporcionando níveis ainda melhores de serviço ao cliente, essas mesmas novas tecnologias têm criado oportunidades para hackers para atacar empresas inocentes. Mais do que nunca, todos os negócios - mesmo aqueles que pensam que não têm nenhuma informação confidencial que eles precisam proteger - devem estar ciente dos riscos e como evitá-los... assim, é por isso que escrevemos este livro.
Sobre este livro Embora seja pequeno, este livro é repleto de informações para ajudar as empresas em crescimento a elaborar a melhor forma de proteger informações confidenciais incluindo informações sigilosas sobre seus clientes e como proteger seus computadores e dispositivos móveis contra vírus, ataques maliciosos e muito mais.
2 Desde as menores às maiores corporações, cada organização está em risco com os métodos sofisticados que os hackers usam para acessar informações confidenciais e roubar dinheiro de contas bancárias de negócios. Considerando que grandes multinacionais podem se dar ao luxo de contratar equipes de especialistas em segurança de TI, as empresas menores são menos propensas a ter experiência em segurança de TI no local. “Simplificando a Segurança de TI para Leigos” propõe ajudar as empresas através da consciência quanto a: ✓ Por que praticamente todas as empresas têm informações sensíveis que eles precisam proteger. ✓ O alcance e a natureza dos riscos de segurança da informação de hoje ✓ As medidas simples e ‘sem custo’ que ajudam as empresas a proteger informações confidenciais. ✓ Os produtos fáceis de usar que podem melhorar muito a segurança da informação.
Pressupostos tolos Para ajudar a garantir que este livro forneça as informações que você precisa, nós fizemos algumas suposições sobre você: ✓ O negócio que você possui, gerencia ou no qual trabalha usa laptops, dispositivos de desktops e/ou móveis. ✓ Você precisa se certificar de que seu negócio não colide com os regulamentos de segurança da informação. ✓ Você está interessado em garantir que as informações confidenciais da sua empresa permaneçam confidenciais.
3 ✓ Você gostaria de aprender como evitar ataques de hackers que afetam as atividades do dia-a-dia do seu negócio. ✓ Você pode estar considerando armazenar algumas de suas informações de negócios em “nuvem”. ✓ Você gostaria de receber algumas dicas sobre como escolher um software de segurança de TI que é mais adequado ao seu negócio.
Como este livro é organizado “Simplificando Segurança de TI para Leigos” é dividido em seis capítulos concisos repletos de informações: ✓ Capítulo 1: Por que todas as empresas precisam proteger informações confidenciais. Explicamos as armadilhas de uma falsa sensação de segurança. ✓ Capítulo 2: Entendendo o que a sua empresa precisa. Mesmo que todas as empresas precisem de segurança, este capítulo considera como os requisitos de segurança podem variar. ✓ Capítulo 3: Descobrindo a verdade sobre ameaças de segurança. Saiba por que a TI de hoje é mais complexa e as ameaças mais perigosas para as empresas. ✓ Capítulo 4: Planejamento para uma melhor segurança da informação. Avalie os riscos certifique-se de que o seu negócio sabe como evitá-los. Também lhe damos alguns pontos a considerar para armazenar com segurança as informações em “nuvem”. ✓ Capítulo 5: Escolhendo o software de segurança para atender ao seu negócio. Com tantos produtos disponíveis no mercado, vamos explicar os fatores que podem ajudar você a fazer a escolha certa.
4 ✓ Capítulo 6: Dez perguntas para ajudar a identificar como proteger o seu negócio. Use essas perguntas como uma lista de verificação útil quando se considera o que você precisa para proteger seu negócio.
Ícones usados neste livro Para tornar ainda mais fácil para você encontrar a informação que precisa, nós usamos esses ícones para realçar o texto principal:
A
LEM
A DIC
M-SE BRE
Este ícone alvo chama a atenção para conselhos bons A corda atada destaca informações importantes a levar em consideração.
O VIS
Cuidado com as armadilhas potenciais!
Aonde ir a partir daqui Este livro é uma leitura rápida e fácil. Você pode entrar e sair do texto como quiser, ou você pode ler o livro de capa a capa. Seja qual for o caminho que escolher, temos certeza que você vai encontrá-lo repleto de bons conselhos sobre como proteger as informações dos seus clientes e os outros dados valiosos que seu negócio armazena e processa.
Capítulo 1
Por que todas as empresas precisam proteger informações confidenciais Neste capítulo ▶ Avaliando os encargos adicionais para empresas menores ▶ Protegendo informações de negócios precisas ▶ Evitando os perigos de uma falsa sensação de segurança ▶ Entendendo por que os cibercriminosos almejam
negócios de todos os tamanhos
N
este primeiro capítulo, vamos considerar algumas razões pelas quais as empresas estão sujeitas a riscos de segurança da informação - e por que não é aconselhável tentar varrer questões de segurança para debaixo do tapete.
As empresas estão sob ataque
Na era da informação, conhecimento é poder. As informações que a sua empresa mantém - sobre o seu conhecimento técnico especializado, seus produtos e seus clientes - é vital para o seu sucesso contínuo. Se você já não fosse mais capaz de acessar algumas das informações preciosas, isto poderia afetar o dia-a-dia do seu negócio. Pior ainda, quais seriam as consequências se estas
6 informações caíssem nas mãos erradas - nas mãos de um criminoso? Além disso, o que aconteceria se um criminoso pudesse ter acesso aos seus computadores e roubar dados de contas bancárias online do seu negócio? Caramba! Infelizmente, empresas de todos os tamanhos são atacadas por cibercriminosos que utilizam uma ampla gama de métodos para interromper as operações de negócios, acessar informações confidenciais e roubar o dinheiro. Em muitos casos, a empresa vítima pode estar totalmente alheia ao ataque. . . até que seja tarde demais..
Cibercrime e cibercriminosos Os criminosos sempre foram bons em detectar novas oportunidades para explorar uma falha e ganhar algum dinheiro - à custa de outra pessoa. Quer se trate de uma fechadura frágil em uma janela do escritório ou um alarme que é fácil de desativar, os criminosos aproveitam qualquer oportunidade para explorar qualquer fraqueza. No entanto, na era de hoje com a Internet, um novo tipo de criminoso emergiu das profundezas escuras. . . o cibercriminoso. O cibercrime abrange uma vasta gama de atividades criminosas que são realizadas através de sistemas de TI e/ou na Internet. É muito fácil descartar a ameaça do cibercrime - e essa é uma maneira que as empresas ajudam a tornar ainda mais fácil para os cibercriminosos lucrarem. Os cibercriminosos são altamente organizados e muito habilidosos no desenvolvimento de formas sofisticadas para atacar computadores empresariais, acessar informações confidenciais e roubar o dinheiro. Muitas vezes, as recompensas financeiras são consideráveis. . . enquanto que o custo para lançar um ataque pode ser muito baixo. Isto traz uma taxa de retorno com a qual muitos outros tipos de crime só podem sonhar! Assim, o volume de cibercriminalidade continua aumentando.
7
Empresas menores - Pressões maiores De muitas maneiras, as empresas menores enfrentam praticamente todas as questões gerais, no dia-a-dia que as grandes empresas têm de enfrentar. . . além de toda uma série de desafios adicionais. Todas as empresas têm de continuar encontrando maneiras de lidar com a mudança das condições de mercado e responder às atividades dos concorrentes, e, ao mesmo tempo, estarem um passo à frente quanto a mudanças das necessidades e preferências dos clientes. No entanto, ao mesmo tempo, ao lidar com todos esses fatores, as empresas que mais crescem também têm de lidar com uma vasta gama de outras questões que surgem como resultado de um crescimento contínuo da empresa. Estes desafios adicionais podem incluir: ✓ Encontrar maneiras de lidar com um número crescente de clientes - e receitas maiores. ✓ Recrutamento regular e treinamento de pessoal adicional para lidar com demandas crescentes. ✓ Encontrar instalações maiores e organizar a mudança, sem interromper as operações do dia-a-dia. ✓ Garantir financiamento adicional para ampliar o negócio. ✓ Adicionar novas localizações de escritórios. ✓ Encontrar tempo para considerar coisas que as empresas maiores tiram de letra – como, por exemplo, como manter as informações dos clientes de forma segura. Todas estas tarefas são necessárias para garantir que o negócio continue funcionando de forma eficiente e esteja pronto para as próximas etapas do seu crescimento.
8
Esse não é meu trabalho! Além disso, ainda há a gama de responsabilidades que os fundadores e empregados têm de cobrir. Desde o início, assim como um empreendimento de um só homem (ou mulher) ou de um pequeno grupo de indivíduos altamente motivados, trabalhar em uma empresa de pequeno porte geralmente significa “todas as mãos estão ocupadas” - com todos tendo que cuidar de uma variedade muito maior de tarefas do que em seus empregos anteriores. Normalmente, não há equipes de RH, departamentos jurídicos ou pessoal especialista em TI com que contar. Se o seu negócio terá sucesso, todo mundo tem que conseguir ser mais do que apenas um “pau para toda obra”. Você e seus colegas todos sabem que vocês têm de dominar tudo o que acontece na gestão do negócio. Sim, competências especializadas podem ser contratadas por hora, mas isto custa um dinheiro precioso. Cada gasto em atividades que não fazem parte do negócio principal limita o investimento em outras áreas vitais e pode até mesmo retardar seu crescimento empresarial.
Qual é o problema com a TI? Para a maioria das empresas, a ideia de tentar funcionar sem nem mesmo TI básica - como laptops - é quase impensável. Mesmo que seja apenas um meio para um fim, é uma ferramenta chave que permite ajudar a aumentar a eficiência das empresas e melhorar a interação com clientes, colaboradores e fornecedores. No entanto, ela tem de servir o negócio - e isso significa que precisa ser fácil de configurar e gerenciar. Da mesma forma, qualquer software de segurança que protege os computadores da empresa e informações confidenciais tem de ser fácil de usar.
9
Há uma selva lá fora. . . então vá armado! As empresas que consideram a computação como um mal necessário tendem a ter uma visão muito semelhante quando se trata de manter as informações armazenadas nesses computadores seguros. Essa visão é totalmente compreensível, se TI não for o seu ponto forte.
A
LEM
No entanto, a triste realidade é que a segurança das informações de negócios nunca foi tão importante - para todos os tamanhos de negócios. Com altos níveis atuais de ameaças - e cibercriminosos utilizando regularmente as conexões de Internet para invadir computadores de empresas - nenhuma empresa pode se dar ao luxo de ignorar a segurança. Mesmo que sua empresa só implemente algumas medidas simples de proteção, essas precauções podem ser o suficiente para poupar muita dor de cabeça e uma quantidade significativa de dinheiro. M-SE BRE
O VIS
É perfeitamente aceitável considerar a segurança de dados e segurança de TI como males necessários. . . desde que você coloque forte ênfase na palavra “necessário”! Assim, a palavra “mal” é apenas um lembrete do tipo de cibercriminosos que lançam ataques contra empresas inocentes. Um varejista não sonharia em deixar a sua caixa registradora aberta para que qualquer criminoso que passasse pegasse um punhado de dinheiro. Da mesma forma, qualquer empresa que usa computadores, dispositivos móveis ou a Internet precisa ter certeza de que a sua TI não está escancarada para o ataque. É simplesmente muito fácil se tornar a vítima involuntária de um cibercriminoso que ataca as vulnerabilidades de segurança ocultas em seus laptops, tablets
10 e smartphones. Assim, você precisa fazer tudo o que puder para garantir que os criminosos não possam roubar informações confidenciais ou roubar suas contas bancárias online.
Um pouco de segurança pode significar muito A diferença entre não fazer nada e realizar algumas medidas simples de segurança pode ser enorme. Em primeiro lugar, se você só implementar algumas medidas básicas de segurança, estas poderiam ser o suficiente para garantir que o cibercriminoso médio acha mais fácil correr para outro negócio. . . e deixar o seu negócio em paz. No gráfico, você vê como um pequeno investimento em segurança pode reduzir drasticamente a possibilidade de um lançamento de malware ser bem-sucedido.
Taxa de Sucesso de Malware
Investir para proteger Conforme seu negócio contribui para o seu investimento em segurança ... a chance de ser infectado por malwares cai exponencialmente
Investimento em Segurança
11
Segurança não deve atrasar o seu negócio Tempo é dinheiro! Pronto! falamos... É claro que é um clichê, mas é verdade. Qualquer atividade não principal, que o leva para longe das principais atividades geradoras de receita da sua empresa lhe custa tempo, oportunidades e dinheiro. Ser ágil e focado é o que lhe deu a oportunidade de estabelecer o seu negócio em primeiro lugar. Assim, a última coisa que você precisa é de segurança de TI que serve como empecilho ao seu espírito empreendedor - não importa até que ponto a segurança de TI possa ser importante. Qualquer coisa que atrasa pode significar que você está gastando menos tempo nas atividades principais que lhe dão uma vantagem sobre seus concorrentes e ajudam a impulsionar seus negócios. Com a abordagem errada para proteção de informação e tecnologias de proteção inadequadas, seu negócio pode se encontrar prejudicado pelas mesmas coisas que se destinam a ajudar sua defesa.
A fruta mais fácil de apanhar para os cibercriminosos Com as preocupações sobre a complexidade e desempenho, é de se admirar que tantas pequenas empresas fechem os olhos para a segurança de TI. No entanto, apesar do fato de que empresas recém-abertas e pequenas poderiam praticamente usar essa abordagem sem danos, há alguns anos, os níveis atuais de cibercrime revelam que essa é uma estratégia muito mal aconselhada. Adiciona-se a isto o fato de que alguns criminosos consideram as pequenas empresas como a “fruta mais à mão”, e que é mais fácil de obter do que as grandes organizações, e é claro que a segurança efetiva de TI não é mais opcional. A boa notícia é que a sua empresa pode fazer muitas coisas simples para ajudar a proteger informações confidenciais.
12
A
Além disso, alguns dos mais recentes produtos de softwares de segurança foram desenvolvidos especificamente para ajudar empresas menores com pouco tempo a proteger seus sistemas e informações. Estes produtos de segurança significam que você não tem de comprometer a proteção ou perder tempo tentando executar um software de segurança complexo que é difícil de gerir. O Mesmo as organizações gigantes podem não ter a VIS dimensão e os recursos necessários para se recuperar de uma falha de segurança prejudicial. Portanto, empresas menores podem achar que é impossível continuar comercializando depois de um incidente de segurança.
Falsa sensação de segurança? Algumas empresas podem se convencer de uma falsa sensação de segurança, com a crença equivocada de que os criminosos estão apenas em busca de peixes grandes. ‘Sim, é isso’, diz o empresário. ‘Quem iria querer atacar uma pequena empresa como a minha, quando alvos maiores e mais ricos estão disponíveis? Nós simplesmente não estamos no radar de nenhum cibercriminoso.’ Bem, é verdade que o radar não vai ajudar um cibercriminoso a identificar a sua próxima vítima de negócio. No entanto, os cibercriminosos usam todos os tipos de outras ferramentas de varredura para encontrar empresas mais vulneráveis, e eles podem fazer tudo através da Internet. Com estas ferramentas de verificação inteligentes, os cibercriminosos podem identificar as empresas que têm falhas de segurança dentro de seus computadores. Em praticamente nenhum momento, os scanners podem encontrar o próximo negócio que será vítima dos criminosos - e apontar como um negócio vulnerável a ataques.
13 Isto pode soar como uma trama de ficção científica elaborada, mas é verdade. Todos os dias, estes e outros métodos sofisticados servem para atacar pequenas empresas. Em um dia normal, o Kaspersky Lab identifica cerca de 12 mil ataques de malware (software malicioso) e esse número continua crescendo.
As empresas menores podem ser alvos mais fáceis para o crime Geralmente, a maioria dos cibercriminosos está procurando maximizar os retornos financeiros de suas atividades ilegais e minimizar o esforço e tempo gastos para gerar esses retornos. Assim, embora acessar finanças de uma multinacional possa ser muito lucrativo, é uma aposta justa que o cibercriminoso teria de trabalhar muito duro para superar as defesas de segurança sofisticadas que tal empresa é suscetível de possuir. Como alternativa, o cibercriminoso pode optar por alvejar um grupo de pequenas empresas. Sim, os rendimentos de cada ataque individual podem ser muito menos valiosos, mas, se as empresas menores tiverem defesas fracas ou inexistentes, isto poderia ser dinheiro fácil para o cibercriminoso. Ataques lançados em dez ou vinte pequenas empresas podem gerar tanto dinheiro quanto um único ataque em uma grande empresa - e ser muito mais fácil de alcançar. A DIC
Como muitas empresas menores podem achar que é difícil reservar um tempo para pensar em segurança, alguns criminosos se concentram deliberadamente em presas fáceis de pequenas empresas. Não deixe que o seu negócio esteja entre a suas próximas vítimas.
14
Os cibercriminosos podem usar pequenos negócios como um trampolim Os cibercriminosos reconhecem que as pequenas empresas são muitas vezes fornecedoras para grandes empresas e essa é outra razão para os ataques contra pequenas empresas. Um ataque a um negócio como esse pode ajudar cibercriminosos a roubarem informações que podem vir a ser úteis, permitindo um ataque posterior contra uma grande corporação. O cibercriminoso pode deliberadamente escolher um negócio por causa de suas relações com as grandes corporações. Por outro lado, um cibercriminoso oportunista pode simplesmente identificar o potencial enquanto eles estão roubando informações de clientes da empresa de pequeno porte. Não é preciso dizer que, se o ataque subsequente à grande organização for bem-sucedido e o papel da pequena empresa no ataque tornar-se evidente, isto pode resultar em graves dificuldades para as pequenas empresas. Mesmo que a empresa de pequeno porte seja inocente de qualquer delito direto, a sua falta de segurança permitiu que seus próprios sistemas fossem infiltrados - e isto ajudou a permitir um ataque contra o cliente de porte corporativo. Se o papel da pequena empresa no compromisso torna-se conhecido, este é suscetível de ter repercussões - como ação legal, remuneração, multas, perda de clientes e danos à reputação da empresa de pequeno porte.
15 Perdendo. . . em ambas as pontas do negócio Imagine o caso de uma pequena empresa que compra matérias-primas a partir de um grande fornecedor corporativo e, em seguida, vende seus produtos acabados para uma empresa multinacional. No interesse de eficiência, o fornecedor pode esperar que seus clientes - incluindo a pequena empresa - interajam e comprem através dos seus próprios sistemas online. Da mesma forma, o cliente multinacional pode esperar que a pequena empresa apresente notas fiscais eletrônicas diretamente em seus próprios sistemas de contas internas. Isto significa que a pequena empresa possui ligações eletrônicas diretas com sistemas de computadores de seu fornecedor corporativo e sistemas informáticos de seus clientes multinacionais. Se um cibercriminoso infiltra-se em computadores da pequena empresa, o cibercriminoso pode reunir informações que ajudam a atacar os dois fornecedores da empresa e do cliente. Mesmo que os ataques subsequentes não sejam bem sucedidos, a pequena empresa pode ter várias explicações a dar. . . e pode ser impedida de interagir eletronicamente com seus fornecedores e clientes. Isso poderia afetar negativamente a eficiência da pequena empresa e as margens de lucro - especialmente se os seus concorrentes estão se beneficiando de uma maior interação com os mesmos fornecedores e clientes.
16
Capítulo 2
Descobrindo quais são suas necessidades de negócios Neste capítulo ▶ Sabendo suas obrigações legais e regulamentares ▶ Avaliando o que é esperado no seu setor ▶ Percebendo que as ameaças de hoje são mais perigosas
do que nunca
▶ Considerando como as necessidades de segurança
podem variar
N
este capítulo, vamos dar uma olhada em como alguns requisitos de segurança podem ser semelhantes para empresas diferentes. . . e também a forma como eles podem variar.
Algumas necessidades de segurança se aplicam a negócios de todos os tamanhos Muitas empresas caem na armadilha de pensar que elas não possuem informações que poderiam ser de qualquer valor a um cibercriminoso. Além disso, o fundador pode acreditar que um incidente de perda de informações não causaria qualquer grande prejuízo para sua empresa.
18 Infelizmente, para empresas de qualquer tamanho, essas crenças raramente são verdadeiras. Mesmo um simples banco de dados de contatos de clientes tem valor para uma ampla gama de pessoas diferentes - de cibercriminosos que desejam utilizar esses detalhes, como parte de golpes de roubo de identidade, até concorrentes que tentam roubar seus clientes.
Obrigações legais para proteger informações
A
Em muitos países, as empresas estão sujeitas a normas rígidas sobre como eles devem lidar com informações sobre indivíduos. O não cumprimento pode resultar em multas elevadas para o negócio. Em alguns casos, os diretores ou proprietários do negócio podem estar sujeitos a processos - com alguns crimes, até mesmo levando a penas de prisão. Para alguns países, a legislação e o cumprimento de regulamentos sobre como informações pessoalmente identificáveis são processadas e armazenadas, podem causar obrigações mais onerosas em grandes organizações. No entanto, mesmo que as autoridades competentes exijam que as grandes corporações implementem medidas de segurança muito mais sofisticadas, a lei ainda espera que as pequenas empresas ajam de forma responsável e tomem as medidas cabíveis para ter em segurança todas as informações relevantes. O VIS
Se uma empresa não adotar medidas que poderiam razoavelmente ser esperadas a serem realizadas por esse tipo e tamanho de empresa, o negócio poderia encontrar-se em sérios apuros.
Expectativas de segurança ainda maiores Muitas jurisdições obrigam todas as empresas a exercerem um maior grau de cuidado na forma como lidam com
19 qualquer material particularmente sensível, ou qualquer outra informação que poderia causar danos significativos a um terceiro caso esses dados vazassem. Além disso, as indústrias e setores específicos do mercado podem estar sujeitos a requisitos de segurança da informação muito mais rigorosos do que outros setores. Por exemplo, empresas que atuam nos setores de saúde e legal são suscetíveis de terem mais cuidado com as informações que usam, armazenam e processam. No entanto, mesmo se nenhuma dessas “expectativas estendidas” se aplicarem ao seu negócio, a perda de informações confidenciais pode ter consequências terríveis.
Uma confidencialidade catastrófica? Poderia haver um negócio menos intensivo em termos de TI do que a execução de um canil ou gatil? Seria realmente necessário segurança de TI para tal operação? Bem, sim! Basta considerar as informações que a empresa detém sobre os nomes e endereços de seus clientes - além do diário eletrônico da empresa de quando os felinos peludos ficarão na instalação. E se essas informações cairem nas mãos erradas? É bastante óbvio que ninguém vai estar em casa para cuidar dos pequenos Bola de Neve e Totó - e esta é uma informação valiosa para os assaltantes. Com esse conhecimento interno sobre quando o dono da casa ficará afastado - e por quanto tempo ficará afastado - para que assaltantes possam desfrutar do luxo de serem capazes de tomar o seu tempo removendo objetos de valor da propriedade do dono do gato.
20
Diferentes níveis de compreensão e recursos Apesar das semelhanças entre algumas das obrigações de segurança que são colocados em todos os tamanhos de empresas, há também algumas variações claras em como as organizações de diferentes tamanhos processam questões de segurança.
As coisas não são o que costumavam ser A sofisticação e a natureza implacável de ataques de segurança de TI modernos significam que as ameaças de hoje são muitas vezes maiores e mais perigosas do que as ameaças de poucos anos atrás. Falha ao perceber isto pode deixar as empresas vulneráveis. Quando se trata de segurança da informação, as grandes empresas podem se dar ao luxo de contratar especialistas em segurança de TI em tempo integral. No entanto, os proprietários de pequenos negócios não têm esse luxo.
O tamanho é importante? A disponibilidade de recursos é, obviamente, um fator que diferencia as empresas menores de grandes corporações. As grandes empresas têm os especialistas internos para tomar decisões informadas sobre quais tecnologias de defesa investir. Eles também têm as finanças necessárias e recursos de suporte para a implantação de sua solução escolhida. Além disso, sua equipe local é experiente e sabe como desenvolver e aperfeiçoar constantemente os planos de segurança da empresa e políticas de segurança, de modo que o negócio continue a estar um passo à frente dos criminosos e nenhum buraco seja feito na defesa da organização.
21 Por outro lado, as pequenas empresas podem não ter qualquer conhecimento interno sobre segurança. Além disso, para uma empresa em crescimento, uma série de demandas concorrentes clama por qualquer dinheiro que esteja sobrando (hmm, dinheiro que sobra é um conceito interessante, mas nenhum dos autores se lembram de ter experimentado). Assim, a segurança do computador tem de ter o seu lugar na fila e justificar plenamente as despesas necessárias.
Noções sobre requisitos de segurança diferentes
Mesmo que não haja um lote de terreno comum, diferentes tipos de negócios são suscetíveis de terem algumas diferenças em seus requisitos de segurança de TI. . . e também podem ter pontos de vista diferentes sobre o que é necessário no nível da segurança. Além disso, conforme a empresa cresce, suas necessidades de segurança da informação podem mudar. Você reconhece algum dos seguintes perfis de negócios e suas opiniões sobre a segurança de TI?
A empresa recém-criada
“Sérgio dono de empresa nova” com 36 anos está deixando uma operação de grande porte, de base municipal e criando uma nova empresa de advogados com dois de seus colegas. Como a empresa planeja usar TI: ✓ Sérgio e seus colegas são fortemente dependentes dos laptops, tablets e smartphones que lhes dão a flexibilidade para trabalhar em qualquer lugar. ✓ A equipe vai fazer uso pesado de e-mail para se comunicar com os clientes e usará seus
22 computadores para a geração de cartas, propostas e notas. A atitude da empresa quanto à segurança: ✓ A natureza altamente confidencial das informações do cliente que serão tratadas - incluindo dados financeiros - significa que a proteção de todas as informações sensíveis é de vital importância. ✓ Qualquer vazamento ou perda de informações seria extremamente constrangedor e poderia ter grandes repercussões em termos de reputação pessoal para Sérgio e a empresa. Ela poderia até resultar em Sérgio ser processado. ✓ Salvaguardar o negócio é de vital importância e Sérgio entende que o software antivírus padrão não oferece proteção adequada. Sérgio diz: ‘Nós temos que comprar um novo kit de TI e configurar tudo. Ao mesmo tempo, precisamos ser capazes de começar a gerar receita o mais rápido possível - assim o software de segurança que nós escolhemos tem de fornecer o nível adequado de proteção, além de ser fácil de configurar, gerenciar e manter. Além disso, o fornecedor de software de segurança tem de fornecer o apoio que precisamos e quando precisarmos - assim podemos nos concentrar em servir os nossos clientes. Então, conforme o nosso negócio cresce, a nossa solução de segurança deve ser capaz de se adaptar para atender às novas demandas.’
O negócio em expansão ‘Ambicioso Ahmed’ conseguiu muito em seus 48 anos. Ele é o dono de uma cadeia de alfaiates de roupas masculinas que emprega dezoito pessoas - e o negócio está em expansão. Como a empresa planeja usá-lo:
23 ✓ Assim como abrir outra nova loja, a empresa está se aventurando em varejo online - venda de ternos através do seu site. ✓ Com a expansão, a empresa tem que comprar muito mais tecnologia - incluindo mais Pontos de Venda (POS), mais PCs, roteadores de redes Wi-Fi e um novo servidor. ✓ Apesar de Ahmed não estar focado em TI, ele considera seu novo smartphone útil para acessar seus e-mails. A atitude da empresa quanto à segurança: ✓ A empresa utiliza um produto de software antivírus que o sobrinho de Ahmed, “familiarizado com segurança tecnológica” comprou na loja de PC. No entanto, Ahmed sabe que este produto não é suficiente para manter as informações de seu negócio seguras - especialmente por que o negócio está se expandindo muito rapidamente. Ahmed odiaria ver sua concorrente local obtendo a lista de clientes regulares de Ahmed e seu modelo de precificação. ✓ Devido a Observância dos padrões de segurança de dados na indústria de cartões de pagamento (PCI), Ahmed sabe o que o negócio precisa para implantar o software de segurança e mantê-lo atualizado, a fim de gerenciar vulnerabilidades. Ahmed diz: ‘Costurar - e não TI - é a minha paixão. No entanto, é o momento certo para investir em algum software de segurança mais profissional de TI - mesmo que apenas para minha própria paz de espírito. Precisamos de segurança de TI que nos dê a proteção que precisamos, mas que seja fácil de instalar e gerenciar. Eu estou procurando um pacote que faça o seu trabalho e me deixe continuar com o meu. Desde que assumi o negócio do meu
24 pai, já alcançamos um cresci-mento impressionante. Estamos prestes a abrir a nossa quinta loja e estamos construindo nossas vendas na Internet - assim precisamos de uma solução de segurança de TI que possa crescer conosco.
O negócio que está mudando sua segurança Dra. ‘Ivana Irritada’, 40 anos, é uma sócia sênior em um consultório médico local, que inclui dois outros médicos, um fisioterapeuta e três recepcionistas/administradores de pessoal de meio período. Como a empresa planeja usar TI: ✓ Cada médico tem um PC de desktop e um PC na sala que a fisioterapeuta utiliza. Dois outros PCs estão na recepção e mais um no escritório de administração. ✓ A Internet e os computadores mudaram a forma como a clinica funciona - o que torna muito mais fácil manter o controle de registros de pacientes, descobrir novos medicamentos e procedimentos e, manter-se atualizado de uma maneira geral. A atitude da clinica quanto à segurança: ✓ Dada a dependência da prática de TI e à natureza sensível dos arquivos e informações que são manipulados, a Dra. Ivana nunca hesitou em comprar software de segurança de TI. ✓ No entanto, o software de segurança atual está irritando todos os funcionários. Os PCs levam muito tempo para iniciar - e depois, quando o software de segurança verifica a existência de malware, os PCs parecem ficar paralisados. Dra. Ivana diz: “a confidencialidade do paciente é de suma importância. É por isso que nunca hesitamos em instalar software de segurança. No entanto, nosso software atual
25 teve um efeito notável e muito negativo sobre o desempenho de nossos computadores. Com a licença para a renovação, agora é o momento perfeito para mudarmos para um produto de software de segurança que não afete o desempenho de nossos computadores para que possamos ser mais eficientes na forma como lidamos com os pacientes. Nós só queremos algo que torne informações altamente confidenciais seguras, sem ficar no caminho de nossos esforços para oferecer o melhor atendimento ao paciente”.
A empresa que começou mal ‘“Suzie Sofredora” de 32 anos é uma proprietária de uma agência de marketing de sucesso, que emprega 22 pessoas. Os negócios da Suzie cresceram rapidamente, suas vendas e marketing garantiram que ela ganhasse novos clientes facilmente. Como a empresa planeja usar TI: ✓ A equipe principal de Suzie fica no escritório. No entanto, muitos de seus gerentes de contas visitam sites de clientes. ✓ Apesar de sua equipe possuir Apple Macs, o resto da empresa utiliza uma combinação de PCs de desktop e laptops, além de smartphones. ✓ Muitos da equipe também usam tablets. Uma vez que os tablets são de propriedade da equipe, eles não fazem parte do kit de trabalho oficial. No entanto, Suzie não se importa da equipe utilizar os dispositivos - especialmente porque eles fazem a agência parecer uma empresa de ponta. A atitude da empresa quanto à segurança: ✓ Infelizmente, a agência sofreu recentemente um grande incidente de segurança. Depois de uma reunião com um cliente, um dos diretores da conta de
26 Suzie levou seu laptop para um bar e o laptop foi roubado. O laptop tinha alguns arquivos muito sensíveis sobre ele - incluindo planos confidenciais para lançamento de um novo produto que daria ao cliente uma vantagem real no mercado. ✓ Suzie teve de informar o cliente, que ficou extremamente irritado. O incidente foi escalado para a equipe jurídica do cliente. Parece também que o cliente romperá o relacionamento com a agência. Assim, a agência de Suzie está prestes a perder uma parte significativa do negócio, e também pode haver implicações legais. Suzie diz: “Nós ainda estamos somando o custo daquele incidente de segurança. Agora, a minha principal prioridade é ter certeza de que não há absolutamente nenhuma chance daquele tipo de dor de cabeça de segurança acontecer novamente. Nós precisamos ter uma solução de proteção integral o quanto antes. No entanto, também precisamos ter a certeza de que seja simples de gerenciar – para que um dos nossos designers, que tem um talento incrível para todas as coisas técnicas, possa gerenciá-la e mantê-la’.
O negócio que mantém seus dedos cruzados “Raul Corre Riscos” tem 53 anos e é dono de uma empresa de contabilidade de cinco pessoas. É um negócio estabelecido, que nunca levou a sério as ameaças de segurança. Raul sempre esperou que “não fosse acontecer com ele”. Como a empresa planeja usar a TI: ✓ Raul e outros dois assessores de contabilidade gastam muito tempo com os clientes. O uso de laptops dá aos consultores a flexibilidade para trabalhar fora do local.
27 ✓ dois funcionários da administração do negócio usam PCs de desktop. ✓ A empresa também tem um servidor de arquivos que gere o seu software de gestão de relacionamento com clientes (CRM). A atitude da empresa quanto à segurança: ✓ Raul recentemente leu um artigo em uma revista especializada, sobre uma empresa rival que sofreu uma grave falha de segurança de TI. Um administrador tinha baixado um arquivo anexo que continha um malware que acessou os arquivos confidenciais de clientes. A falha de segurança só foi descoberta quando um cliente encontrou seus próprios dados confidenciais sendo vendidos na Internet. ✓ A reportagem deixou Raul extremamente nervoso com a segurança de TI de sua própria empresa. Raul agora reconhece que o software de segurança gratuito que a empresa vem utilizando é provavelmente inadequado. Raul diz: “A indústria mudou muito nos últimos anos. Há muito mais regulação agora. Ao mesmo tempo, a natureza das ameaças de segurança que estão à espreita significam que temos de implementar uma segurança de TI muito mais robusta.”
Necessidades diferentes exigem soluções diferentes Mesmo que todas as empresas que citamos neste capítulo estejam em mercados diferentes e cada uma tenha expectativas diferentes para a sua TI, todas elas têm uma coisa em comum: a necessidade de proteger informações preciosas. No entanto, com cada negócio tendo diferentes níveis de
28 sistemas de informática e experiência em TI, eles têm necessidades de segurança diferentes. Os exemplos de empresas são, obviamente, baseados em generalizações sobre como alguns tipos diferentes de negócios podem ter necessidades diferentes de segurança de TI. No entanto, assim como as variações de modelos de negócios e tamanhos de negócio são virtualmente infinitas, assim também são as variações nos requisitos de TI. É perfeitamente possível para uma pequena empresa - com, digamos, três a cinco pessoas - executar processos em massa de computação intensiva. Nesses casos, o negócio é suscetível de ter uma rede de TI muito mais extensa e diversificada do que as outras empresas de dimensão semelhante. Portanto, este tipo de negócio exige uma solução de segurança que possa cobrir todas as complexidades de seu ambiente de TI - incluindo portais de Internet, servidores proxy e sistemas virtuais.
Capítulo 3
Descobrindo a verdade sobre ameaças de segurança Neste capítulo ▶ Compreenda como a complexidade de TI acrescenta
novos encargos
▶ Saiba por que a proteção antivírus não é suficiente ▶ Aprenda sobre as ameaças online ▶ Protegendo suas transações bancárias online
N
este capítulo, consideramos como a crescente complexidade das soluções de computação de negócios típicos e a sofisticação dos vírus, malware e ataques de cibercrime estão tornando a vida muito mais difícil para todas as empresas.
Tudo se tornou mais complexo Apenas alguns anos atrás, qualquer líder empresarial podia simplesmente esticar o braço e tocar todos os dispositivos de TI que precisavam ser protegidos dentro de sua organização. Era também simples desenhar um anel imaginário em torno de rede de computação da empresa. Se você colocasse um firewall em torno de tudo dentro desse anel e se certificasse de ter um software de segurança adequado
30 em execução em todos os computadores - você seria intocável. Mas isso era nos tempos de mobilidade limitada e quando não se era capaz de acessar informações de negócios sempre que você estivesse fora do escritório. Isto também acontecia muito antes de os negócios terem se tornado tão fortemente dependentes de TI.
Os negócios não podem existir sem TI
Hoje, será que você poderia considerar gerir uma empresa sem todos aqueles aplicativos de negócios vitais e sem acesso celular, ou acesso “em qualquer lugar” às informações de negócio essenciais? Bem, não. . . porque seus concorrentes estariam rindo no caminho até o banco. No entanto, estes avanços tecnológicos tiveram consequências. A conveniência de acesso em qualquer lugar aumentou muito a complexidade de TI. Se você e seus funcionários estarão acessando informações usando laptops, smartphones e tablets, onde está o anel imaginário no qual você tem de aplicar suas medidas de segurança?
BYOD acrescenta outra camada de complexidade Para tornar as coisas ainda mais complexas, iniciativas do tipo Traga seu Próprio Dispositivo (BYOD) - que permitem que os funcionários usem seus próprios dispositivos para acessar sistemas de informação e de negócios - estão acrescentando ainda mais complexidade. Com BYOD, sua segurança agora tem de lidar com acesso “em qualquer lugar - a partir de qualquer dispositivo”. As empresas têm sido rápidas ao reconhecer os custos operacionais e os benefícios potenciais que a iniciativa BYOD pode oferecer. No entanto, BYOD também significa que você se depara com um aplicativo de segurança em toda uma gama quase ilimitada de dispositivos móveis incluindo uma vasta linha de Android, iPhone, BlackBerry,
31 Symbian, Windows Mobile e dispositivos Windows Phone que podem nem mesmo pertencer ao negócio. Felizmente, alguns fornecedores de segurança reconheceram que uma TI cada vez mais complexa contribui para pesadelos de segurança. Então, eles gentilmente desenvolveram novas soluções de segurança inovadoras que simplificam a tarefa de proteger a TI complexa - incluindo dispositivos móveis e BYOD. A DIC
Para obter mais informações sobre questões de segurança móveis e soluções, Segurança Móvel & BYOD para Leigos está disponível em todas as boas livrarias. Bem, na verdade, não está dispo-nível em todas as lojas, mas você pode obter uma cópia gratuita no site: http://brazil.kaspersky.com/ produtos-para-empresas.
Antivírus ou anti-malware? Algumas empresas caem na armadilha de pensar que vírus e malware são a mesma coisa - e isso os leva a acreditar que não há diferença entre os produtos antivírus e anti-malware. No entanto, isso simplesmente não é verdade, e de fato é um erro que pode custar muito caro. A maioria das pessoas está familiarizada com os tipos de vírus que podem se espalhar de computador para computador. No entanto, malware - que é a abreviação de software malintencionado - é o nome dado a uma gama muito maior de software hostil. Malware inclui vírus, worms, cavalos de Troia, ransomware, keyloggers, spyware e muitas outras ameaças. Assim, um produto de software que oferece recursos antimalware protege seus computadores e informações de muito mais do que apenas vírus.
32
As ameaças de hoje são cada vez mais perigosas Praticamente todo mundo tem algum nível de compreensão sobre vírus de computador. A maioria das pessoas foi sujeita a uma infecção por vírus desagradável (em seu PC não estamos falando de seu corpo), ou conhece alguém que sofreu um ataque desse tipo no passado. No entanto, grande parte dessa experiência - e as anedotas que os amigos e família se lembram - podem datar da época do vandalismo cibernético, quando o desenvolvimento de malware era para se divertir. Hoje, os cibercriminosos usam malware para ganho financeiro.
Os anos de baixo risco se foram
Anos atrás, vândalos cibernéticos muitas vezes eram estudantes e crianças em idade escolar que procuravam mostrar suas habilidades de computação e de hacker. Eles criavam e distribuíam vírus que causavam um nível de perturbação em máquinas infectadas. Talvez o vírus apagaria alguns arquivos ou faria o computador da vítima ‘desligar’. Apesar de ter sido em grande parte uma questão de decisões más por parte dos desenvolvedores de vírus, os programas poderiam causar alguns inconvenientes. No entanto, esses vírus raramente causaram problemas significativos em curso para as empresas e não tentaram roubar fundos de indivíduos ou empresas de prestação de contas bancárias. Além disso, o software antivírus básico era muitas vezes suficiente para repelir a maioria desses ataques.
33
O vandalismo simples abriu caminhos para o cibercrime sério
Nos últimos anos, os jovens geeks de computador têm voltado sua atenção para jogos online que lhes dão a oportunidade de mostrar seu talento. Ao mesmo tempo e mais importante - com a ascensão inexorável no uso de processos de negócios com base na Internet e transações financeiras online, estamos todos muito mais dependentes da Internet e do comércio eletrônico. Isso tem atraído a atenção de criminosos. A era relativamente inocente do vandalismo cibernético passou, e uma presença muito mais ameaçadora se esconde na Internet. A
Os cibercriminosos têm sido rápidos ao reconhecer as oportunidades para desenvolvimento de malware e golpes na Internet, os quais fazem muito mais mal do que os vírus à moda antiga. Em vez disso, estes novos ataques estão focados em roubar informações, dinheiro e qualquer outra coisa de valor para o cibercriminoso. Não se engane, não se trata apenas de amadores. Os cibercriminosos com habilidades técnicas consideráveis estão constantemente desenvolvendo novos métodos de ataque às empresas. Na maioria dos casos, eles são motivados pelo ganho financeiro - seja diretamente roubando dinheiro da conta bancária de uma empresa, roubo de dados corporativos sensíveis para vender no mercado negro, ou extorquindo pagamentos da empresa através de outros meios. Além disso, através da “colheita” de informações pessoais de laptops, servidores de uma empresa e dispositivos móveis, os cibercriminosos podem realizar golpes de roubo de identidade e roubar dinheiro de indivíduos associados ao negócio. O VIS
34 Nossa dependência de computadores também tornou mais fácil para os atacantes perturbarem os sistemas de negócios, como uma forma de protesto social ou político (o chamado “hacktivismo”).
Conheça o inimigo e saiba seus métodos Malware e ameaças de segurança de TI podem ter um efeito prejudicial sobre qualquer negócio. Para as empresas menores, os resultados podem ser fatais. Ao mesmo tempo em que a lista a seguir não é uma lista exaustiva de todos os tipos de ameaças, esta seção dá uma indicação de alguns dos riscos de segurança que as empresas têm de enfrentar...
Vírus, worms e cavalos de Troia
Os vírus de computador e worms são programas maliciosos que podem se auto-replicar em computadores sem que a vítima esteja consciente de que o seu dispositivo tornouse infectado. Cavalos de Tróia executam ações maliciosas que não foram autorizadas pelo usuário. Cavalos de Troia são incapazes de se auto-replicar, mas a conectividade proporcionada pela Internet tornou fácil espalhá-los para os cibercriminosos. Se estes programas maliciosos atacam sua rede, eles podem apagar, modificar ou bloquear o acesso aos dados, perturbar o desempenho de seus computadores e roubar informações confidenciais.
Cavalo de Troia de Porta dos Fundos
Portas dos fundos são usadas por cibercriminosos para controlar remotamente máquinas que eles infectaram. Tipicamente, os computadores infectados tornam-se parte de uma rede maliciosa - conhecida como botnet - que podem ser usados para uma grande variedade de finalidades cibercriminosas.
35
Keyloggers
Keyloggers são programas maliciosos que gravam as teclas que você pressiona no teclado do computador. Os cibercriminosos usam keyloggers para capturar dados confidenciais - incluindo senhas, números de contas bancárias e códigos de acesso, cartão de crédito e muito mais. Keyloggers muitas vezes trabalham em conjunto com cavalos de Troia de portas dos fundos.
Spam
Na sua versão menos prejudicial, o spam é simplesmente uma versão eletrônica do lixo eletrônico. No entanto, o spam pode ser muito perigoso se for usado como parte de uma campanha de mistificação da interface ou se incluir links para sites infectados que faz download de vírus, worms ou cavalos de Troia no computador da vítima.
Phishing
Phishing é uma forma sofisticada de ataque malicioso, no qual os cibercriminosos criam uma versão falsa de um site verdadeiro, como um serviço bancário online ou um site de rede social. Quando a vítima visita o site falso, o site utiliza métodos de engenharia social para obter informações valiosas da vítima. Phishing é muitas vezes usado para golpes de roubo de identidade e para roubar dinheiro de contas bancárias e cartões de crédito.
Ransomware
Cavalos de Troia ransomware são projetados para extorquir dinheiro. Normalmente, o cavalo de Troia ou criptografa dados sobre a vítima no disco rígido do computador - para que a vítima não possa acessar seus dados - ou bloqueia totalmente todo o acesso ao computador. O cavalo de Troia ransomware exige, então pagamento para desfazer essas mudanças.
36 Infecções cavalo de Troia ransomware podem se espalhar via e-mails de phishing ou podem ocorrer quando um usuário visita um site que contém um programa malicioso. Como os sites infectados podem incluir sites legítimos que foram infiltrados por cibercriminosos, os riscos de pegar uma infecção ransomware não são de modo algum limitados a visitas a sites suspeitos.
Ataques distribuídos de negação de serviço (DDoS) Os cibercriminosos usam ataques distribuídos de negação de serviço, a fim de tornar o computador ou rede indisponível para o seu uso pretendido. As metas para esses ataques podem variar. No entanto, o site de uma empresa é muitas vezes o foco principal para um ataque. Com a maioria das empresas, dependendo de seu site para atrair e interagir com clientes, qualquer coisa que acarrete no mau funcionamento do site, executado lentamente ou deixando de permitir o acesso dos clientes, pode ser muito prejudicial para o negócio. Existem muitas formas diferentes de ataque DDoS. Por exemplo, os cibercriminosos podem infectar grandes quantidades de computadores de usuários inocentes e, em seguida, usá-los para bombardear o site da empresa alvo com um enorme volume de tráfego inútil. Isso pode sobrecarregar os computadores que executam o site da empresa vítima e fazer com que o site fique lento ou falhe totalmente.
37 A DIC
O que está incomodando o negócio? Praticamente todos os aplicativos de software e sistema operacionais que sua empresa executa são suscetíveis de conter “bugs”. Muitas vezes, estes erros no código de computador não podem causar nenhum dano direto. No entanto, alguns criam vulnerabilidades que os cibercriminosos podem explorar a fim de obter acesso não autorizado aos seus computadores. Essas vulnerabilidades agem um pouco como se deixasse a porta do escritório aberta - exceto pelo fato de que os cibercriminosos não apenas marcham em sua área de recepção, eles ficam bem no coração do seu computador. O uso de tais vulnerabilidades para instalar malware está agora difundido, por isso é importante manter os aplicativos atualizados e corrigidos (não ignore os avisos de atualização de software ou os adie como um incômodo). Algumas soluções de software de segurança incluem recursos de “varredura de vulnerabilidades” - para identificar qualquer aplicativo ou vulnerabilidades do sistema operacional no seu negócio de TI da rede - e pode ajudá-lo a aplicar “remendos” que corrigem as vulnerabilidades para que os cibercriminosos não possam explorá-las.
Entendendo outros riscos de segurança Além dos tipos específicos de ataque que explicamos na seção anterior, a sua empresa precisa se proteger contra outros perigos.
38
Riscos ao usar Wi-Fi público
A
Com hotéis, aeroportos e restaurantes que oferecem aos clientes acesso gratuito a uma conexão Wi-Fi pública, é fácil verificar o e-mail e acessar as informações de negócios quando você está fora. No entanto, é também muito fácil para os cibercriminosos espionarem redes públicas de Wi-Fi e capturar informações que você envia ou acessa. Isto poderia significar que os criminosos ganhariam acesso direto às suas contas de e-mail de negócios, a sua rede de negócios de TI e suas senhas para transações financeiras. O VIS
Online Banking e a necessidade de segurança adicional Usar Online Banking tornou-se um mecanismo extremamente importante para muitas empresas. É conveniente e economiza tempo. No entanto, sempre que você estiver realizando todas as transações financeiras online, você pode estar no seu estado mais vulnerável. Os cibercriminosos desejam monitorar computadores de suas vítimas e dispositivos móveis, a fim de saber quando a vítima está visitando um site de banco ou serviço de pagamento online. Em seguida, programas especiais keylogger podem capturar as informações digitadas. Isso significa que o cibercriminoso pode roubar sua senha furtivamente - para que ele possa acessar sua conta e roubar seu dinheiro, sem você saber. Felizmente, alguns produtos de software de segurança incluem tecnologias que fornecem camadas adicionais de proteção quando você está realizando transações financeiras online.
39
Spear phishing
Spear phishing é outra forma sofisticada de ataque. O cibercriminoso procura capturar informações pessoais talvez por espionagem em uma conexão Wi-Fi pública. Mais tarde, o cibercriminoso que utiliza informações pessoais para adicionar um verniz de credibilidade a um e-mail de phishing que tem como alvo um negócio. Por exemplo, se o cibercriminoso consegue acessar um dos posts do seu empregador em um site de rede social e descobre alguns detalhes sobre o recente feriado do funcionário, o cibercriminoso pode depois usar essa informação em um e-mail de phishing. Quando o empregado recebe um e-mail de alguém fingindo ser um colega - e aquele e-mail menciona alguns detalhes sobre férias do empregado - é mais provável se parecer com um e-mail verdadeiro. E, se a mensagem pede ao empregado para clicar e confirmar o acesso à rede da empresa, o cibercriminoso pode capturar as senhas de acesso necessárias.
Laptops perdidos
Todos nós já lemos sobre aqueles indivíduos infelizes que já deixaram seus laptops em táxis, trens ou restaurantes. O potencial de informações de negócios altamente sensíveis caindo nas mãos erradas é alarmante. Quando isso acontece, pode danificar seriamente a reputação do negócio de uma organização e resultar em multas pesadas. Uma saída é escolher uma solução de segurança que criptografa as informações da empresa para que, mesmo se um laptop for perdido ou roubado, seja praticamente impossível que cibercriminosos acessem as informações no disco rígido do laptop.
40 Entendendo a criptografia A criptografia é uma forma particularmente astuta de vencer os criminosos em seu próprio jogo. Assim como espiões na versão mais recente de cinema codificam as mensagens de forma que apenas os seus destinatários pode entendê-las, a criptografia permite codificar informações sensíveis do seu negócio - por isso as informações não podem ser decodificadas sem a chave de decodificação necessária. Isso significa que se alguma das informações confidenciais da sua empresa for acessada por cibercriminosos, eles não serão capazes de vê-la em sua forma legível - a menos que tenham a sua chave secreta de decodificação. No caso de um membro de sua equipe perder seu laptop ou esquecer um cartão de memoria USB cheio de informações confidenciais, se os dados no laptop ou cartão de memória já tiverem sido criptografados, você pode evitar o constrangimento de vazamento de informações.
As ameaças móveis
Indivíduos e empresas podem ambos cair na armadilha de pensar que os seus smartphones e iPhones são apenas telefones. Eles não são: eles são poderosos computadores que podem armazenar uma grande quantidade de informações confidenciais da empresa - assim, perda ou roubo de um aparelho celular pode causar graves violações de segurança. Se um smartphone perdido ou roubado não estiver protegido com um PIN (ou, melhor ainda, um código mais longo), quem acessa pode simplesmente acessar qualquer conta online usada no dispositivo.
41 No entanto, algumas soluções incluem recursos de segurança operados remotamente - tais como os que lhe dão a possibilidade de contato com o seu telefone perdido e permissão para ‘limpar’ todos os dados dele. Se a sua solução de segurança escolhida também incluir um recurso de criptografia de dados, isto também pode adicionar uma camada adicional de proteção. Mesmo se um criminoso encontrar o telefone antes que você perceba a sua falta e você ainda não tenha tido a chance de limpar seus dados - o fato de que as informações sobre o telefone foram criptografadas garantem que o criminoso não conseguirá ler os dados. Além disso, como smartphones e tablets de hoje são realmente computadores, eles são vulneráveis a um volume crescente de malware e ataques que se tornaram comuns em desktops e laptops - incluindo vírus, worms, cavalos de Troia, spam e phishing. Portanto, é imprescindível a utilização de software de segurança para proteger dispositivos móveis (para saber mais, obtenha a sua cópia gratuita do Mobile Security & BYOD para Leigos no site: http://brazil.kaspersky.com/ produtos-para-empresas). A DIC
42
Capítulo 4
Planejamento para melhor segurança da informação Neste capítulo ▶ Beneficiando-se de uma simples avaliação de seus riscos
de negócios
▶ Melhorando a sensibilização para as questões de
segurança do seu pessoal
▶ Compreendendo como a computação em nuvem pode
afetar a segurança
▶ Avaliando os prestadores de serviços de computa-
ção em nuvem
Q
uando se trata de segurança de TI, algumas pessoas pensam: “É tudo muito difícil. Vou cruzar os dedos e esperar pelo melhor”. Desejamos-lhes boa sorte com essa abordagem. No entanto, quando os seus clientes e parceiros de negócios começam a processar a empresa como resultado de um incidente de perda de dados, a empresa não deu realmente muito com que seu advogado de defesa pudesse trabalhar. Assim, neste capítulo, vamos considerar algumas medidas de segurança simples que você pode introduzir sem gastar nada em software ou hardware e nós consideramos como a computação em nuvem pode afetar a estratégia de segurança de uma empresa.
44
Negócio arriscado? A realização de uma avaliação de risco pode soar como uma tarefa onerosa que é melhor realizada por uma equipe de cientistas com jalecos brancos e pranchetas. No entanto, se você está interessado em melhorar a segurança da informação, nesta seção nós compartilharemos alguns conceitos simples que formam a base de uma avaliação de valor dos riscos que a sua empresa enfrenta. Comece fazendo a si mesmo algumas perguntas básicas: ✓ Onde as informações da minha empresa estão armazenadas? ✓ Qual é o valor destas informações - para o meu negócio e para um responsável por um ataque em potencial? • Quais seriam as consequências para o meu negócio, se qualquer informação confidencial caísse nas mãos erradas? • Como é que um vazamento de informações afetaria as relações do meu negócio com clientes, colaboradores e parceiros de negócios? • Qual seria o custo provável - em termos de perda/ penalidades financeiras e reputação empresarial danificada? ✓ O que meu negócio está fazendo para proteger as informações confidenciais? ✓ As disposições de segurança da informação da minha empresa são adequadas? • Como essas disposições de segurança se comparam com a norma prevista dentro do meu setor de mercado e para o meu tamanho de negócio? (Não se esqueça, conforme seu negócio cresce, você provavelmente vai precisar
45 implementar níveis mais elevados de segurança da informação.) • Será que um tribunal concorda que a segurança da minha empresa é suficiente? (Uma resposta honesta a essa pergunta pode acabar com qualquer empresa que esteja tentando varrer toda a questão para debaixo do tapete ao mentir para si mesma que uma segurança inadequada é boa!) ✓ Qual é a probabilidade de o meu negócio sofrer um vazamento de informações confidenciais? (Lembre-se, isso poderia resultar de um evento simples, como a perda de um laptop ou smartphone. Não importa o quanto você é diligente, até que ponto os seus funcionários são cuidadosos?) Suas respostas serão úteis para ajuda-lo a decidir sobre como proceder para melhorar a segurança da informação.
Educando funcionários na arte da segurança Quando se trata de proteger informações valiosas, “o precavido vale por dois” (“quatro braços” também ajudariam a tirar mais proveito do seu dia de trabalho mas, a menos que o seu negócio seja na indústria biônica, isso nunca vai acontecer!). Então, certificar-se de que você e seus funcionários estejam cientes da grande variedade de riscos de segurança - e como evitá-los - é essencial. É surpreendente como muitas empresas não conseguem dedicar esforços o suficiente para espalhar a notícia sobre a melhor prática de segurança entre o seu pessoal - apesar de que educar os funcionários sobre os riscos de segurança e como evitá-los pode ser uma das formas mais rentáveis de tornar a vida mais difícil para cibercriminosos. Trazer funcionários para o seu lado na batalha por uma melhor segurança não precisa ser difícil:
46 ✓ Considerar todos os riscos do cibercrime que podem afetar o seu negócio e decidir sobre como seus funcionários podem ajudar a evitar esses riscos de malware potenciais. Apesar do caráter sofisticado das ameaças de hoje, muitos ataques começam simplesmente enganando alguém para fazer algo que põe em risco a segurança do negócio, tal como clicar em um link num e-mail que lança pishing. ✓ Elaborar e compartilhar uma política de segurança que defina claramente como você espera que sua equipe se comporte com relação à manutenção da segurança e eliminação de riscos desnecessários. ✓ Realizar sessões de sensibilização do pessoal regularmente. Destinam-se a aumentar a conscientização sobre questões principais, tais como: • A necessidade de usar senhas diferentes para cada aplicação e conta. • Os perigos do Wi-Fi público e como evitá-los. • Como detectar tentativas de lançamento de phishing. • As consequências da perda de um dispositivo móvel para segurança. ✓ Aplicar a política de segurança da sua empresa - por exemplo, certificando-se de que todos usam senhas fortes para proteger o acesso a informações de negócios, contas bancárias e muito mais (veja a barra lateral “O que faz com que uma senha seja forte?” para obter dicas sobre isto). ✓ Revisar a política de segurança, como e quando surgem novos riscos ou adotar novos processos de trabalho. ✓ Executar cursos de reciclagem para manter as questões de segurança em mente para seus funcionários.
47 ✓ Certifique-se de que os novos funcionários recebam sessões de sensibilização para a segurança como parte de sua indução. A DIC
O que torna uma senha forte? Se um de seus funcionários configurar uma senha baseada em uma palavra fácil de lembrar ou uma simples sequência de números, um cibercriminoso pode facilmente adivinhar a senha. Senhas fortes usam uma combinação de letras maiúsculas e minúsculas, números e símbolos especiais. Elas devem ter oito caracteres de comprimento, no mínimo. Certifique-se de que nenhum dos seus funcionários use a mesma senha para vários aplicativos e/ou contas diferentes da Internet. Se um cibercriminoso consegue descobrir a senha do Facebook de um funcionário, esta não deve ser a mesma senha que dá acesso ao cibercriminoso para o sistema de e-mail empresarial.
Nas nuvens Nos últimos anos, a fama da computação em nuvem tem crescido. Empresas de todos os formatos e tamanhos estão avaliando o potencial da nuvem para simplificar o armazenamento de informações e reduzir custos operacionais. Em muitos casos, pequenas e médias empresas têm estado na vanguarda do movimento para a nuvem. Às vezes, as organizações menores podem ser mais rápidas do que as grandes empresas para adotar novas estratégias de negócios. Ao mesmo tempo, as empresas menores costumam ser mais conscientes da necessidade de se concentrar em suas atividades principais. Então, qualquer coisa que permita a empresa a subcontratar atividades não
48 essenciais de TI para um terceiro pode ser vista como benéfica.
Com ou sem nuvem, suas informação são sua responsabilidade Se você está pensando em usar a computação em nuvem, esteja ciente de que terceirizar o armazenamento de suas informações de negócio - e a entrega de alguns ou de todos os seus aplicativos - não exime o seu negócio de suas responsabilidades de segurança. Também não garante automaticamente que as suas informações confidenciais de negócios estejam totalmente protegidas. Ainda são informações da sua empresa, independentemente do local onde estão armazenadas. Assim, a proteção dessas informações ainda é de sua responsabilidade - e isso é exatamente como a lei encara suas obrigações. Considere também como você está acessando essas informações diariamente. Mesmo que o seu fornecedor de serviços de nuvem tenha credenciais impecáveis e segurança rigorosa, você ainda tem que se certificar de que todos os dispositivos que a sua empresa usa para acessar a informação têm a segurança adequada. Você precisa executar uma solução de segurança local, que proteja todos os desktops, notebooks, servidores e dispositivos móveis que a sua empresa utiliza.
Uma necessidade constante de estar ‘ciente da segurança’ Com uma solução de nuvem, você ainda precisa ter certeza de que você e seus funcionários estão aderentes a todas as melhores práticas que você definiu em sua política de segurança. Por exemplo, senhas fortes ainda são necessárias para ajudar a prevenir o acesso não autorizado às suas informações, e seus funcionários precisam continuar se protegendo contra a perda de dispositivos móveis.
49 Você também precisa avaliar todos os riscos de segurança da informação potenciais e assegurar que a sua equipe esteja ciente de precauções de segurança simples. Na verdade, a única coisa que a nuvem muda é que as informações serão armazenadas fora do local por um fornecedor terciário.
Atenção com os catches em nuvem O mercado de computação em nuvem está razoavelmente estabelecido com alguns provedores de serviços em nuvem muito capazes. No entanto, muitas soluções de armazenamento em nuvem foram desenvolvidas para os consumidores. Em alguns casos, a segurança pode ter sido pouco mais do que uma reflexão tardia e pode ser insuficiente para usuários empresariais. Considere as seguintes perguntas quando você está selecionando um fornecedor: ✓ Quem será o dono das minhas informações de negócios, quando elas estiverem sendo armazenadas na nuvem? ✓ O que acontece se o provedor de serviços em nuvem parar de comercializar?
• Eu ainda vou ser capaz de acessar minhas informações?
• Haverá um período de tempo de inatividade, enquanto as minhas informações estiverem sendo transferidas para outro provedor de serviços para armazenamento?
• Será que o fornecedor original ainda terá cópias das minhas informações - e há alguma maneira de garantir que estas cópias serão excluídas?
✓ Como faço para cancelar o meu contrato?
50
• Se eu terminar, como faço para transferir minhas informações de negócios? • Existe um processo simples e rápido para mover meus dados armazenados para um novo fornecedor? ✓ Até que ponto são robustos os computadores que o fornecedor utiliza para armazenar meus dados e os sistemas de comunicação que o fornecedor utiliza para fazer a minha informação acessível quando eu precisar dela? • O fornecedor garante o acesso permanente às minhas informações (para que eu possa acessar informações importantes quando eu precisar e não ser afetado pelo fornecedor constantemente reivindicando que o seu “sistema está fora de serviço”)? • O fornecedor tem tecnologia adequada para garantir uma rápida recuperação a partir de uma grande falha ou um ataque a seus sistemas de computação - sem que isso afete a segurança e acessibilidade das minhas informações? • Qual o nível de segurança que o fornecedor oferece para proteger minhas informações contra perda e acesso não autorizado? (Lembrando que eu ainda preciso executar software de segurança em todos os computadores e dispositivos móveis que uso para acessar essas informações.) ✓ Onde as minhas informações serão armazenadas? • O armazenamento fora do país levantará questões legais ou de conformidade para o meu negócio? A DIC
Você nunca contemplaria deixar seu filho sob os cuidados de alguém que você não houvesse verificado e não confiasse totalmente. Da mesma
51 forma, se o seu negócio for o seu ‘bebê’, você precisa investir um pouco de tempo para avaliar qualquer provedor de serviços em nuvem em potencial, a fim de assegurar que as informações confidenciais e sensíveis do seu negócio estariam seguras sob seus cuidados.
A
Pode haver alguns argumentos muito convincentes para mover o armazenamento de informações - e alguns aplicativos de software - para a nuvem. No entanto, você precisa adentrá-la com os olhos bem abertos. Mesmo que a computação em nuvem possa ajudar a simplificar alguns aspectos, ela também pode adicionar uma nova camada de complexidade quando se trata de escolher e gerenciar o seu provedor de serviços em nuvem. O VIS
A computação em nuvem não diminui suas obrigações para proteger informações confidenciais. É sua a responsabilidade de proteger as informações confidenciais - e é sua responsabilidade se você escolher um fornecedor que lhe decepciona com segurança inadequada.
52
Capítulo 5
Escolhendo software de segurança para atender ao seu negócio Neste capítulo ▶ Selecionando o fornecedor de software de segurança
certo para você
▶ Garantindo que você receba o apoio necessário ▶ Pensando em como as suas necessidades de segurança
da informação podem mudar
▶ Decidindo sobre o nível ideal de software de segurança
E
ntão, você já avaliou os riscos de segurança para o seu negócio e educou sua equipe sobre a importância da segurança da informação (claro, se você é a soma total dos funcionários, este poderia ser um curso de formação bastante curto). Agora é a hora de escolher a solução de software de segurança que está em melhor posição para ajudar a proteger o seu negócio.
Selecionando o fornecedor certo Quando você está tentando escolher entre vários softwares de segurança de TI disponíveis no mercado, o objetivo é de selecionar um que seja capaz de se adaptar à forma como suas necessidades podem mudar quando o seu negócio crescer.
54 A DIC
Mostre algum apoio! Pergunte aos fornecedores sobre o nível de suporte que você terá se problemas surgirem quando você estiver operando o software ou se a sua empresa sofrer um ataque ou violação de segurança. Ser capaz de pegar o telefone e ter alguém orientando-o através de todas as questões complicadas, não é apenas conveniente e reconfortante - também poderia poupar-lhe muito tempo e ajudar a obter os seus computadores e processos de negócio instalados e funcionando novamente o mais rápido possível. Por outro lado, se um fornecedor espera que você procure em sua base de conhecimento online e encontre a sua própria solução para a dificuldade, isso pode desviá-lo das atividades comerciais importantes por um tempo significativo. E não é incrível como esses tipos de incidentes parecem aguardar o momento quando você está mais ocupado - com um prazo apertado para concluir aquela proposta detalhada para o negócio da sua vida! Tente selecionar um fornecedor que ofereça suporte local. . . na sua língua local. . . no seu fuso horário local.
Escolher um fornecedor de segurança de apoio é uma parte importante do processo de seleção. Enquanto o mercado inclui alguns excelentes produtos de software de segurança e pacotes que oferecem uma série de tecnologias de segurança anti-malware e Internet, considere o que pode acontecer quando o seu negócio supera o pacote que você comprou: ✓ Será que o seu fornecedor escolhido é capaz de oferecer outros pacotes mais abrangentes, para os quais você pode migrar?
55 ✓ O produto permite que você inclua recursos extras para que você possa proteger novas adições à sua TI, como servidores virtualizados, sem alterar seu produto de segurança ou ter de obter ajuda especializada para resolver todos os problemas de integração demorados? Estas perguntas podem não parecer vitais agora. No entanto, conforme a sua empresa cresce, elas podem ajudá-lo a evitar a interrupção e os custos associados com a necessidade de mudar de um fornecedor de segurança para outro.
Obtendo mais - em menos tempo Para qualquer negócio, é importante identificar soluções de software que sejam fáceis de usar. Afinal, quem quer passar horas intermináveis criando e gerindo software de segurança, quando uma solução superior pode automatizar muitos processos de segurança e deixá-lo com mais tempo para outras atividades de negócio? Facilidade de uso é vital - especialmente se você não tiver especialistas em segurança de TI na empresa. No entanto, mesmo que o seu negócio cresça e você potencialmente contrate pessoal especialista em TI e segurança, um software de segurança fácil de usar ajuda a aumentar a sua produtividade.
Simplificando o gerenciamento de segurança A interface de usuário para a maioria dos softwares de segurança é muitas vezes indicada como um console de gerenciamento. Um pouco como os diversos mostradores, luzes e interruptores no painel de um carro, o console deve dar-lhe uma visão geral rápida de como o produto está funcionando, indicar quaisquer questões das quais você precisa estar ciente e permitir que você faça ajustes. Parece bastante simples - mas alguns fornecedores de software não deixam as coisas tão fáceis quanto poderiam ser.
56 Alguns fornecedores de software de segurança esperam que os seus clientes usem vários consoles de gerenciamento diferentes, a fim de controlar as diversas tecnologias de proteção diferentes dentro do pacote do fornecedor do produto. Às vezes, isso é porque o fornecedor de segurança adquiriu tecnologias diferentes, como e quando eles compraram de outras empresas de segurança. Seja qual for a razão, a necessidade de se usar vários consoles pode ser demorada e potencialmente muito confusa para o operador. Por outro lado, algumas soluções de segurança permitem que você visualize, controle e defina políticas para todas as tecnologias de segurança do pacote - por meio de um único console de gerenciamento unificado. Isso pode significar que você só tenha que se familiarizar com uma interface intuitiva que dá uma visão clara de todas as tecnologias de proteção do fornecedor que estão sendo executadas em sua rede de computação. Se você for pessoalmente responsável por gerenciar o software de segurança da sua empresa, este nível de usabilidade e capacidade de gerenciamento significa que você tem mais tempo para todos os outros aspectos muito mais importantes do seu negócio. No entanto, mesmo se você estiver usando um especialista externo ou interno de TI para manter o seu software de segurança funcionando como deveria, se você tem um console de gerenciamento fácil de usar, isto pode ajudar a controlar os custos e aumentar a eficiência. A
O VIS
Reportando de volta a você Qualquer produto de segurança que lhe oferecer a flexibilidade necessária para gerar uma ampla gama de relatórios sobre o status de segurança e vulnerabilidades em sua TI - incluindo dispositivos móveis e BYOD - pode
57 ajudar a dar-lhe muito mais visibilidade quanto a qualquer problema.
High Flyer ou Estilo de Vida de Negócio: Identificando suas Necessidades de Segurança Levar um pouco de tempo para dar uma olhada objetiva em seu negócio e as suas aspirações realmente vale a pena. Pode ser tentador ter uma visão de fanfarrão e se empolgar ao imaginar que um dia o seu negócio será uma multinacional capaz de rivalizar com os maiores conglomerados. No entanto, nem todo dono de empresa quer isso para o seu negócio. É claro que muitas empresas têm crescido passando de origens humildes na mesa da cozinha ou na garagem a campeãs mundiais. No entanto, se o seu é um “negócio de estilo de vida” no qual o seu objetivo principal é crescer sua receita de negócios para um nível que financia um bom estilo de vida para você e sua família - não há decididamente nenhuma vergonha nisso. Reconhecer o que você quer pode ajudá-lo a fazer as escolhas ideais quando se trata de investir em TI e segurança. O truque é compreender: ✓ Que tipo de negócio você tem agora. ✓ Como o seu negócio poderia estar dentro de um ano. . . e além disso. Armado com estas informações, você estará em uma posição muito melhor para decidir como suas necessidades de segurança da informação podem mudar. Então você pode se concentrar na escolha de um produto de software de segurança que é certo para o seu negócio agora, e possui flexibilidade e escalabilidade suficiente para se adaptar conforme o seu negócio precise de mudanças.
A
58 O VIS
A escolha da solução de segurança errada pode não ser catastrófica - mas poderia custar-lhe tempo e dinheiro, agora ou no futuro.
De segurança familiar a proteção de nível de negócios Produtos de software de segurança estão disponíveis para todos os tamanhos de negócios. A solução ideal para você depende de uma série de fatores.
Produtos de segurança para usuário doméstico Se a TI de seu negócio começou apenas com o seu próprio laptop pessoal, há chances de que você já estivesse executando uma das muitas soluções de segurança destinadas a usuários domésticos. Alguns excelentes pacotes voltados ao consumidor combinam tecnologias de segurança anti-malware e tecnologias inovadoras de segurança na Internet. Alguns até oferecem camadas adicionais de proteção para operações bancárias online, e outras transações financeiras na Internet. Para as empresas com poucos funcionários, um produto de usuário doméstico pode ser a solução ideal. No entanto, com a falta de produtos de consumo no mercado, você precisa gastar um pouco de tempo avaliando as características e funções que cada produto oferece. Uma solução que só oferece proteção antivírus não será o suficiente no ambiente de alta ameaça de hoje. Normalmente, o software de segurança que está voltado para o usuário doméstico pode ser bom para os negócios de uma a quatro pessoas - desde que a licença de software permita que entidades comerciais possam utilizar o software. No entanto, a maioria dos pacotes de usuário doméstico pode ser difícil de gerir quando cinco ou mais
59 pessoas o usam dentro da empresa. Estes tipos de pacotes, muitas vezes não se tornam mais fácil - ou rápidos - para aplicar a mesma configuração de segurança e opções em todos os laptops, desktops e dispositivos móveis que a empresa utiliza. A
O VIS
Se você está com o objetivo de ampliar o seu negócio de forma significativa, você poderá acabar em breve com uma extensa e complexa infraestrutura de TI. Assim, a escolha de um produto de segurança de usuário doméstico - que não pode crescer com o seu negócio - pode levar a uma movimentação cara e prejudicial para uma nova solução em um estágio crítico no crescimento da sua empresa.
Antivírus de software gratuito Se você estiver usando um software de antivírus gratuito, você pode querer continuar usando o mesmo software de segurança quando o negócio começar a expandir. Ao mesmo tempo em que isso poderia ser uma solução razoável para alguns requisitos de segurança, vale a pena considerar exatamente o que o software gratuito proporciona - e o que não proporciona. Ele oferece todas as tecnologias necessárias para se defender contra as últimas ameaças contra a segurança e as novas formas sofisticadas através das quais cibercriminosos tentam roubar informações valiosas? Se ele só inclui capacidades de antivírus e alguns adicionais de segurança na Internet, pode não ser adequado para se proteger contra toda a gama de ameaças. Muitos pacotes de software gratuitos não são destinados ao uso por empresas. Os termos e condições da licença gratuita, muitas vezes impedem o uso por qualquer organização comercial. Assim, usar software gratuito pode
60 ser ilegal. Em outros casos, o fornecedor do software gratuito cobrará uma taxa quando o software for utilizado por uma empresa. A DIC
Cachorrinho gratuito para um bom lar. . . Que grande negócio! Você sempre quis ter um cão fiel ao seu lado - e desta forma você evitou as taxas que os criadores de cães exigem. Ok, é um vira-lata, mas é o seu vira-lata e, melhor de tudo, totalmente gratuito. Gratuito. . . Além do trabalho, a bagunça (desculpe trazer isso à tona, mas é o seu cão - assim você terá de limpá-lo), e todas aquelas despesas. Sim, você tinha contabilizado o custo das vacinas e as visitas de rotina ao veterinário, mas você pensou que ele mastigaria tanto a sua mobília? Na realidade, não há muita coisa na vida que seja verdadeiramente gratuita. Muito parecido com o seu cachorro gratuito, software de segurança gratuito pode ter custos ocultos. Pode ser que a versão gratuita do software continue a piscar anúncios de produtos de terceiros ou passe o tempo tentando vender-lhe as virtudes de sua versão premium ‘paga’. De qualquer maneira, sendo um conjunto de anúncios de banner ou esforços do pacote para lhe vender versão atualizada do software, essas distrações podem afetar a produtividade de seus funcionários. Mesmo que o software não faça nenhuma dessas coisas, você pode achar que quando você precisar de qualquer apoio do fornecedor de software, isso poderia ser caro.
Soluções de segurança para grandes empresas Tendo adquirido uma compreensão das ameaças por aí, você pode optar por ir direto ao ponto e comprar a solução de segurança mais completa do mercado.
61
A
No entanto, isso pode realmente não ser ideal para um negócio pequeno. Muitas empresas não conseguem perceber que, para a maior parte dos produtos de software, há uma relação inversa entre a funcionalidade e a facilidade de uso. Produtos que incluem funções que apenas empresas de grande porte precisam, podem ser muito mais difíceis de configurar e gerenciar, quando comparados a produtos que foram desenvolvidos com empresas de pequeno porte em mente. Assim, a empresa de pequeno porte que decide simplificar o processo de seleção - por apenas escolher o produto de software mais abrangente - pode tornar a vida difícil até algum momento no futuro distante. . . quando o negócio eventualmente crescer o suficiente para usar seu software de segurança escolhido! Por outro lado, você também precisa saber que, conforme seu negócio cresce, o seu fornecedor de segurança escolhido pode ajudar você a gerenciar suas novas necessidades de segurança - sem ter de tirar o seu produto já existente e começar tudo de novo. O VIS
Soluções de segurança para empresas de grande porte podem incluir tecnologias avançadas que protegem ambientes complexos. No entanto, se a sua rede é relativamente simples - e é provável que continue assim - você pode estar pagando por recursos que você nunca vai usar. Além disso, uma solução de segurança excessivamente complexa pode ser muito mais complexa para ser executada. . . em todas as fases de sua vida. A partir da configuração inicial, através de gestão em curso, uma solução de nível corporativo pode ter habilidades e tempo que uma empresa de pequeno porte pode não ter de sobra. Simplificando, as soluções de nível corporativo muitas vezes assumem que os recursos de nível
62 empresarial e conhecimentos de TI de nível corporativo estão à mão.
Segurança em nível de consumidor proativo Segurança de consumidor proativo? Sim, é um desses termos inventados por tipos marqueteiros afiados de terno - mas o que isso realmente significa? (A propósito, se você estiver gerenciando uma agência de marketing ... só queria dizer que você fica muito bem de terno!) Na sua forma mais eficaz e útil, soluções de segurança em nível de consumidor proativo constróem uma ponte entre produtos fáceis de usar que foram desenvolvidos para usuários domésticos e produtos de nível corporativo que podem fornecer funcionalidade extra, mas podem ser mais complexo de configurar e gerenciar.
A
Assim, produtos para consumidor proativo pretendem combinar as capacidades estendidas que as empresas exigem, além da facilidade de uso que é necessária quando a empresa não tem uma equipe de especialistas em segurança de TI no local. Quando os fornecedores de segurança obtiverem este equilíbrio, os produtos de consumidores proativos oferecem uma combinação irresistível para muitas empresas. O VIS
Há uma grande diferença entre um produto de segurança que foi desenvolvido “a partir do zero” para satisfazer as necessidades de empresas de pequeno porte, e um produto de nível corporativo que foi simplesmente reembalado para o mercado de pequenos negócios. Se um fornecedor está vestindo seu produto de nível corporativo como um produto de consumidor proativo, você poderia acabar com uma segurança que é muito complexa e demorada para ser executada.
63 Seja qual for o tamanho do seu negócio, certifique-se de escolher um fornecedor que investiu tempo para considerar os desafios únicos que uma organização como a sua enfrenta, e desenvolveu uma solução de software que é otimizada para empresas como a sua.
Quando a corporação encontra o consumidor proativo Somente para confundir ainda mais a questão, nem todos os produtos de segurança de grandes empresas são adequados para as pequenas empresas. É verdade que os produtos que foram desenvolvidos sem pensar nos desafios específicos que as empresas menores enfrentam não são suscetíveis de serem adequados para as organizações que não têm recursos de suporte de segurança de TI no local. No entanto, há também uma classe de produtos de segurança empresarial que tem como base uma arquitetura simples e modular. Aqui, o fornecedor pode oferecer vários níveis de pacotes de software, com cada camada fornecendo uma combinação diferente de tecnologias de proteção. O nível mais baixo pode oferecer proteção de nível básico que é bem adequado para as redes de TI simples nas quais empresas de porte menor operam. Em seguida, as camadas mais altas adicionam mais tecnologias de proteção, com o produto final da camada oferecendo a segurança do fornecedor em ambientes mais complexos de TI - incluindo suporte para sistemas operacionais múltiplos e várias plataformas de dispositivos móveis, segurança personalizada para ambientes virtualizados e tecnologias especiais para proteger portais da Internet, servidores de e-mail e muito mais.
64
LEM
Com esses produtos modulares, as empresas ambiciosas podem se beneficiar de uma solução de segurança que aumenta prontamente conforme elas crescem - sem o negócio de ter de gerenciar a interrupção da migração de uma solução de segurança relativamente pequena para uma solução em nível corporativo. M-SE BRE
Se parecer que você tem muitas escolhas, lembre-se que a gama de diferentes empresas é quase ilimitada - e todas elas têm diferentes requisitos de segurança. Então faça uma boa escolha. Mesmo que demore um pouco de tempo para entender os prós e contras das várias opções, ao fazer isto significa que você será capaz de selecionar a solução de segurança que corresponda às suas necessidades.
Capítulo 6
Dez perguntas para ajudar a identificar como proteger o seu negócio Neste capítulo ▶ Avaliando o que sua empresa precisa ▶ Avaliando suas obrigações legais ▶ Decidindo sobre a política de segurança
A
qui estão dez perguntas simples para ajudá-lo a descobrir o que é necessário para proteger o seu negócio contra a cibercriminalidade, malware e outros riscos à segurança: ✓ Você já avaliou os riscos potenciais de segurança para o seu negócio e identificou quais informações e computadores precisam ser protegidos? ✓ Além de proteger os computadores, você também precisa proteger os dispositivos móveis e um programa de BYOD? ✓ Você está ciente das obrigações legais e regulamentares aplicáveis ao seu negócio no que diz respeito à segurança de informações confidenciais?
66 ✓ Você já definiu algumas políticas básicas de segurança que a empresa pode usar para manter a informação, computadores e outros dispositivos de segurança? ✓ Você já criou um programa de educação simples para ajudar a melhorar a sensibilização para as questões de segurança e motivar funcionários a evitarem falhas de segurança? ✓ Você já avaliou os produtos de software de segurança disponíveis no mercado - com base na facilidade de uso, níveis de proteção que eles oferecem e sua capacidade de acomodar novas necessidades? ✓ Será que o seu fornecedor de software de segurança escolhido oferece o nível de apoio que você precisa na sua língua e no seu fuso horário? ✓ Será que você se beneficia de funcionalidades de segurança adicionais que fornecem uma camada adicional de proteção para operações bancárias online e transações financeiras? ✓ Se você está adotando a computação em nuvem, você tem verificado a adequação da segurança do seu provedor de serviços em nuvem escolhido e os termos do contrato? ✓ Já escolheu um produto de software de segurança capaz de proteger todos os computadores e dispositivos móveis que a sua empresa utiliza para acessar a informação que está armazenada em nuvem? As consequências de violações de segurança da informação e os ataques cibercriminosos podem ser devastadores – certifique-se que seu negócio e seus sistemas de TI estejam protegidos por um produto de software de segurança rigorosa. A seguir mais detalhes . . .
Segurança na qual o seu negócio pode depender Com as tecnologias de segurança premiada da Kaspersky Lab que protegem seus computadores, informações comerciais e dispositivos móveis, você pode utilizar mais tempo em suas atividades principais. . . e menos tempo se preocupando com malware e cibercriminosos.
Soluções de segurança para empresas em crescimento Kaspersky Endpoint Security for Businessoferece um produto personalizado para atender às necessidades específicas do seu negócio. Basta escolher o nível que se adapta às suas necessidades empresariais. Conforme seu negócio cresce e sua rede de TI se torna mais complexa, você pode passar para o próximo nível. . . todo o caminho para a nossa solução de segurança máxima - Kaspersky Total Security for Business. Kaspersky Segurança Total para Negócios combina funções de gerenciamento de sistemas essenciais para ajudar você a gerenciar e proteger todos os seus endpoints: ✓ PCs com Windows, Macs e Linux ✓ Máquinas físicas e virtuais ✓ Dispositivos móveis - Android, iOS, Windows Phone, Windows Servidores Mobile, BlackBerry e Symbian ✓ Arquivo, e-mail, Internet e colaboração Para saber mais sobre o Kaspersky Endpoint Security for Business e Kaspersky Total Security for Business , visite http://brazil.kaspersky. com/produtos-para-empresas
Soluções de segurança para empresas de pequeno porte A Segurança para Escritórios de Pequenas Empresas 3 da Kaspersky foi projetada especificamente para empresas que necessitam de segurança de classe mundial. . . sem o incômodo ou a necessidade de recrutar especialistas de segurança de TI. Ela protege seus PCs Windows, laptops e servidores de arquivos e dispositivos móveis Android contra as ameaças complexas de hoje. Com a Segurança para Escritórios de Pequenas Empresas da Kaspersky, é rápido e fácil proteger seus sistemas de TI, serviços bancários online e informações confidenciais da empresa incluindo as informações sigilosas que seus clientes confiam a você: • Líder na indústria, proteção em tempo real para PCs com Windows e servidores de arquivos • Tecnologias de Safe Money e Teclado Virtual - fornecem segurança adicional para operações bancárias online • Gerenciamento de senha - ajuda você a usar senhas fortes. . . e mantê-las seguras • Criptografia - mantém suas informações confidenciais. . . confidenciais • Controle da Web - aumenta a produtividade, restringindo sites e bloqueando conteúdo malicioso • Segurança móvel - protege smartphones e tablets Android contra malware Para descobrir como a Segurança para Escritórios de Pequenas Empresas da Kaspersky pode proteger o seu negócio, visite www.kaspersky.com/protectmybusiness
Dicas essenciais como Essential tips onsobre defending defender o seu negócio your business against contra malware e cibercrime malware and cybercrime Desde empresas recém-estabelecidas até
From start-ups to multinationals, multinacionais, todas as empresas estão all cada vez mais dependentes de computadores e businesses are increasingly reliant on dispositivos and móveis - e issodevices significa–que computers mobile andelas that estão cada vez mais vulneráveis a ataques means they’re increasingly vulnerable to maliciosos. Este livro fácil de ler traz dicas malicious sobre comoattacks. protegerThis suaseasy-to-read informações debook negócioyou - incluindo confidenciais brings tips oninformações how to protect your sobre seusinformation clientes - e como protegersensitive os seus business – including computadores e dispositivos móveis contra information about your customers – and vírus e outros malwares, assim você gasta how totempo secureem your computers mobile menos segurança e maisand tempo no funcionamento de seuand negócio. devices against viruses other malware, so• Eyou spend less time on security and ntenda os riscos – saiba o que está em more your business. jogotime pararunning o seu negócio • S• aiba mais sobre the as ameaças como Understand risks ––know criminosos escolhem negócios
what’s at stake for your business
• Plano para se proteger – ao evitar • Learn about the threats – armadilhas de segurança comuns
how criminals businesses • Defenda seus dadostarget – com software de segurança fácil de usar • Plan to protect – by avoiding
Abra othe livro Open book e descubra: and find: • Uma visão geral dos
• An overview métodos típicosof de ataques de cibercrime typical cybercrime methods • attack Maneiras simples de aumentar a sua
• Simple ways to boost segurança da informação your information • Como escolher um security software de segurança certo para o seu negócio
• How to choose security software that’s right for your business
the common security pitfalls
Georgina Gilmore tem experiência • Defend – withde TI. de mais de 20your anos data na indústria Georgina é Diretora Sênior da Global easy-to-use security software Cliente B2B & Partner Marketing da Kaspersky Lab. Peter Beardmore entrou Georgina Gilmore has2008, over 20 years’ experience na Kaspersky Lab em com amplas inhabilidades the IT industry. Georgina de is Senior de marketing TI e Director of Global B2B Customer & Partner gerenciamento de produtos. Ele Marketing é Diretor atSênior Kaspersky Lab. Peter de Marketing deBeardmore Produto. joined Kaspersky Lab in 2008 with extensive IT marketing and product management skills. He is Senior Director of Product Marketing.
Tornando tudo mais fácil!
Making Everything Easier!™
Vá para Dummies.com® ® Go to Dummies.com para acessar vídeos, exemplos passo for videos, step-by-step examples, a passo, artigos “como fazer” ou para how-to articles, or to shop! fazer compras!
ISBN: 978-1-118-84806-7 ISBN: 978-1-118-84041-2 Não é permitida a revenda Not for resale