Neste guia, você vai encontrar conselhos e o modelo necessário para criar uma política de segurança cibernética para sua empresa ou escritório.
As pequenas empresas (PMEs) correspondem a 99,7% de todas as empresas nos Estados Unidos e estão sob ataques cada vez mais intensos por parte de cibercriminosos e softwares malignos. Por isso, é mais importante do que nunca obter a proteção correta e implantar a melhor política de segurança.
A finalidade de se criar uma política de proteção cibernética para a sua pequena empresa é delinear as ações e os recursos necessários para garantir a continuidade dos negócios e proteger seus dados. Assim, sua equipe ficará melhor informada e será mais capaz de agir para evitar ataques. Além disso, seus clientes ficarão mais tranquilos sabendo que trabalham com uma empresa que leva a sério a proteção de dados e as ameaças à segurança online.
Ataques a pequenas empresas abrangem desde ataques de phishing, ransomware e engenharia social até vazamentos de dispositivos de IoT (Internet das Coisas) conectados. Em 2017, os ataques de software e hardware foram responsáveis por quase 70% de todas as violações de dados no mundo:
O Avast foi responsável por bloquear mais de 122 milhões de ataques do ransomware WannaCry em 2017. Junto com os ataques do ransomware Petya e Bad Rabbit, os custos totais a consumidores e empresas ultrapassaram US$ 5 bilhões.
O estudo de 2017 do Ponemon Institute registrou uma perda média devido a violações de dados de US$ 3,6 milhões em todo o mundo (US$ 7,35 milhões só nos Estados Unidos). No entanto, os ataques não ameaçaram só a receita, como também causaram interrupções com enorme impacto na produtividade. Muitas horas de trabalho foram gastas para resolver problemas. Isso sem considerar os danos à reputação de uma empresa.
A boa notícia é que não é caro proteger sua rede de tais ataques cibernéticos. Além disso, como a maioria dos ataques virtuais tendem a explorar vulnerabilidades básicas nos sistemas, é fácil evitá-los com software antivírus, atualizações de correções e treinamento para conscientização dos funcionários.
Uma política de proteção cibernética significa que sua equipe ficará melhor informada e será mais capaz de agir para evitar ataques.
Os computadores usados em sua empresa são também conhecidos como “terminais” e cada um deles representa uma ameaça à segurança de toda a rede se não for corretamente protegido. Eles são uma porta aberta aos cibercriminosos e códigos malignos. Assim, a segurança de terminais é um dos melhores lugares para começar a proteção da sua rede, especialmente com o crescimento do trabalho remoto (mais funcionários podem acessar os sistemas remotamente, de casa ou redes Wi-Fi abertas). É essencial que todos os seus terminais sejam protegidos, pois a força da segurança da sua rede se mede sempre pelo elo mais fraco.
A segurança dos terminais oferece uma rede de proteção para impedir ataques em seu ponto de entrada. Se eles conseguirem entrar, o software antivírus garantirá que outros computadores na rede não sejam também infectados.
As equipes de TI valorizam a detecção de ameaças avançada que essas soluções de segurança fornecem, enquanto o sistema centralizado reduz simultaneamente a complexidade de proteger a empresa como um todo.
A empresa deve ter uma proteção de terminais atualizada que contém:
O aumento nas ameaças móveis acompanha uma força de trabalho cada vez mais móvel. Assim, a necessidade de uma política de segurança abrangente é fundamental.
Algumas empresas fornecem dispositivos móveis, enquanto outras permitem que funcionários tragam seus próprios dispositivos (BYOD). Embora o segundo caso seja mais barato para as empresas, isso significa que as PMEs têm menos controle sobre o dispositivo: quais softwares e apps são baixados, quais informações são compartilhadas e quais Wi-Fis potencialmente desprotegidas são usadas.
Tudo isso pode colocar seus negócios em risco. Por exemplo, se um funcionário enviar dados sigilosos por email usando seu telefone e uma rede Wi-Fi desprotegida, esses dados podem ser vistos ou roubados se houver cibercriminosos procurando interceptar comunicações desprotegidas. Se ele baixar um app inseguro ou clicar em um link maligno, você pode fornecer acesso aos cibercriminosos a tudo que o funcionário tem acesso, incluindo a possibilidade de dados corporativos serem transmitidos e mesmo armazenados no dispositivo pessoal de um indivíduo.
Os possíveis problemas vão desde a perda de dados por meio de um vazamento ou perda de dispositivo, até o dano que dispositivos comprometidos causam ao serem introduzidos em um sistema centralizado. Quando membros da equipe trazem seus próprios dispositivos móveis, eles introduzem pontos de ataque que podem causar problemas de segurança.
Isso não significa que você precise subitamente começar a gastar para fornecer dispositivos caros aos seus funcionários. Mas há algumas diretrizes básicas de BYOD que você e sua equipe devem seguir.
Todos os dispositivos devem ter autenticação de acesso:
Uma medida preventiva vital para proteger sua empresa contra violações de dados e ataques virtuais é garantir que sua equipe conclua um treinamento em segurança cibernética. Ao compreender os tipos de ataques, como phishing, malware e ransomware, eles estarão melhor equipados para identificar qualquer atividade suspeita e relatá-las imediatamente.
Treinar seus funcionários para identificar um e-mail, link ou anexo maligno, por exemplo, é crucial para evitar violações de dados causadas por erro humano ou que as pessoas caiam em armadilhas de cibercriminosos e coloquem a empresa em risco. Encorajar os funcionários a manter seus apps e programas atualizados fortalecerá ainda mais suas defesas, à medida que novas correções continuam a melhorar a segurança do software e lidar com os pontos fracos.
Estar consciente da segurança cibernética deve fazer parte do processo de apresentação de novos funcionários. O ideal seria tratar de:
Muitas pequenas empresas trabalham na nuvem, armazenando seus dados através de serviços de internet em vez de um dispositivo ou servidor no escritório. O Google Drive, por exemplo, pode ser um candidato muito mais atraente para uma pequena e média empresa com pouco orçamento do que pagar por um sistema de gerenciamento caro. No entanto, conseguir acessar seus arquivos de negócios quando e onde você quiser, tem seus riscos.
A segurança na nuvem adiciona uma camada extra de proteção, pois o tráfego é filtrado antes de chegar ao servidor central. O direcionamento de tráfego através da nuvem permite que ele seja monitorado, verificando ameaças fora do seu sistema, o que permite que seu software antivírus decida se o tráfego é confiável, antes de ele ter acesso aos seus sistemas e rede. Isso significa que o tráfego maligno pode ser bloqueado, para que não chegue aos seus servidores e seja executado a partir de um console gerenciado centralmente.
Embora a segurança na nuvem possa detectar e resolver problemas, há processos que devem ser implantados para garantir que ela proteja sua empresa. Quando o acesso à rede é concedido com muita liberdade, surgem problemas relacionados à acessibilidade. Um bom exemplo disso é quando os funcionários saem da empresa e mesmo assim mantêm o acesso aos seus sistemas. Precauções, como atualizar regularmente senhas fortes e limitar o número de pessoas que têm acesso a dados sigilosos, podem aumentar drasticamente a segurança.
Dependendo do local e do setor que a sua empresa opera, há esquemas de conformidade apoiados pelo governo que você precisa seguir. Por exemplo, nos EUA, empresas de assistência médica e de seguro médico devem cumprir o HIPAA (Health Insurance Portability and Accountability Act). Na Europa, as informações devem ser armazenadas e acessadas de acordo com o Regulamento Geral de Proteção de Dados (GDPR). No Brasil, logo logo teremos uma lei de proteção de dados também.
A suposição é que a conformidade de dados trata da proteção de informações pessoais, tranquilizando seus clientes de que seus dados estão em segurança e não são compartilhados sem consentimento. Mais do que isso, a conformidade de dados é uma oportunidade para você proteger sua empresa contra ataques virtuais, pois dados protegidos são mais difíceis de serem acessados por cibercriminosos.
Com mais de 4.000 ataques virtuais por dia, nunca foi tão importante manter seus dados, clientes e funcionários em segurança, com um sistema que proteja sua empresa com eficácia. Mas, como este artigo mostrou, a proteção de terminais não é suficiente sozinha. Devemos acrescentar também o treinamento dos funcionários e as práticas recomendadas de gerenciamento de dados. Ao usar nosso guia como base para sua política, você pode começar com o pé direito para garantir o sucesso financeiro e a reputação da sua pequena empresa.
Baixe nosso modelo gratuito de política de segurança cibernética.
1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Política de Privacidade