A Internet permite que empresas de todos os portes trabalhem e alcancem mercados em todo o mundo. Infelizmente, esse potencial de aumento da produtividade e da lucratividade é atenuado pelos riscos de segurança. De fato, a segurança cibernética precisa ser parte integrante de qualquer plano de negócios futuro, e o uso de uma VPN corporativa é apenas a primeira parte da garantia de segurança ideal para a rede da sua empresa. Aqui está um guia rápido para ajudar as pequenas empresas a proteger seus dados. Observe que algumas dessas etapas podem exigir a ajuda de uma equipe de profissionais de TI qualificados.
A segurança cibernética e a confidencialidade dos dados são importantes para todas as situações
Os vazamentos de dados estão se tornando cada vez mais comuns, e não são apenas as empresas de tecnologia que são afetadas. Esses vazamentos não só estão corroendo a confiança do consumidor, como também estão começando a levar a penalidades e regulamentações financeiras (LGPD, RGPD, …). Embora existam exceções para pequenas empresas, a implementação de boas práticas de segurança cibernética e proteção de dados reduzirá significativamente sua exposição.
Como entidades com fins lucrativos, as pequenas empresas devem trabalhar para proteger os dados que seus clientes lhes confiaram.
Entendendo o que é um modelo de ameaça
Um modelo de ameaças é um método de avaliação dos riscos de segurança e confidencialidade para mitigá-los estrategicamente.
Diferentes tipos de organizações têm diferentes tipos de ameaças e vulnerabilidades. Isso permite que você os use para determinar as prioridades de segurança cibernética da sua empresa.
Comece respondendo às três perguntas a seguir:
- Que tipo de dados você processa em sua empresa?
- Como esses dados são processados e protegidos?
- Quem tem acesso a esses dados e em que circunstâncias?
Responder a essas três perguntas o ajudará a saber exatamente quais dados você tem, onde os mantém e quem tem direitos de acesso.
Também pode ser muito útil desenhar um diagrama para visualizar esses relacionamentos. Por exemplo, você pode ter dados armazenados com segurança em um servidor local criptografado, mas percebe que, quando os dados circulam na rede da empresa, eles não estão criptografados ou que muitas pessoas têm acesso a eles sem nenhuma necessidade real. A criação de um modelo de ameaças o ajudará a identificar onde os dados são mais vulneráveis a hackers e vazamentos.
Depois que o modelo for estabelecido, você poderá começar a implementar protocolos para protegê-los.
Proteja sua rede contra ataques cibernéticos
Sua rede é onde os dados de sua empresa residem. Ela precisa estar segura se você quiser proteger as informações dos seus clientes, mesmo que isso exija assistência técnica de profissionais externos se você não tiver um departamento técnico na sua equipe.
Para começar, você precisa listar todos os dispositivos e conexões da sua rede. Você precisará estabelecer limites entre os sistemas da sua empresa e os sistemas externos. A ideia é criar controles que garantam que qualquer acesso não autorizado à sua rede profissional possa ser interrompido ou contido.
Outra parte essencial da proteção de sua rede é a manutenção do software em todos os dispositivos conectados. Você pode impedir que os invasores instalem software mal-intencionado nos dispositivos da sua empresa mantendo o software, os aplicativos e os sistemas operacionais atualizados. As atualizações de software geralmente incluem patches de segurança para vulnerabilidades recém-descobertas. Você também deve usar software antivírus em todas as suas estações de trabalho.
Senhas e autenticação
As senhas são a primeira linha de defesa para todas as contas de sua empresa. Certifique-se de que todos em sua empresa usem senhas fortes e exclusivas para proteger suas contas e dispositivos. Um gerenciador de senhas como o NordPass pode ajudar seus funcionários a gerar e armazenar senhas para que não precisem anotá-las.
A segunda linha de defesa é a autenticação de dois fatores (2FA). Essa é uma forma de proteger as contas usando uma segunda informação, como um código criado em um aplicativo ou um chaveiro de autenticação.
Diga aos seus funcionários que evitem usar computadores públicos para acessar as contas da empresa, pois os keyloggers podem roubar detalhes de login e comprometer a conta. Se os seus funcionários tiverem que usar um computador público, diga a eles que se certifiquem de sair da conta depois.
Muitos serviços, como o ProtonMail business, permitem que você veja quando e de qual endereço IP uma conta foi acessada e que faça o logout de outras sessões remotamente.
Criação de um plano de ação para dispositivos móveis
Os dispositivos móveis representam desafios de segurança significativos, pois podem conter informações confidenciais ou acessar a rede corporativa, além de serem facilmente roubados ou perdidos. Seu plano de segurança cibernética precisa cobrir todas as eventualidades. Portanto, é essencial pedir aos seus funcionários que usem senhas fortes para proteger seus dispositivos e garantir que eles criptografem todos os seus dados. Existem aplicativos que permitem excluir, localizar e possivelmente identificar o ladrão se um dispositivo for roubado. Você também deve estabelecer um procedimento para informar sobre equipamentos perdidos ou roubados.
Pratique a segurança de e-mail
O e-mail se tornou o principal meio de comunicação de uma empresa, desde o gerenciamento interno até o suporte ao cliente. É também uma das maneiras mais fáceis de os hackers obterem acesso ao banco de dados da sua empresa. É essencial treinar seus funcionários para que fiquem atentos a ataques de phishing, nos quais o invasor tenta fazer com que você clique em um link, baixe um anexo ou forneça informações confidenciais (por exemplo, digitando seu nome de usuário e senha em uma página da Web falsificada).
Use a criptografia sempre que possível
A criptografia é o processo de conversão de informações legíveis em uma cadeia de caracteres ilegível. Sem criptografia, qualquer pessoa que monitorasse a Internet poderia ver todos os dados transmitidos, desde cartões de crédito até mensagens de bate-papo. A grande maioria dos serviços on-line usa alguma forma de criptografia para proteger os dados que passam de e para seus servidores. Você deve criptografar todos os dados que sua empresa considera confidenciais.
No entanto, apenas algumas empresas de tecnologia criptografam suas informações de tal forma que nem mesmo a própria empresa pode descriptografá-las. Esse tipo de criptografia é chamado de criptografia de ponta a ponta (E2EE). Geralmente, há uma alternativa E2EE para serviços menos privados. Por exemplo, o ProtonMail é uma alternativa privada ao Gmail. Em vez do Google Drive, que pode acessar seus arquivos, sua empresa poderia usar um serviço de VPN empresarial na cloud como o NordLayer. Esses serviços impedem que qualquer pessoa, exceto o proprietário e as pessoas autorizadas, descriptografe o arquivo e acesse os dados.
Para aplicativos de mensagens, há algumas opções seguras, mas os serviços mais populares nem sempre são seguros. Por exemplo, nem o Skype for Business nem o Slack oferecem proteção E2EE aos seus usuários. Para maior segurança e confidencialidade, recomendamos o uso do Wire ou do Signal.
Treine seus funcionários e gerencie o acesso
Nenhuma dessas medidas terá qualquer efeito se os funcionários de sua empresa não as aplicarem adequadamente. Estabelecer diretrizes claras e úteis, que também detalhem a política da empresa, é fundamental para qualquer plano de segurança cibernética. Todos os funcionários precisam estar bem informados sobre ataques de phishing padrão, práticas recomendadas para senhas fortes, serviços criptografados e com quem entrar em contato em caso de problemas, perda ou roubo de dispositivos.
Para minimizar o risco, nenhum funcionário deve ter acesso a todos os sistemas de dados da sua empresa. Eles devem ter acesso apenas aos dados específicos de que precisam para fazer seu trabalho, e os privilégios administrativos, como a instalação de novos softwares, devem ser concedidos apenas a pessoas-chave e confiáveis.
Desenvolver esses sistemas e treinar sua equipe neles às vezes leva tempo, mas seus funcionários são sua primeira e última linha de defesa contra vazamentos de dados. Agora que o RGPD foi implementado, as empresas tiveram que ser mais abertas em relação às violações de dados, e os relatórios mostraram que o erro humano é a causa número um de vazamentos de dados, à frente dos ataques maliciosos. Isso é conhecido como engenharia social.
Esperamos que este guia o ajude a estabelecer um plano de segurança cibernética para a sua empresa.