Confira cinco medidas de proteção para sistemas empresariais

Utilizar senhas complexas e exigir múltiplos fatores de autenticação, como biolmetria e códigos de verificação, são dicas importantes para afastar os invasores

Por  Davis Alves

Com a constante evolução da tecnologia, invasores buscam aprimorar suas técnicas ao mesmo tempo em que muitos usuários não conhecem meios de segurança que podem ser utilizados para reduzir uma possível invasão. Confira agora cinco medidas de proteção que todo sistema deve ter.

1. Usuário e senha

Para acessar um sistema computacional, deve ser exigido o login do usuário. Essa medida é uma primeira barreira contra visitantes indesejados, pois o acesso só será permitido mediante nome de usuário e senha. Atualmente, é recomendado utilizar dados complexos com predefinições de no mínimo oito caracteres totais, letra minúscula, letra maiúscula, caractere especial (ex: !, @, #, $) e não utilizar dados sequenciais (ex: abcd ou 1234). O mínimo de proteção que o seu sistema deve ter é permitir (e obrigar) todos os usuários a utilizarem esses tipos de senhas complexas. Fuja dos sistemas que aceitam qualquer tipo de senha, ainda mais se estiver na nuvem, salienta o especialista Juliano Araújo, tecnólogo em gestão de TI e pós-graduando em Cloud Computing.

2. Tempo de expiração de sessão por inatividade

Ao efetuar o login, uma ferramenta muito utilizada por empresas é definir um tempo de logoff por tempo de inatividade. Dessa maneira, quando um serviço ou acesso atingir cinco minutos, por exemplo, o sistema irá desconectá-lo automaticamente. É recomendável efetuar o bloqueio do sistema sempre não for utilizá-lo ou distanciar-se da estação. Porém, erros humanos acontecem e, com o intuito de minimizá-lo, essa ferramenta foi desenvolvida. O objetivo é prevenir o acesso de um invasor.

3. Múltiplos fatores de autenticação

Além do uso de senhas fortes, utilizar múltiplos fatores de autenticação de usuário estão cada vez mais frequentes, como biometria, códigos de verificação por SMS e e-mail, leitura facial, entre outros. O uso desses meios é mais uma prevenção contra um ataque de força bruta, pois irá utilizar um algoritmo instruído a tentar todas as combinações possíveis. Mesmo que descubra o invasor, não terá acesso sem que ele faça a autenticação.

4. Gestão de usuários com diferentes permissões de acesso

Mesmo com um sistema rígido de acesso ao sistema, deve ser estabelecida uma gestão de usuários para limitar a navegação na rede. Ao definir um usuário como administrador, ele terá o papel de restringir o acesso a sites e bloqueará download de arquivos potencialmente maliciosos. O especialista em segurança da informação Guilherme Tomiati aponta que grande parte dos ataques em sistemas empresariais se dá pelos próprios funcionários com acesso a módulos que não deveriam ter. É recomendável que sua empresa fuja de sistemas que não têm esse tipo de recurso, que obrigam todos os colaboradores a utilizarem o mesmo login ou que não tenham distinção de usuários com diferentes permissões de acessos.

5. Sistemas de backup

O backup é um meio crucial de segurança, pois efetua uma cópia de segurança dos dados armazenados em seu sistema, seja empresarial ou pessoal. Podendo ser realizado em diversos meios — seja em nuvem ou meio físico —, o backup minimiza a perda de dados em caso de um incidente. É importante que o seu sistema permita não apenas salvar os dados internamente na estrutura do fornecedor, mas também dê a oportunidade para você fazer download dos seus dados. Em algum formato aberto, isso permitirá que você restaure as operações da sua empresa e recupere os seus dados, independentemente do fornecedor do sistema.

Bônus: minimização de dados

Em tempos da Lei Geral de Proteção de Dados (LGPD), é de extrema importância que o seu sistema não tenha exigência de campos obrigatórios desnecessários, ou seja, exigir que você ou os seus colaboradores preencham um formulário de cadastro extenso, fornecendo dados pessoais que não são justificáveis para a finalidade. Por exemplo: não tem por que o sistema te obrigar a pedir o número do passaporte dos funcionários, se os mesmos não estarão envolvidos com atividades de viagens. Caso isso ocorra, você, como empresário, tem a responsabilidade de contatar a empresa fabricante do sistema, pedir para falar diretamente com o DPO (Data Protection Officer) e questionar por que o sistema não respeitar o Princípio da Necessidade — onde se coleta apenas os dados necessários, assim como definido no Art. 6, III da LGPD.

Quer se aprofundar no assunto, tem alguma dúvida, comentário ou quer compartilhar sua experiência nesse tema? Escreva para mim no Instagram: @davisalvesphd.

Reprodução JPNews

Compartilhe: