Avalie o nível de Segurança da Informação da sua empresa.

Privacidade de Dados, Segurança

As empresas precisam ter certeza de que possuem uma forte segurança de dados e que podem se proteger contra ataques cibernéticos, acessos não autorizados e violações de dados.

A integridade do negócio principal da empresa e a proteção do cliente são essenciais, e o valor e a importância da segurança da informação nas organizações fazem disso uma prioridade. Todas as organizações precisam de proteção contra ataques cibernéticos e ameaças à segurança, e investir nessas proteções é importante e essencial. As violações de dados são ruins e muitas vezes catastróficas para os negócios. 

Com uma Infosec estruturada, uma empresa reduz o risco de ataques internos e externos aos sistemas. Eles também protegem dados confidenciais, protegem sistemas contra ataques cibernéticos, garantem a continuidade dos negócios e proporcionam tranquilidade a todas as partes interessadas, mantendo as informações confidenciais protegidas contra ameaças de segurança.

Abaixo disponibilizamos um checklist básico de verificação da maturidade da segurança da informação.

1 – Sensibilização dos utilizadores
  • Informar e sensibilizar quem trata dados pessoais;
  • Politica de segurança da informação escrita e sua aplicação devidamente imposta;
2 – Autenticação
  • Um “login” (identificador) único para cada utilizador;
  • Política de “passwords” conforme com as regras de segurança estabelecidas;
  • Obrigação de alterar convenientemente a “password” sempre que o sistema impuser a sua alteração;
  • Limitar o número de tentativas de acesso a um “login” de utilizador;
3 – Gestão de Acessos
  • Definir perfis de acesso;
  • Remover permissões de acesso obsoletas;
  • Anualmente efetuar uma revisão geral dos acessos autorizados;
4 – Registos de Acessos e Gestão de Incidentes
  • Implementar um sistema de “logging” com notificações;
  • Informar os utilizadores da implementação do sistema de “logging”;
  • Proteger o sistema de “logging” e a informação registrada;
  • Implementar os procedimentos de notificação de violação de dados pessoais;
5 – Segurança das Estações de Trabalho
  • Implementar um procedimento de bloqueio automático da sessão;
  • Utilização sistemática de software antivírus devidamente atualizado;
  • Utilização sistemática de software firewall;
  • Obtenha consentimento do utilizador antes de intervir na sua estação de trabalho;
  • Programa de conscientização para os usuários;
6 – Informação nos Dispositivos Móveis
  • Implementar medidas de encriptação para os dispositivos móveis corporativos;
  • Sistematizar backups e sincronizações com periodicidade regular;
  • Desbloqueio de smartphones somente com informação confidencial;
7 – Proteção da Rede Interna
  • Limitar o tráfego da rede interna ao estritamente necessário;
  • Acesso dos dispositivos remotos somente através de VPN com 2FA;
  • Nas redes Wi-Fi implementar os protocolos seguros e boas práticas;
8 – Segurança dos Servidores
  • Acesso a ferramentas e interfaces de administração de sistemas reservado a pessoas qualificadas;
  • Instalar os patches, firmwares e atualizações críticas com a maior brevidade possível;
  • Assegurar a disponibilidade dos dados;
9 – Segurança dos Websites
  • Desabilitar os protocolos TLS vulneráveis e verificar a sua implementação;
  • Assegurar que nenhum “password” ou identificador é transferido via “URLs”;
  • Verificar que os inputs do utilizador correspondem ao que é esperado;
  • Colocar um “banner” de consentimento correspondente aos “cookies” não requeridos pelo serviço;
  • Utilizar Web Aplication Firewall devidamente configurado;
  • Utilizar captcha em formulários;
10 – Garantia de Continuidade
  • Execução regular de backups;
  • Armazenagem segura dos suportes de backup;
  • Implementar sistemas de transporte seguro para os backups;
  • Implementar e testar com regularidade os restores dos sistemas que garantem a continuidade do negócio.
11 – Segurança do Arquivo Histórico
  • Implemente procedimentos de acesso específicos para os dados que não são de uso corrente (arquivados);
  • Implemente procedimentos que garantam a destruição efetiva dos dados obsoletos;
12 – Supervisão da Manutenção e da Destruição de Dados
  • Mantenha o registro das intervenções de manutenção;
  • Identificação de uma pessoa responsável pela supervisão das intervenções realizadas por terceiros;
  • Quando o retirar um hardware de uso, apague toda a informação dele;
13 – Gestão de Subcontratados (“Subcontratantes”)
  • Adicione as cláusulas específicas sobre segurança da informação no contrato com o contratado.
  • Estabeleça as condições do processo de devolução e destruição dos dados;
  • Assegure a efetividade das garantias contratadas (auditorias de segurança, visitas, etc.);
14 – Segurança das Transferências de Dados para outras Organizações
  • Cifre os dados antes de os enviar;
  • Garanta o envio para o destinatário pretendido;
  • Envie a informação secreta (código de decifragem) de forma e por via diversa da que foi a informação;
15 – Segurança Física
  • Restrinja o acesso às instalações com portas de abertura digital;
  • Instale alarmes anti-intrusão e verifique-os periódicamente e sistematicamente;
16 – Supervisão do Desenvolvimento de Software
  • Defina linhas que assegurem a proteção de dados pessoais;
  • Evite desenvolvimentos sem orientações claras ou exerça um controlo apertado;
  • Efetue os testes com dados anonimizados ou dados fictícios;
  • Se basear em normas de Desenvolvimento e Qualidade de Software, como ISO/IEC 9126 (NBR 13596);
17 – Recurso à Cifragem
  • Utilize algoritmos e software de cifragem seguros;
  • Mantenha a informação secreta e as chaves de cifragem de forma segura.

Em resumo, a conscientização da Segurança da Informação é essencial as organizações, quais devem ter setores e comissões quando possível para tratar o assunto, com políticas, governança, e também ter a tecnologia certa que ajudará a proteger sua empresa.