Matheus Benini
A informação é um dos patrimônios mais importantes de uma empresa, e está cada vez mais relevante para o sucesso das empresas no mundo da tecnologia digital.
Aqui na MindMiners, olhamos para a segurança da informação como um dos aspectos estruturais mais essenciais da empresa. Entrevistamos o Matheus Benini, que é desenvolvedor de software aqui da MindMiners para contar um pouco de como a equipe de tecnologia trabalha para proteger as informações da organização e também dar algumas dicas de medidas básicas que todos nós podemos tomar para se proteger todos os dias como usuários. Confira!
Para começar, você poderia explicar quais são os conceitos básicos da segurança da informação?
Existem três conceitos básicos que englobam a segurança da informação. O primeiro é a confidencialidade, que significa que uma informação só pode ser aberta para pessoas autorizadas. Tem também o conceito de integridade, que está ligado a ideia de manter todas as informações originais armazenadas em um local seguro. O terceiro conceito é o da disponibilidade, que significa que a informação deve estar sempre disponível para ser usada por quem precisa.
Quais as ameaças internas e como proteger a empresa delas?
As principais ameaças internas são uso indevido de informações sensíveis e code bombs, que são pedaços de código inseridos no sistema para executar ações maliciosas, como roubo de informações ou exclusões em massa de dados. Para evitar que isso aconteça, a gente tem um sistema bem rígido de revisão de código, que ajuda a evitar também qualquer tipo de fraude. Além disso, a revisão garante a manutenção de boas práticas no sistema. Quanto ao uso indevido de informações, temos um controle robusto de permissões e logs onde podemos auditar eventos que ocorrem no sistema.
Quais as ameaças externas e como proteger a empresa delas?
Infelizmente toda a empresa de tecnologia está exposta a ameças de segurança, mas existem algumas medidas que podemos tomar para diminuir os riscos. Aqui na MindMiners adotamos boas práticas para prevenir que ataques já conhecidos aconteçam, como SQL injection, Cross-Site Scripting (XSS) e Brute Force. Para se proteger contra o ataque de Brute Force, por exemplo, que é um ataque via tentativa e erro, implementamos um controle de tentativas de login, limite de solicitações por usuário e IP e bloqueio de IP por excesso de erros. Para ficarmos menos vulneráveis à outros tipos de ataques, utilizamos Firewall nos servidores e também armazenamos as senhas encriptadas em nossa base de dados.
Não só profissionais de tecnologia e empresas correm riscos na internet, certo? Quais são os passos básicos para se proteger como usuário pessoa física?
A principal maneira de se proteger contra ataques na pessoa física é por meio de senhas seguras, porque desse jeito você fica menos exposto a ataques de brute force. Não incluir o seu nome ou sobrenome nas suas senhas, ou qualquer outra informação diretamente ligada à você é a regra básica. Evitar sequências obvias de números e letras também ajuda, essas geralmente são as primeiras combinações a serem testadas no momento de um ataque. O melhor jeito de garantir uma senha segura é usando caracteres especiais, isso aumenta exponencialmente a quantidade de variações a serem testadas pelo hacker para encontrar a senha correta.
Outro ponto importante é o Phishing, um tipo de ataque onde o usuário mal-intencionado se passa por alguma instituição de confiança, como um banco. Esse ataque geralmente ocorre por e-mail, por isso é sempre importante checar o e-mail do remetente para confirmar se realmente está vindo do banco, além de verificar se os links do e-mail levam para o endereço (URL) do site do banco. Caso o link do e-mail leve para um site de banco que não possui certificado de segurança (o cadeado verde no começo da barra de endereço) não insira seus dados nele, pois pode ser uma cópia do site criada por algum hacker.
