Search
  • Josemando Sobral

Primeiros passos: 7 iniciativas para garantir a segurança de dados do clientes.

Implementar processos de Segurança pela primeira vez pode deixar qualquer gestor confuso ou até perdido, mas separamos alguns passos básicos e montamos um mapa do que não deve faltar.


Já não é mais nenhuma novidade afirmar que, em pleno 2021, informação é a moeda de maior valor do mercado global. E que o sucesso de um negócio está intrinsecamente ligado à proteção dessas informações e dados, além da credibilidade da empresa ter uma relação direta com o tratamento desses dados e garantia de um ambiente seguro para seus clientes.


Segurança e Privacidade são diferenciais competitivos


É importante ressaltar que Segurança já não é mais um luxo de grandes empresas há um bom tempo. Pelo contrário, devido ao boom de startups e empresas de pequeno porte que dependem diretamente de tecnologia, estas se tornaram alvos atrativos para cibercriminosos. No Brasil, 57% das empresas já investem em proteção digital e a tendência é que Segurança cresça cada vez mais como um diferencial competitivo. Já do outro lado do negócio, 96% dos consumidores do mundo afirmam que querem mais controle sobre seus dados.


No mês de Agosto deste ano, a Lei Geral de Proteção de Dados (LGPD) teve suas sanções amplamente efetivadas, com multas de até 2% do faturamento bruto, podendo chegar a R$ 50 milhões por infração. E se o gasto já não fosse punição suficiente, há ainda a queda brusca da credibilidade da empresa que passa por um Vazamento de Dados, por invasão ou ainda tem seus dados sequestrados, tendo que arcar com um resgate multimilionário e a indisponibilidade de seus serviços.


Startups com produtos digitais estão na corrida da Cibersegurança


Não é fatalismo, é business. Em um ambiente de startup, onde os produtos digitais crescem em ritmo acelerado e as operações se expandem de uma semana para outra, os gestores e executivos de tecnologia assumem uma tarefa homérica: Implementar os processos de cibersegurança. Alguns dos desafios envolvem não engessar o crescimento da empresa, escolher soluções de melhor custo benefício, trabalhar com um quadro de horas e equipe reduzida, e entender as ameaças e riscos pertinentes ao negócio.


Portanto, para ajudar a elencar as prioridades no momento de criação do seu primeiro programa de Segurança, criamos um mapa com os primeiros e mais importantes passos:


PASSO 1 - MAPEAMENTO

  • Mapeamento de Dados: Tão importante quanto inventariar os equipamentos, dispositivos, e bens de valor da empresa, é mapear as informações que existem dentro de casa. Saber como estes dados estão sendo coletados, tratados, armazenados e até descartados é essencial para a criação de um ciclo de vida seguro destes dados. Se você não sabe onde está, pode também não saber quando (e quanto) terá perdido.

  • Mapeamento de Assets: Os ativos que fazem parte do ciclo de vida dos dados e que mantém seu produto e serviço disponíveis aos clientes também devem ser devidamente mapeados. Assim, entende-se a extensão da estrutura de seus sistemas, encontrando seus pontos fracos para reparos.

  • Mapear o seu nível de exposição atual: saber o nível de exposição da sua empresa ajuda a conscientizar todo o time sobre a necessidade de se proteger. E isso é possível de ser feito de forma fácil com o Score Gratuito da Unxpose. O teste automático e não intrusivo mostra o score de cibersegurança da sua empresa, quantas vulnerabilidades ameaçam o seu negócio e se há credenciais corporativas da sua organização em vazamentos recentes.


PASSO 2: POLÍTICAS DE SEGURANÇA E CULTURA


  • Políticas: Tenha políticas sucintas de Segurança, esclarecendo os processos e ensinando as boas práticas, com regras claras e exemplos práticos, se possível. Uma boa política deve considerar também os processos de Privacidade e Acessos da empresa, delimitando quem deve ter acesso à que, de acordo com a criticidade da informação.

  • Classificação dos Dados: Em complemento à Política, é preciso ainda classificar o nível dos dados do negócio, desde o que é informação pública até o que é de acesso restrito, definindo como essas informações devem ser tratadas de acordo com o seu nível.

  • Cultura de Segurança: Assim como ditam os conceitos de Security & Privacy by Design, a cultura de Segurança deve existir desde os primórdios da empresa, sendo implementada naturalmente no início de qualquer processo. Isso vai evitar o retrabalho oneroso de implementar Segurança depois que os processos já existem, mitigando má configurações, evitando o desenvolvimento de aplicações inseguras e prevendo os riscos e ameaças ao negócio já do ponto de partida.


PASSO 3: PROTEÇÃO DE CLOUD


  • Escalabilidade segura: Entender o que é uma vulnerabilidade crítica para a sua aplicação e para seu negócio não é uma tarefa simples. Em uma infraestrutura de alta escalabilidade, da qual o produto depende, é preciso designar as falhas de acordo com a operação, podendo escolher em qual delas agir, traçando então uma estratégia verdadeiramente efetiva.

  • Backup: Um processo bem definido de Backup pode ser a diferença entre a recuperação de seus serviços em pouco tempo ou a paralisação completa do negócio, em caso de qualquer desastre. Seja contra um imprevisto técnico, um erro inesperado ou até mesmo um ataque criminoso de Ransomware, sequestrando dados em troca de resgates milionários.


PASSO 4: CONSTRUINDO O SEU TIME


  • Definindo cargos: É preciso desenhar os processos de Segurança da empresa de forma a considerar todos os pontos fracos, desde o desenvolvimento das aplicações até as operações mais simples do dia a dia. Por isso, trazer especialistas da área para a tarefa é essencial, sejam CISOs, gerentes, analistas ou consultores de Segurança.

  • Interno ou consultoria: Contratar ou não contratar? Há empresas que não possuem estrutura para um time de Segurança, e por vezes delegam a tarefa para Desenvolvedores ou mesmo técnicos da área de TI. Além de diluir a efetividade dos processos de Segurança entre todas as outras tarefas destes profissionais, por mais tecnicamente proficientes que sejam, Segurança exige uma complexibilidade que não faz parte de nenhuma outra área, necessitando assim de especialistas dedicados. Cabe ao orçamento e momento da empresa a decisão de realizar as devidas contratações ou recorrer à consultorias.


PASSO 5: COMO CONTRATAR PROFISSIONAIS


  • Contratações: Encontrar o profissional ideal pode ser desafiador. Os especialistas em Segurança figuram ainda entre os mais altos salários da área de Tecnologia. Para evitar um acordo inadequado, a forma mais comum de contratação é por meio de indicações de quem já trabalha na área, agilizando o processo de head hunting. Outras alternativas ao Tech Recruiter é encontrar consultorias especializadas na área ou ainda patrocinar e participar de eventos de alto engajamento, como campeonatos de Capture The Flag (CTF) - a exemplo do UHC. Pode ser também recomendado à empresa encontrar um perfil Júnior ou Pleno e qualificar o mesmo dentro da própria casa.


PASSO 6: COBRINDO TODA AS BASES


  • Red Team e Blue Team: Ter profissionais de Red Team trabalhando como hackers éticos, caçando e testando as vulnerabilidades da empresa, em conjunto com profissionais de defesa do Blue Team, analisando e melhorando a infraestrutura, é a receita de um programa de Segurança efetivo. O trabalho de cada um desses times é complementar, abordando todos os cenários de risco e suas soluções simultâneamente.

  • Conscientização: Nunca é demais reforçar que Segurança é um dever de todos os componentes de uma organização, não importando seu cargo ou habilidades. Para reforçar a cultura e os citados processos de Segurança, é preciso ter um programa de Conscientização e Educação em Segurança através de toda a organização, além de iniciativas como o Security Champions. Vale ressaltar que o indicado é que o tema seja abordado sempre de forma divertida, leve e prática, conversando com leigos sem necessidade de "tecniquês'' e recompensando por boas práticas.

PASSO 7: AUTOMATIZE E ESCOLHA SOLUÇÕES CERTEIRAS


Para finalizar com chave de ouro, o passo preferido de todo gestor: A automatização. Ferramentas e soluções de Segurança podem simplificar o trabalho do executivo e salvar horas de trabalho em tarefas exaustivas e de pouca eficiência. Por isso, a Unxpose é altamente recomendada, oferecendo mapeamento de dados com intersecção de mapeamento de ativos digitais - já que parte destes ativos hospeda informações sensíveis para o negócio. A automatização inteligente da Unxpose é criada como uma parada única, possibilitando usar a ferramenta como o primeiro colaborador do time de Segurança ou até mesmo como um braço adicional para um time reduzido.


Unxpose é uma one-stop shop de cibersegurança que atua desde a descoberta de ativos digitais expostos até a correção de falhas de segurança. Tudo de forma automatizada 24/7, simples e didática. Unxpose une a expertise de profissionais que são referência no mercado de cibersegurança com a competência de especialistas em desenvolvimento de produto, entregando uma solução que alia eficácia técnica com alta entrega de valor.



56 views0 comments