A segurança da informação no corporativo deixou de ser uma preocupação exclusiva do departamento de TI para ser um tema estratégico de toda a organização.
Vazamento de dados, ataques de ransomware e engenharia social podem paralisar uma empresa, gerar multas milionárias e destruir a confiança dos clientes.
Neste guia, você vai aprender 9 boas práticas essenciais para proteger os dados da sua empresa. Acompanhe!
Confira 9 boas práticas que toda empresa deve adotar na segurança da informação no corporativo
1. Promova treinamentos regulares de conscientização
Investir em tecnologia é fundamental, mas o fator humano continua sendo o elo mais sensível da segurança da informação.
Empresas que realizam campanhas internas de conscientização costumam reforçar a mensagem com materiais de apoio, pastas corporativas, treinamentos práticos e um caderno corporativo personalizado com mensagens educativas, que ajudam a manter o tema presente no dia a dia dos colaboradores.
Uma boa segurança da informação no corporativo começa com os funcionários. Treine todos os colaboradores (do estagiário ao CEO) para identificar e-mails de phishing, não clicar em links suspeitos e não compartilhar senhas.
Simule ataques de phishing periodicamente. Quem cair no simulado faz um treinamento extra. A conscientização contínua reduz drasticamente o risco de ataques bem-sucedidos.
2. Implemente a autenticação multifator (MFA)
Senha sozinha não é mais suficiente. Para segurança da informação no corporativo, a autenticação multifator (MFA) é obrigatória. Ela exige algo que você sabe (senha) e algo que você possui (código do celular, aplicativo autenticador, biometria, token físico).
Ative MFA em e-mails corporativos (Google Workspace, Microsoft 365), sistemas de gestão (ERP, CRM), VPN de acesso remoto, redes sociais empresariais e contas bancárias.
O MFA bloqueia cerca de 99% dos ataques de account takeover (invasão de conta). Mesmo que a senha vaze, o invasor não tem o segundo fator.
3. Mantenha os sistemas e softwares sempre atualizados
Softwares desatualizados têm vulnerabilidades conhecidas. A segurança da informação no corporativo exige que todos os sistemas operacionais (Windows, macOS, Linux), navegadores (Chrome, Edge, Firefox), aplicativos (Adobe, Java, Zoom, Teams) e firmware de roteadores e firewalls estejam com as últimas correções de segurança.
Configure atualizações automáticas para todos os computadores da empresa. Para servidores, faça um plano de atualização mensal com testes antes.
Atualizações de segurança não podem ser adiadas. Cada dia sem atualização é uma janela aberta para atacantes.
4. Faça backups regulares e teste a restauração
Backup sem teste é ilusão. Para segurança da informação no corporativo, faça backups diários ou semanais dos dados críticos (financeiro, clientes, projetos, contratos). Armazene pelo menos 3 cópias: 1 no computador/servidor original, 1 em um dispositivo separado (HD externo, NAS) e 1 fora da empresa (nuvem, outro prédio, cofre com pendrive).
Teste a restauração a cada 3 meses. Simule a perda de um arquivo e tente recuperá-lo a partir do backup. Empresas que têm backup mas nunca testaram descobrem que ele estava corrompido ou incompleto só na hora do desastre.
Backup protege contra ransomware (sequestro de dados), falha de hardware, incêndio, enchente e erro humano.
5. Controle o acesso aos dados (princípio do menor privilégio)
Um funcionário do marketing não precisa acessar o banco de dados de RH. Um estagiário não precisa ver contratos financeiros. A segurança da informação no corporativo segue o princípio do menor privilégio: cada usuário tem apenas as permissões necessárias para fazer seu trabalho.
Revise as permissões de acesso a cada 6 meses. Quando um funcionário muda de setor, ajuste seus acessos. Quando ele desliga, revogue todos os acessos imediatamente.
Ferramentas como Active Directory (Windows) ou Google Workspace (Gmail empresarial) permitem gerenciar permissões de forma centralizada.
6. Proteja a rede Wi-Fi corporativa (e a rede de convidados)
Uma rede Wi-Fi aberta ou com senha fraca é um convite para ataques. Para segurança da informação no corporativo, a rede principal (computadores da empresa) deve ter criptografia WPA2 ou WPA3 e senha forte. Não divulgue a senha para visitantes.
Crie uma rede de convidados (guest network) separada, com senha diferente e limitação de velocidade. Os visitentes navegam na internet, mas não acessam os computadores da empresa.
Troque as senhas das redes periodicamente (a cada 3 ou 6 meses) e sempre que um funcionário que sabia a senha for desligado.
7. Utilize gerenciador de senhas corporativo
Reutilizar a mesma senha em vários sistemas é um risco enorme. Para segurança da informação no corporativo, adote um gerenciador de senhas (LastPass, 1Password, Bitwarden, Keeper). A ferramenta gera senhas longas e aleatórias (16 a 32 caracteres) e armazena de forma criptografada.
O funcionário só precisa lembrar a senha mestre. O gerenciador preenche automaticamente nos sites e aplicativos. Além disso, o gerenciador avisa se alguma senha foi vazada na dark web.
Proíba o uso de senhas fracas como “123456”, “senha”, nome da empresa, data de aniversário ou a palavra “password”.
8. Criptografe os dados (em trânsito e em repouso)
Dados sem criptografia são como cartões postais: qualquer um que intercepta pode ler. Para segurança da informação no corporativo, criptografe os dados em trânsito (trafegando na rede) usando HTTPS (sites), VPN (acesso remoto) e TLS (e-mails). Criptografe os dados em repouso (armazenados) usando BitLocker (Windows) ou FileVault (Mac) nos notebooks, criptografia de disco em servidores e criptografia de backup.
Se um notebook for roubado, os dados não serão lidos sem a senha. Se um HD externo for perdido, os dados estarão ilegíveis.
Notebooks de funcionários que viajam ou trabalham em home office devem ter criptografia obrigatória.
9. Tenha um plano de resposta a incidentes (e faça simulações)
Não se o ataque vai acontecer, mas quando. A segurança da informação no corporativo precisa de um plano de ação para vazamento de dados, ransomware, invasão de e-mail e perda de equipamento.
Defina quem faz o quê: TI (isolar o computador infectado), Jurídico (comunicar à ANPD se houver vazamento de dados pessoais), Comercial (comunicar clientes afetados) e RH (comunicar funcionários).
Faça simulações a cada 6 meses. Imagine um cenário de ransomware e execute o plano. Treine os funcionários a saber para quem ligar.
A velocidade de resposta define o tamanho do estrago. Quanto mais rápido você agir, menor o prejuízo financeiro e reputacional. Até a próxima!
