11 dicas de segurança cibernética para pequenas empresas

23 de Março de 2020

Embora sejam as violações de dados em grande escala que fazem as manchetes, as pequenas empresas também estão vulneráveis a ataques. Os cibercriminosos que visam essas pequenas empresas buscam números de cartão de crédito, números de previdência social e qualquer outra informação pessoal identificável que possa ser vendida na Dark Web para obter lucro. Para tornar as coisas mais difíceis, as pequenas empresas têm menos recursos para se comprometer com a segurança de dados e rede do que as organizações corporativas, mas com alguns níveis básicos de cibernética e segurança em vigor, as pequenas empresas podem reduzir significativamente seu risco de ataque.  

Como sempre, é importante leia as tendências de segurança cibernética , mas não pule o básico. Aqui, reunimos uma lista das 11 principais atividades que uma pequena empresa pode fazer hoje para reduzir seu risco cibernético. 

Com o tempo, "Senha" tornou-se um nome impróprio. Isso realmente deve ser pensado como uma "senha". Em vez de uma palavra singular, construa sua senha como uma frase ou frase curta, como "OneSpanprotectstheworldfr0mdigitalfraud!" é uma senha muito mais forte, mas continua fácil de memorizar. 

Além disso, lembre a seus funcionários que essa deve ser uma senha exclusiva e não usada em outros sites. Uma das maiores vulnerabilidades das senhas é a tendência das pessoas de reutilizá-las em todas as contas que possuem. Isso significa que, mesmo que uma empresa na qual o usuário tenha uma conta seja violada, os recursos da empresa agora estarão vulneráveis. 

Com o tempo, "Senha" tornou-se um nome impróprio. Isso realmente deve ser pensado como uma "senha". Em vez de uma palavra singular, construa sua senha como uma frase ou frase curta, como "OneSpanprotectstheworldfr0mdigitalfraud!" é uma senha muito mais forte, mas continua fácil de memorizar.

  1. Aplicar criptografia de dispositivo 

    Ao acessar recursos de rede remotamente, além de usar segurança de aplicativos para dispositivos móveis , é muito importante usar uma rede virtual privada (VPN) ao fazê-lo. Uma VPN criptografa dados enquanto está em trânsito da rede para o dispositivo, o que significa que, se um cibercriminoso interceptar os dados enquanto estiver a caminho do dispositivo, eles só terão adquirido dados criptografados. Será ilegível, a menos que eles também tenham a chave de criptografia. Além disso, você precisa garantir canais de comunicação seguros entre o lado do cliente e o servidor. 
  2. Cuidado com as informações de pagamento e transação 

    Como indivíduo ou empresa, é importante garantir a segurança dos seus sistemas de pagamento antes de enviar qualquer informação do cartão de crédito. Trabalhe com seus bancos ou processadores para garantir que sofisticadas soluções antifraude estejam sendo usadas. 

  3. Mantenha Máquinas Limpas 

    Por limpo, pretendemos atualizar seus navegadores, sistemas operacionais e software de segurança. Defina seu programa antivírus para verificar o sistema após cada atualização e verifique se o sistema permanece o mais atual possível. 

    As atualizações periódicas lançadas por esses desenvolvedores incluem correções de código para garantir vulnerabilidades conhecidas no sistema. Às vezes, essas vulnerabilidades não são descobertas até serem exploradas, por isso é importante que seus dispositivos sejam atualizados para fechar essas vulnerabilidades rapidamente. 

  4. Tenha um plano de ação para dispositivos móveis 

    Os dispositivos móveis colocaram as equipes de segurança de TI em uma posição difícil. Os dispositivos móveis são essenciais no mundo empresarial de hoje, mas podem representar um risco significativo à segurança. Eles podem ser roubados, invadidos, o usuário pode baixar aplicativos comprometidos e assim por diante. Para atenuar esses riscos, estabeleça um plano de ação para dispositivos móveis. Esses planos incluem o desenvolvimento de uma lista de soluções e políticas de segurança necessárias aplicadas ao dispositivo antes que o funcionário possa usá-lo. 

    Em seguida, desenvolva um procedimento de relatório, para que os usuários possam relatar qualquer equipamento perdido ou roubado. Isso ajudará sua equipe de segurança de TI a responder aos riscos à medida que eles chegarem. 

    Além disso, considere promulgar estas políticas: 

    • Não permita dispositivos com jailbreak ou raiz 

    • Garanta a criptografia do dispositivo 

    • Permitir apenas o download de aplicativos nos mercados oficiais de aplicativos 

    • Peça aos usuários que assinem uma Política de Uso Aceitável que detalhe as maneiras pelas quais os funcionários têm permissão para usar um dispositivo da empresa. 

  5. Limitar o acesso aos sistemas de dados 

    Aplique permissões a diferentes usuários, dependendo de suas necessidades. Por exemplo, o CFO precisará acessar todas as informações financeiras da rede corporativa para cumprir sua função na empresa, mas a recepcionista não. Garantir que apenas usuários selecionados tenham acesso a recursos selecionados limita o dano potencial se um ciberataque seqüestrar uma das contas do usuário. Se esse usuário não puder acessar informações confidenciais, o invasor também não. 

  6. Manter um software antivírus forte 

    O software antivírus, juntamente com um firewall, é um componente fundamental de uma estratégia de segurança cibernética. O software antivírus verifica o banco de dados interno em busca de arquivos potencialmente hostis no sistema. Sem esse sistema, seria muito difícil detectar uma violação depois que ela ocorresse. 

  7. Proteger e fazer backup de dados confidenciais 

    Uma das formas mais proeminentes de ataques cibernéticos é chamada ataque de ransomware. Depois que um invasor se infiltra na rede corporativa, instala um código que criptografa o banco de dados inteiro. Em seguida, eles extorquem a empresa a pagar uma quantia em dinheiro em troca da chave para descriptografar seus dados. Normalmente, essas ofertas têm um limite de tempo. Depois que expiram, eles limpam o banco de dados inteiro. Pior ainda, às vezes o ataque se recusará a fornecer a chave de descriptografia após o recebimento do pagamento. 

    A melhor defesa contra esses tipos de ataques é uma estratégia de backup forte e confiável. Seja usando fita, disco ou armazenamento em backup na nuvem, é essencial ter algum backup dos seus sistemas. 

    Por fim, verifique se há credenciais diferentes para acessar seu ambiente de backup. Isso impedirá que um ataque cibernético se infiltre no backup também. 

  8. Fornecer autenticação multifatorial 

    Autenticação multifatorial requer que o usuário preencha dois ou mais dados de autenticação para acessar os recursos corporativos. Esses fatores de autenticação podem assumir a forma de algo que você conhece (como uma senha), algo que você tem (como uma senha única ou dispositivo confiável) e algo que você é (como uma impressão digital ou digitalização facial).  

    Ao alavancar a autenticação multifator, você pode melhorar significativamente a segurança da sua organização. É possível replicar uma única forma de autenticação, mas solicitando várias e variadas formas, a probabilidade de fraude é bastante reduzida. 

  9. Definir senhas fortes 

    Em termos relativos, as senhas são a forma menos segura de autenticação. Se as senhas forem seu único método de segurança, recomendamos que você considere a autenticação de dois fatores, soluções de autenticação de múltiplos fatores ou usar autenticadores de hardware . Dito isto, uma senha bem construída ainda será muito mais eficaz do que uma senha fraca. Siga estas diretrizes ao construir uma senha: 

    • 10+ Personagens

    • 1+ letra Uppcercase 

    • 1+ letra minúscula 

    • 1+ Number 

    • 1+ Caractere especial (!, @, #, $ Etc.) 

    Com o tempo, "Senha" tornou-se um nome impróprio. Isso realmente deve ser pensado como uma "senha". Em vez de uma palavra singular, construa sua senha como uma frase ou frase curta, como "OneSpanprotectstheworldfr0mdigitalfraud!" é uma senha muito mais forte, mas continua fácil de memorizar.

    Além disso, lembre a seus funcionários que essa deve ser uma senha exclusiva e não usada em outros sites. Uma das maiores vulnerabilidades das senhas é a tendência das pessoas de reutilizá-las em todas as contas que possuem. Isso significa que, mesmo que uma empresa na qual o usuário tenha uma conta seja violada, os recursos da empresa agora estarão vulneráveis.

  10. Treine funcionários em segurança cibernética 

    O elo mais fraco de um sistema de segurança é o humano. Os cibercriminosos desenvolveram sofisticados esquemas de phishing e engenharia social para induzir os usuários a renunciarem a informações confidenciais da conta, levando a uma violação. É importante treinar e lembrar habitualmente os funcionários de estarem atentos a sinais reveladores de tentativas de phishing. Outros tópicos de treinamento de segurança devem incluir: 

    • Criando senhas fortes

    • Detectando e-mails de phishing 

    • Práticas de navegação segura 

    • Protegendo informações corporativas confidenciais 

    • Recusando downloads suspeitos 

    Mas lembretes e treinamento regular ainda não são suficientes. Além disso, você deve implementar testes aleatórios e sem aviso prévio. Envie e-mails falsos de phishing para seus funcionários, seguindo os elementos tradicionais de um e-mail de phishing. Em seguida, identifique quem clicou no seu e-mail falso e ofereça cursos de treinamento. Isso o ajudará a disseminar as informações de treinamento para os funcionários que mais precisam.

  11. Usar firewalls de rede 

    Um firewall é um grupo de programas de segurança que impedem que usuários externos acessem dados corporativos enquanto estiverem na rede corporativa. Esse é um componente fundamental da segurança da Internet e essencial para qualquer ambiente de TI. No entanto, o firewall não é um sistema de segurança até ele próprio. Você deve complementar o firewall com as outras práticas de segurança listadas aqui. 

Leia mais sobre segurança cibernética

Sempre há algo novo para ler no setor de segurança cibernética. A corrida armamentista em curso entre profissionais de segurança e criminosos cibernéticos está sempre aumentando. Assine o OneSpan Blog para ficar a par das atualizações do setor e das novas tendências.