Com o crescimento vertiginoso dos ataques cibernéticos às empresas ao redor do globo, a segurança da informação se tornou uma das grandes preocupações dos CSO e demais gestores de TI. O mais preocupante é que grande parte das empresas não têm o devido conhecimento do assunto e estão se tornando cada vez mais vulneráveis. Muitos especialistas compreendem que um Firewall e um antivírus é que que se precisa para ter a segurança adequada para os computadores e servidores implantados no perímetro corporativo.
Em um vídeo no meu canal do YouTube acessível na URL https://www.youtube.com/watch?v=Nqww9RuGSGs, eu demonstro como manipular um Firewall por traz de um servidor Web e escalar os privilégios para ganhar acesso administrativo na máquina remota. Sempre que tenho reunião com um empresário como eu, procuro fazê-lo compreender que a tecnologia da informação só trará benefícios para a empresa dele se os ativos forem bem administrados e controlados em todas as áreas da empresa. E isso inclui o principal ponto de falha dentro das empresas: os usuários! Sempre que o executivo compreender entender que a TI não é o foco do seu negócio, a empresa terá grandes problemas que afetarão não apenas seus ativos, como também sua reputação e sua imagem, além dos dados da empresa.
A segurança da informação começa pelo planejamento, identificando quais as políticas devem ser elaboradas para a empresa.
A definição de um firewall, antimalware e antivírus devem ser consequências de um conjunto de políticas bem elaboradas que definirão, inclusive, como essas ferramentas devem estar configuradas para atuar dentro das empresas.
As políticas devem contemplar Objetivo, Escopo, Responsabilidades (incluindo terceiros), Declaração da Política, Monitoramento da Política, entre outros.
No sentido de dar minha contribuição ao leitor, as seguintes políticas de segurança da informação são as que eu tive a oportunidade de elaborar para as empresas e deixo aqui como um guia, sendo que elas variam de empresa para empresa. Essas políticas podem guiar uma empresa frente às ameaças digitais. São elas:
1. Guia de Políticas do Usuário de Sistemas de Informação;
2. Estrutura da Política da Segurança da Informação da empresa;
3. Guia do usuário;
4. Guia da Política;
5. Política para smartphones e tablets pessoal;
6. Política de presentes e entretenimento;
7. Política de Monitoramento de sistemas eletrônicos;
8. Política de dispositivos confiáveis;
9. Política de Proteção de Dados;
10. Política de Antivirus e Antimalware;
11. Política de Controle de Mudanças;
12. Política de Recuperação de Desastres;
13. Política de uso de Internet e e-mail corporativo;
14. Política de Controle de Ativos e Hardware;
15. Política de Segurança da Informação;
16. Política de Controle de Acesso Lógico;
17. Política de Controle de Acesso Físico;
18. Política de Backup;
19. Política de Manuseio de mídia de Backup;
20. Política de Proteção da Rede de Dados Lógica;
21. Política de Proteção da Rede de Dados Física;
22. Política de Controle de Acesso Remoto;
23. Política de Gerenciamento de Riscos;
24. Política de Incidentes de Segurança;
25. Política de Controle de Ativos de Software;
26. Política de Desenvolvimento de Sistemas;
27. Política de Gerenciamento de Patches de Segurança;