Varejo: como executar um projeto de SI com segurança
Publicado em 15 Abril 2019
Varejistas, a situação é crítica. Seja você um distribuidor ou um gerente de e-commerce, as enormes quantidades de dados que passam por suas mãos podem colocar sua atividade comercial em risco. Como? Os volumes de informação que você armazena são uma mina de ouro para os hackers se eles puderem descobrir como passar pela sua rede. Para evitar isso, as práticas recomendadas incluem a integração da segurança de dados desde o início, aplicando uma abordagem de "Security by design". Sua principal garantia: trabalhar com um provedor de serviços em que você confia e cuja experiência em segurança de dados seja testada e comprovada. Para fazer a escolha certa, compilamos uma lista das etapas que um tomador de decisões consciente de Sistemas de Informação (SI) deve tomar para proteção adequada.
Passo 1: identificar um projeto sensível
É considerado sensível qualquer projeto de SI que afeta dados pessoais ou cuja perda de integridade possa ter impacto na empresa. As consequências de uma violação de segurança podem ser legais, financeiras ou operacionais. Seja qual for o caso, eles serão prejudiciais para a imagem da marca.
Para combater ataques cibernéticos cada vez mais frequentes, incluindo ransomware, seu provedor deve implementar uma abordagem de resiliência cibernética com o gerente de segurança a partir do lançamento do projeto. A norma ISO 27001 e as indicações fornecidas pela CNIL devem ser consideradas melhores práticas mínimas ao avaliar sua segurança cibernética..
Além da fase inicial, a segurança dos dados deve continuar a ser uma parte importante da política da empresa, o que significa que um contato designado deve ser atribuído a ela em cada etapa do projeto.
Passo 2: garantir a segurança dos dados durante a implementação do projeto
Durante o desenvolvimento do projeto, as regras a serem implementadas para proteger seu sistema são definidas pelo provedor de serviços de SaaS:
- Segurança de senha;
- Impedimento da instalação de malware;
- Criptografia de dados;
- Rastreabilidade de operações realizadas em máquinas e detecção de intrusão;
- Backup restauração de dados.
Na Generix Group, essas ações de cyberproteção são realizadas internamente: todas as informações são armazenadas no servidor SaaS da empresa, exceto senhas.
O acesso também deve ser protegido pelo cliente e pelo provedor. A empresa deve estar atenta ao roubo de equipamentos profissionais e relatar as informações ao provedor para cortar o acesso remoto, se necessário. Quando os funcionários deixam a empresa, também é essencial remover todos os direitos dos dispositivos que eles acessaram.
Na Generix Group, um único procedimento oferece conexão ao catálogo de endereços interno de um cliente. Quando um funcionário deixa a empresa, o catálogo de endereços do cliente transmite essas informações para o catálogo de endereços do Generix Group automaticamente. A informação é apagada instantaneamente, garantindo assim a segurança dos dados. Por outro lado, as chegadas de novos colaboradores nas empresas são gerenciadas diretamente para que estejam imediatamente operacionais na empresa.
Passo 3: controlar a qualidade do início da produção
Logo antes do lançamento da produção, deve-se tomar cuidado para verificar se os compromissos assumidos pelas equipes do projeto foram operacionalizados.
Esse é o caso do Generix Group, onde equipes de projeto implementam fases de teste para todas as aplicações. As auditorias de códigoe e os testes de intrusão também são realizados por um hacker ético no modo lean startup (melhoria contínua) pouco antes do lançamento da produção. O objetivo é testar as medidas de segurança de dados implementadas posteriormente.
Para garantir a segurança dos dados ao implementar um SI, é necessário rigor e sistematização de processos. Além disso, o RGPD transformou a segurança de dados em um problema de regulamentação. É por isso que escolher o fornecedor de SaaS certo não poderia ser mais importante.
