Os especialistas da ESET elaboraram os 10 mandamentos de segurança corporativa. As dicas devem ser tomadas como princípios básicos que devem orientar a proteção de informações nas empresas:
1- Definir uma política de segurança: É o documento que rege toda a segurança da informação na empresa. Recomenda-se que não seja muito extensa (nenhum funcionário poderá se comprometer com um documento longo), que seja realista (pedir aos empregados coisas que sejam possíveis para manter a credibilidade) e que os valorize.
2- Utilizar tecnologias de segurança: São à base da segurança da informação na empresa. Uma rede que não tem proteção de antivírus, um firewall ou uma ferramenta antispam estará exposta ao vazamento de dados.
3- Educar os usuários: Os usuários técnicos ou do departamento de TI algumas vezes são omitidos desse tipo de iniciativas, como se estivesse comprovado que estão menos expostos às ameaças de informática.
4- Controlar o acesso físico da informação: A segurança da informação não é um problema que deva abranger somente a informação virtual, mas também os suportes físicos onde estão armazenados.
5- Atualizar o seu software: As vulnerabilidades dos softwares são a porta de entrada para muitos ataques que ameaçam a organização. Manter tanto o sistema operacional como as demais aplicações com os últimos patches de segurança é uma medida de segurança indispensável.
6- Não utilizar a TI como única medida de segurança: É um dos erros mais freqüentes, e por isso é importante lembrar que a segurança não é apenas um problema tecnológico. Deve existir uma área cujo único objetivo é a segurança das informações de modo geral, analisando cada processo da empresa, como, por exemplo, a contratação de um determinado serviço.
7- Não utilizar usuários administrativos: Desta forma, os danos de uma invasão no sistema já sofrem restrições.
8- Não investir em segurança sem um plano adequado: A segurança deve ser concebida para proteger a informação e, portanto, o negócio. Fazer investimentos em segurança sem mensurar o valor da informação que se está protegendo e a probabilidade de perda por incidentes pode resultar em dinheiro mal investido ou, basicamente, em dinheiro perdido.
9- Não considerar terminado um projeto em segurança: A segurança deve ser concebida como um processo contínuo, não como um projeto com início e fim. É verdade que pequenas implementações de controles podem precisar de projetos, mas a proteção geral da informação é uma necessidade permanente para o negócio que deve estar em melhoria contínua.
10 – Não subestimarás a segurança da informação: Entender o valor atribuído ao negócio mantém a informação protegida, e isso é fundamental. Muitas empresas, especialmente as pequenas e médias, não podem se recuperar de um incidente grave contra segurança da informação.
Fonte: Decision Report