Principais preocupações de segurança das PMEs: propriedade intelectual e mobilidade

A maioria das coisas muda, a maioria permanece a mesma. Contraditório? Isso resume muito bem o cenário de segurança da informação para as pequenas e médias empresas no ano de 2012, segundo o chefe do laboratório de pesquisa Blue Coat Security.

O segurança em todo o mundo de fato está em constante mudança. Blue Coat, por exemplo, mudou a abordagem de proteção em 2011 para longe do ponto de ataque às redes subjacentes, que ativam e distribuem malware e outras ameaças.

No processo, a empresa espera identificar melhor as ameaças antes que elas se desdobrem – Blue Coat compara isto com o conceito “pré-crime” do Minority Report. No entanto, Chris Larsen, pesquisador da Blue Coat, reconhece que muitas empresas menores não têm recursos para se dedicar a peneirar registros de tráfego e métodos semelhantes. Isso não significa que as PMEs são impotentes. Em uma entrevista, Larsen detalha a sua prioridade para as pequenas e médias empresas em 2012 – algumas delas devem soar familiar.

Para começar, Larsen lança um lembrete: seja pró-ativo. Mesmo se você terceirizar a segurança a um consultor ou outro fornecedor, mantenha seu compromisso com o que está fazendo para mantê-lo protegido. Faça perguntas sobre os processos, riscos e remediação. Planejar e depois esquecer os objetivos traz deficiências inerentes.

Como nos anos anteriores, higiene básica de segurança ainda é uma obrigação para qualquer negócio, não importa quão pequeno seja. Todas as PMEs têm uma conta bancária e outras informações financeiras, por isso serviços bancários relacionados com fraude continuarão a ser o número um das ameaças para as empresas de menor porte em 2012. Larsen diz que os criminosos online geralmente são ansiosos para se infiltrar em uma rede PME, porque o saldo bancário é quase sempre um múltiplo da conta típica do consumidor.

A proteção é uma questão de reconhecer a ameaça e identificar quais as pessoas, processos e informações dentro de sua organização podem se tornar prováveis alvos. “Se você sabe que a fraude bancária está acontecendo, então você pode colocar as defesas em seus devidos lugares”, disse Larsen.

O mínimo de práticas de segurança que qualquer PME deve implantar é: usar senhas fortes e anti-malware, ficar atualizado sobre os patches e downloads, ter cuidado com e-mails e links duvidosos e restringir o acesso da conta para o pessoal crítico. A abordagem extrema: use um único computador dedicado para acesso bancário – sem e-mail nem planilhas, nada – e mantenha-o desligado quando não estiver em uso. (Larsen disse que alguns funcionários da Blue Coat redefinem “extremamente” suas senhas e máquinas- eles inicializam seus computadores a partir de um CD Linux a qualquer momento que irão fazer transações bancárias online. Larsen não é tão paranóico, mas ele ainda não vai usar um PC com Windows para gerenciar suas finanças online).

Há uma nova preocupação para algumas PMEs: roubo de propriedade intelectual (IP). Embora não se aplica em toda a linha, dados de alto valor poderiam fazer de algumas empresas alvos suculentos – mesmo que a empresa não tenha um nome familiar. Companhias em áreas como biotecnologia ou aquelas com contratos de defesa do governo são ótimos exemplos. O roubo de IP normalmente cai no reino do alvo ou em persistentes ameaças. Identificar potenciais perigos envolve abordar de várias maneiras a gestão de risco.

“Você tem que fazer uma análise: será que temos alguma coisa além de nossa conta bancária que seria de interesse para alguém?”, indaga Larsen. “Se a resposta for positiva, temos de refletir um pouco sobre como protegê-la.” Isso envolve identificar onde os dados valiosos estão, quem tem acesso a eles e saber se há uma trilha de auditoria a seguir.

Qualquer empresa pública se encaixa aqui, não importa seu tamanho ou setor, já que as informações corporativas sensíveis podem ser usadas de forma lucrativa para negociação de ações da empresa à frente do mercado. Perfil de empregados nas mídias sociais e outros dados que estejam disponíveis online tornam mais fácil do que nunca para orquestrar esse tipo de ataque planejado, disse Larsen.

“Tradicionalmente, você poderia dizer que nós somos tão pequenos que ninguém virá atrás de nós. Mas se você tem uma propriedade intelectual que faz valer a pena, então alguém vai vir atrás de você. E se o Google pode ser hackeado, então você também pode”, diz Larsen. “A parte agradável de ser uma organização menor: você tem muito mais concentrados e menos recursos para manter um olho no que o Google faz”.

Mobile, para todos os seus benefícios de negócios, continuará a crescer. Larsen disse que, enquanto as grandes empresas têm torcido as mãos sobre segurança móvel durante algum tempo, agora é algo que as pequenas empresas também precisam se preocupar.

Larsen disse que a plataforma de segurança de cloud será a maneira de gerir uma vasta gama de dispositivos. “Você não pode sair e levar a defesa do seu data center com você”, disse Larsen. “Você quer ter iPad ou iPhone conversando com um portal em nuvem que tem esses tipos de defesas no lugar.” A boa notícia: a infraestrutura de nuvem continua a crescer e fazer esses tipos de proteções disponíveis.

Ele também aconselhou as PMEs que adotam a abordagem ?traga o seu próprio dispositivo? a trabalhar este conceito de forma consciente. Em particular, considere um plano restritivo de dispositivo para proteger os ativos da chave de segurança. Se suas informações bancárias são os dados mais valiosos, por exemplo, não permita que os funcionários as acessem com seus dispositivos móveis pessoais – mesmo se eles são incentivados a usá-los em outras áreas do negócio.

A tese geral de Larsen para as PMEs: se tempo, dinheiro e pessoal executam de forma escassa, não se preocupe em proteger tudo ?se preocupe em proteger o que é realmente valioso.”Essa é uma postura de compromisso razoável de segurança”.