Plano de Segurança

Para uma empresa, as informações são de extrema importância e requerem muitos cuidados. Se um invasor tiver acesso a informações sigilosas, poderá causar um prejuízo enorme para a empresa. Alguns desses prejuízos são tangíveis, ou seja, é possível mensurar os danos financeiros, mesmo que isto leve muito tempo e esforço. Um prejuízo financeiro é ruim para qualquer empresa e, dependendo do montante, pode levar muito tempo para que a mesma se recupere. De qualquer forma, o financeiro é recuperável. Entretanto, pior que os prejuízos tangíveis, são os prejuízos intangíveis, aqueles que não podemos mensurar e que muitas vezes são irrecuperáveis. Estamos falando do nome, da reputação, do crédito e da credibilidade da empresa.

Demoram-se muitos anos para que uma empresa eleve e firme seu nome no mercado. Ganhar a confiança dos clientes, dos fornecedores e dos parceiros é algo que se galga aos poucos, mas infelizmente um único problema de segurança da empresa pode fazer sua reputação ir ao chão em questão de poucas horas.

Para que você entenda melhor, imagine a situação em que em um famoso site de vendas on-line, os dados de alguns clientes como CPF ou número de cartão de crédito caiam nas mãos de invasores. Provavelmente os clientes não confiarão mais em fazer compras neste site.

Quando se trata de informações dos clientes, a empresa é a principal responsável por elas e precisa deixá-las totalmente protegidas.

Para evitar problemas e eventuais percas, tangíveis e intangíveis, é necessário implantar na corporação um Plano de Segurança. Para isso é importante que seja feita uma análise dos riscos que a empresa corre no cenário em que ela está inserida.

Análise de Riscos

Antes de tudo é necessário fazer um levantamento dos riscos para delimitar o nível de risco em que a empresa está. Só depois é traçado um nível de risco aceitável, que é aquele em que a empresa pode funcionar.

Nesta avaliação do risco aceitável, é necessário cuidado ao se aceitar um determinado risco, mas se não for possível minimizá-lo, é importante que se tenha um plano de resposta a incidentes.

É fato que não é possível eliminar totalmente um risco que está inserido no cenário da empresa, mas é possível minimizá-lo. Para isso, temos que conhecer bem quais são as ameaças a que a empresa está susceptível e quais são as vulnerabilidades que existem na empresa.

Ameaças

Uma ameaça é uma situação de perigo a qual a empresa está sujeita. De acordo com [Moraes, 2010], existem 4 principais tipos de ameaças: as ameaças intencionais, as não intencionais, as relacionadas aos equipamentos e as relativas a um evento natural. Vejamos:

· Ameaças intencionais: são oriundas de pessoas que, por algum motivo, tem a intenção de efetuar um ataque à empresa, no que diz respeito ao roubo de informações, indisponibilidade da rede, personificação, entre outros ataques. Esta pessoa pode ser externa ou interna à empresa. Infelizmente a maioria dos ataques provem de pessoas internas à organização, como um funcionário insatisfeito, com desejo de vingança ou até mesmo convencido ou subornado por uma pessoa externa à organização. Os invasores externos à organização são, em sua maioria, crackers e espiões industriais.

· Ameaças não intencionais: também são oriundas de pessoas, mas diferente da ameaça intencional, a pessoa não tem consciência do que está fazendo e é levada pela ignorância ou até mesmo inocência, como:

o Redes de Computadores

o Um funcionário novo que ainda não foi informado dos procedimentos de segurança.

· Ameaças relacionadas aos equipamentos: nesta situação o risco envolvido está na possibilidade de um equipamento de rede como um roteador, um servidor ou um firewall apresentar defeitos ou falhas no seu funcionamento. Um IDS que deixa de funcionar, por exemplo, é uma ameaça à segurança da rede.

· Ameaças relativas a um evento natural: os fenômenos naturais e incidentes estão presentes no nosso cotidiano. Muitas vezes são inevitáveis, não dependem da ação direta de pessoas para acontecer e normalmente não temos a quem responsabilizar, portanto cabe a segurança das informações proteger os equipamentos deste tipo de ameaça. São exemplos de eventos naturais: incêndio, queda de energia, terremoto, enchente, ventanias e até mesmo ataques terroristas nas proximidades, que apesar de nos parecer tão improváveis, são constantes em outros países.

Vulnerabilidades

Uma vulnerabilidade é uma falha que pode ser explorada para se conseguir efetuar um ataque. É importante que se conheça todas as vulnerabilidades existentes na empresa, por menor que ela seja.

A partir da lista de vulnerabilidades existentes, podemos perceber onde as ameaças podem aparecer.

Vejamos uma tabela que aponta possíveis vulnerabilidades e as ameaças que podem surgir em cada uma delas: