terça-feira, 27 de dezembro de 2011

Dez Mandamentos

Segurança corporativa: dez mandamentos para 2012
É possível adaptar as políticas de TI e segurança para proporcionar mobilidade e produtividade sem deixar de administrar riscos.

Tendências mostradas pela próxima geração da força de trabalho em ignorar ameaças on-line representam desafios para segurança pessoal e corporativa, de acordo com estudo global da Cisco. O relatório "Cisco Connected World Technology", composto por três partes, revela atitudes surpreendentes em relação às políticas de TI e às crescentes ameaças de segurança que surgem com a próxima geração de profissionais que entrarão no mercado de trabalho – um grupo demográfico que cresceu com a realidade da internet e que possui um estilo de vida cada vez mais sob demanda, que mistura atividades pessoais e profissionais no local de trabalho.

Mesmo que as organizações precisem desenvolver uma abordagem de segurança de rede e dados que suportem as necessidades específicas da força de trabalho e a ajude a alcançar os objetivos de negócios, há várias iniciativas que qualquer empresa pode realizar para melhorar a postura de segurança, imediatamente e a longo prazo. Abaixo seguem dez recomendações de especialistas de segurança da Cisco, publicadas no relatório de segurança anual Cisco 2011.

1. Avalie a totalidade da sua rede

Saber onde começa e termina a infraestrutura de TI é muito importante. Muitas empresas simplesmente não têm ideia da totalidade da rede. Além disso, saber o que é o seu 'normal' é fundamental para poder identificar e responder um problema com rapidez.

2. Reavalie a política de uso aceitável e o Código de Conduta

Afaste-se da abordagem "lista de lavanderia" para as políticas de segurança. Foque apenas no que você sabe que deve e pode impor.

3. Determine quais dados devem ser protegidos

Você não pode construir um programa eficaz de prevenção de perda de dados (DLP) se não souber quais informações devem ser protegidas. É preciso também determinar quem na empresa terá permissão para acessar essas informações, e como eles serão autorizados a acessá-las.

4. Saiba onde estão os dados e entenda como é (e se) eles estão sendo garantidos

Identifique todos os terceiros com permissão para armazenar dados de sua empresa a partir de provedores de nuvem e confirme que a informação está sendo protegida de forma adequada. Requisitos de conformidade, e agora a tendência do cibercrime em hackear grandes empresas, mostram que você deve assumir que seus dados nunca estão seguros, mesmo quando estão nas mãos daquele em quem confia.

5. Avalie práticas de educação do usuário

Seminários e manuais extensos não são eficazes. Funcionários mais jovens serão mais receptivos a uma abordagem para a educação do usuário com sessões mais curtas e treinamentos "just-in-time". A formação de pares também funciona bem no atual ambiente de trabalho colaborativo.

6. Monitore tudo o que sai

Isso é algo básico, mas nunca o suficiente para animar as empresas a fazê-lo. Monitorar a saída é uma mudança de foco. Você precisa saber o que está sendo enviado para fora da organização, por quem e para onde.

7. Prepare para a inevitabilidade do Bring Your Own Device (BYOD)

As empresas precisam parar de pensar sobre quando elas vão adotar o modelo BYOD e começar pensar mais sobre como fazer isso.

8. Crie um plano de resposta a incidentes

TI deve ser tratada como qualquer outro negócio de risco. Significa a necessidade de ter um plano claro para reportar e responder rápida e adequadamente a qualquer tipo de evento de segurança, quer se trate de uma violação de dados resultante de um ataque direcionado, uma violação devido ao descuido de um empregado, ou um incidente de hacktivismo.

9. Implemente medidas de segurança para ajudar a compensar a falta de controle sobre as redes sociais

Não subestime o poder das tecnologias de controle, como os sistemas de prevenção de intrusão e de proteção contra ameaças da rede. Filtragem de reputação também é uma ferramenta essencial para detectar atividades suspeitas e conteúdos suspeitos.

10. Monitore o cenário dinâmico de risco e mantenha os usuários informados

As empresas e suas equipes de segurança precisam vigiar uma gama de fontes de risco, a partir de dispositivos móveis, da nuvem, das redes sociais e tudo o que as novas tecnologias possam oferecer amanhã. Elas devem adotar uma abordagem de duas etapas: reagir às divulgações de vulnerabilidades de segurança, além de serem pró-ativas na educação de seus funcionários sobre como proteger a si e a empresa das ameaças cibernéticas potentes e persistentes.

Nenhum comentário: