Segurança Cibernética

A era da internet das coisas: 6 maneiras para ficar seguro | Avast

Reuters Plus and Avast, 27 Julho 2018

Neste guia, você vai encontrar conselhos e o modelo necessário para criar uma política de segurança cibernética para sua empresa ou escritório.

As pequenas empresas (PMEs) correspondem a 99,7% de todas as empresas nos Estados Unidos e estão sob ataques cada vez mais intensos por parte de cibercriminosos e softwares malignos. Por isso, é mais importante do que nunca obter a proteção correta e implantar a melhor política de segurança.

A finalidade e os benefícios de uma política de proteção cibernética

A finalidade de se criar uma política de proteção cibernética para a sua pequena empresa é delinear as ações e os recursos necessários para garantir a continuidade dos negócios e proteger seus dados. Assim, sua equipe ficará melhor informada e será mais capaz de agir para evitar ataques. Além disso, seus clientes ficarão mais tranquilos sabendo que trabalham com uma empresa que leva a sério a proteção de dados e as ameaças à segurança online.

Ataques a pequenas empresas abrangem desde ataques de phishing, ransomware e engenharia social até vazamentos de dispositivos de IoT (Internet das Coisas) conectados. Em 2017, os ataques de software e hardware foram responsáveis por quase 70% de todas as violações de dados no mundo:

  • 62% envolveram invasões
  • Mais de 50% envolveram malware

O Avast foi responsável por bloquear mais de 122 milhões de ataques do ransomware WannaCry em 2017. Junto com os ataques do ransomware Petya e Bad Rabbit, os custos totais a consumidores e empresas ultrapassaram US$ 5 bilhões.

O estudo de 2017 do Ponemon Institute registrou uma perda média devido a violações de dados de US$ 3,6 milhões em todo o mundo (US$ 7,35 milhões só nos Estados Unidos). No entanto, os ataques não ameaçaram só a receita, como também causaram interrupções com enorme impacto na produtividade. Muitas horas de trabalho foram gastas para resolver problemas. Isso sem considerar os danos à reputação de uma empresa.

A boa notícia é que não é caro proteger sua rede de tais ataques cibernéticos. Além disso, como a maioria dos ataques virtuais tendem a explorar vulnerabilidades básicas nos sistemas, é fácil evitá-los com software antivírus, atualizações de correções e treinamento para conscientização dos funcionários.

Uma política de proteção cibernética significa que sua equipe ficará melhor informada e será mais capaz de agir para evitar ataques.

Segurança de terminais

Os computadores usados em sua empresa são também conhecidos como “terminais” e cada um deles representa uma ameaça à segurança de toda a rede se não for corretamente protegido. Eles são uma porta aberta aos cibercriminosos e códigos malignos. Assim, a segurança de terminais é um dos melhores lugares para começar a proteção da sua rede, especialmente com o crescimento do trabalho remoto (mais funcionários podem acessar os sistemas remotamente, de casa ou redes Wi-Fi abertas). É essencial que todos os seus terminais sejam protegidos, pois a força da segurança da sua rede se mede sempre pelo elo mais fraco.

A segurança dos terminais oferece uma rede de proteção para impedir ataques em seu ponto de entrada. Se eles conseguirem entrar, o software antivírus garantirá que outros computadores na rede não sejam também infectados.

As equipes de TI valorizam a detecção de ameaças avançada que essas soluções de segurança fornecem, enquanto o sistema centralizado reduz simultaneamente a complexidade de proteger a empresa como um todo.

Cyber-Protection-Policy-Pic-1

A empresa deve ter uma proteção de terminais atualizada que contém:

  • Detecção de malware: escaneamento automático de emails e arquivos para garantir que ameaças potenciais nunca entrem na rede da empresa.
  • Proteção em várias camadas: não depende de um único método de proteção, mas muitos, por exemplo, firewalls, criptografia, autenticação da estação de trabalho, filtros de spam, etc.
  • Notificações em tempo real: é essencial que as ameaças sejam sinalizadas assim que forem detectadas para que você possa agir.
  • Gerenciamento remoto de dispositivos: a capacidade de adicionar com segurança um dispositivo à rede sem precisar andar pelo escritório acessando computadores individualmente.
  • Relatórios simples: análise simplificada que não precisa de um especialista em TI para ser decifrada.

Bring-your-own-device

O aumento nas ameaças móveis acompanha uma força de trabalho cada vez mais móvel. Assim, a necessidade de uma política de segurança abrangente é fundamental.

Algumas empresas fornecem dispositivos móveis, enquanto outras permitem que funcionários tragam seus próprios dispositivos (BYOD). Embora o segundo caso seja mais barato para as empresas, isso significa que as PMEs têm menos controle sobre o dispositivo: quais softwares e apps são baixados, quais informações são compartilhadas e quais Wi-Fis potencialmente desprotegidas são usadas.

Tudo isso pode colocar seus negócios em risco. Por exemplo, se um funcionário enviar dados sigilosos por email usando seu telefone e uma rede Wi-Fi desprotegida, esses dados podem ser vistos ou roubados se houver cibercriminosos procurando interceptar comunicações desprotegidas. Se ele baixar um app inseguro ou clicar em um link maligno, você pode fornecer acesso aos cibercriminosos a tudo que o funcionário tem acesso, incluindo a possibilidade de dados corporativos serem transmitidos e mesmo armazenados no dispositivo pessoal de um indivíduo.

Os possíveis problemas vão desde a perda de dados por meio de um vazamento ou perda de dispositivo, até o dano que dispositivos comprometidos causam ao serem introduzidos em um sistema centralizado. Quando membros da equipe trazem seus próprios dispositivos móveis, eles introduzem pontos de ataque que podem causar problemas de segurança.

Isso não significa que você precise subitamente começar a gastar para fornecer dispositivos caros aos seus funcionários. Mas há algumas diretrizes básicas de BYOD que você e sua equipe devem seguir.

Cyber-Protection-Policy-Pic-1

Todos os dispositivos devem ter autenticação de acesso:

  • As senhas devem ser complexas e invioláveis! A melhor maneira de garantir que sua equipe cumpra essa recomendação é fornecer ou recomendar um gerenciador de senha que gere e armazene senhas. Isso é melhor do que eles escreverem as senhas em papéis, que podem ser roubados ou perdidos facilmente.
  • Quando possível, os funcionários devem usar autenticação de dois fatores para acessar seu dispositivos. (Por exemplo, usar informações de login em um computador e depois confirmar sua identidade com um app no seu telefone).
  • Apenas dispositivos usados para fins de trabalho devem ser conectados à rede. Você deve considerar a possibilidade de configurar uma rede de “convidados” separada para garantir que qualquer dispositivo usado por motivos pessoais não ameace a rede da empresa. Se isso não for possível, peça aos funcionários que usam a rede para trocar para o plano de dados antes de usar o dispositivo para fins pessoais.

Treinamento dos funcionários

Uma medida preventiva vital para proteger sua empresa contra violações de dados e ataques virtuais é garantir que sua equipe conclua um treinamento em segurança cibernética. Ao compreender os tipos de ataques, como phishing, malware e ransomware, eles estarão melhor equipados para identificar qualquer atividade suspeita e relatá-las imediatamente.

Treinar seus funcionários para identificar um e-mail, link ou anexo maligno, por exemplo, é crucial para evitar violações de dados causadas por erro humano ou que as pessoas caiam em armadilhas de cibercriminosos e coloquem a empresa em risco. Encorajar os funcionários a manter seus apps e programas atualizados fortalecerá ainda mais suas defesas, à medida que novas correções continuam a melhorar a segurança do software e lidar com os pontos fracos.

Cyber-Protection-Policy-Pic-1

Estar consciente da segurança cibernética deve fazer parte do processo de apresentação de novos funcionários. O ideal seria tratar de:

  • O que mais está em risco. Geralmente, dinheiro ou acesso a fundos, tudo que contém identificadores pessoais (banco de dados de clientes ou funcionários), informações de pagamento, propriedade intelectual e tudo que poderia comprometer a reputação da marca.
  • Quem tem acesso a qual conteúdo. Se um funcionário precisar acessar um certo banco de dados ou informações sigilosas, ele deve solicitar essa informação de um membro sênior da equipe. Se ele não precisar mais de acesso, deve-se garantir que seu acesso seja revogado. Quanto menos funcionários acessarem informações em risco, essas informações estarão mais seguras.
  • O que procurar. Dispositivos lentos, dificuldades de login, problemas de conectividade de internet e redirecionamentos de sites podem ser sinais de um possível ataque virtual ou violação de dados. Os funcionários devem também ter cuidado ao abrir emails, excluir todas as contas que parecem suspeitas e clicar apenas em links ou abrir anexos de pessoas que conhecem. E também relatar essas questões ao encarregado de TI.

Segurança na nuvem

Muitas pequenas empresas trabalham na nuvem, armazenando seus dados através de serviços de internet em vez de um dispositivo ou servidor no escritório. O Google Drive, por exemplo, pode ser um candidato muito mais atraente para uma pequena e média empresa com pouco orçamento do que pagar por um sistema de gerenciamento caro. No entanto, conseguir acessar seus arquivos de negócios quando e onde você quiser, tem seus riscos.

A segurança na nuvem adiciona uma camada extra de proteção, pois o tráfego é filtrado antes de chegar ao servidor central. O direcionamento de tráfego através da nuvem permite que ele seja monitorado, verificando ameaças fora do seu sistema, o que permite que seu software antivírus decida se o tráfego é confiável, antes de ele ter acesso aos seus sistemas e rede. Isso significa que o tráfego maligno pode ser bloqueado, para que não chegue aos seus servidores e seja executado a partir de um console gerenciado centralmente.

Embora a segurança na nuvem possa detectar e resolver problemas, há processos que devem ser implantados para garantir que ela proteja sua empresa. Quando o acesso à rede é concedido com muita liberdade, surgem problemas relacionados à acessibilidade. Um bom exemplo disso é quando os funcionários saem da empresa e mesmo assim mantêm o acesso aos seus sistemas. Precauções, como atualizar regularmente senhas fortes e limitar o número de pessoas que têm acesso a dados sigilosos, podem aumentar drasticamente a segurança.

Cyber-Protection-Policy-Pic-1

  • Mantenha um registro do acesso que é concedido a cada funcionário. Quando um funcionário deixar a empresa, revise o banco de dados, revogue o acesso quando necessário, mesmo se você estiver desativando a conta de email do funcionário. Para obter mais segurança, tenha como prática padrão atualizar todas as senhas após a saída de um funcionário chave.

Conformidade de dados

Dependendo do local e do setor que a sua empresa opera, há esquemas de conformidade apoiados pelo governo que você precisa seguir. Por exemplo, nos EUA, empresas de assistência médica e de seguro médico devem cumprir o HIPAA (‎Health Insurance Portability and Accountability Act). Na Europa, as informações devem ser armazenadas e acessadas de acordo com o Regulamento Geral de Proteção de Dados (GDPR). No Brasil, logo logo teremos uma lei de proteção de dados também.

A suposição é que a conformidade de dados trata da proteção de informações pessoais, tranquilizando seus clientes de que seus dados estão em segurança e não são compartilhados sem consentimento. Mais do que isso, a conformidade de dados é uma oportunidade para você proteger sua empresa contra ataques virtuais, pois dados protegidos são mais difíceis de serem acessados por cibercriminosos.

Cyber-Protection-Policy-Pic-1

  • Liste os regulamentos de conformidade de dados pertinentes que sua empresa precisa seguir e garanta que os funcionários tenham acesso aos documentos pertinentes.
  • Há muitas leis a serem analisadas, por isso, considere designar uma pessoa na organização para ser o chefe da conformidade de dados. Essa pessoa deve ser treinada e reconhecida por todos os funcionários como a pessoa a procurar em caso de dúvida com a proteção de dados.
  • Conduza auditorias internas. Essa tarefa não precisa ser árdua nem intimidadora. É simplesmente uma maneira de manter todos em sua pequena empresa conscientes sobre a segurança de dados.

Conclusão

Com mais de 4.000 ataques virtuais por dia, nunca foi tão importante manter seus dados, clientes e funcionários em segurança, com um sistema que proteja sua empresa com eficácia. Mas, como este artigo mostrou, a proteção de terminais não é suficiente sozinha. Devemos acrescentar também o treinamento dos funcionários e as práticas recomendadas de gerenciamento de dados. Ao usar nosso guia como base para sua política, você pode começar com o pé direito para garantir o sucesso financeiro e a reputação da sua pequena empresa.

Baixe nosso modelo gratuito de política de segurança cibernética.