Ajuda de segurança cibernética para pequenas e médias empresas

Passamos apenas dois meses desde o início de 2014 e vimos um grande número de problemas relacionados ao gerenciamento de privacidade e violação de dados. Em uma reunião da Online Trust Alliance (OTA) da qual participei recentemente, foi feito o comentário de que “não é um caso desevocê será afetado por uma violação, é um caso dequando.”

Este é um comentário preocupante para qualquer empresa que tenha um modelo de negócios eletrônico, que, hoje em dia, somos basicamente todos nós. Ser relativamente pequeno ou anônimo não garante que os cibercriminosos não notem você. Então, onde você pode pedir assistência e orientação se for uma organização pequena sem bolsos ou recursos profundos?

Um guia para pequenas empresas sobre questões de cibersegurança

O Estado da Califórnia publicou um ótimo recurso para empresas: “Cybersecurity in the Golden State: How California Businesses Can Protect Against and Respond to Malware, Data Breaches and Other Cyberincidents.” As informações neste documento são aplicáveis ​​a todas as empresas em qualquer lugar, não apenas na Califórnia, e oferecem ajuda em segurança cibernética para pequenas e médias empresas. Eu o encorajo fortemente a lê-lo para se familiarizar com os conceitos – e todos os possíveis problemas de ameaças que podem ter um efeito prejudicial em sua marca, sua reputação e sua capacidade de realizar comércio online legítimo. Pode ser difícil e caro se recuperar de uma violação de privacidade; a prevenção é o melhor caminho. Como observa o estudo:

“De acordo com o Estudo de Custo do Crime Cibernético de 2014, realizado pelo Ponemon Institute, … os custos para empresas vítimas de ataques baseados na Internet aumentaram 78% ao ano, em média, nos últimos quatro anos.”

10 verdades sobre cibersegurança

Aqui está uma versão editada do resumo executivo do relatório:

Investimentos relativamente pequenos em preparação para segurança cibernética podem gerar reduções de risco significativas. O Guia contém mais recomendações sobre como preparar um plano eficaz de resposta a incidentes de segurança cibernética, mas aqui estão as principais questões:

1. Assuma que você é um alvo

Qualquer empresa, grande ou pequena, pode ser vítima de crimes cibernéticos. Assim como se tornou uma segunda natureza para a maioria de nós trancar as portas da frente quando saímos de casa, assuma que você é um alvo em potencial e tome precauções básicas para proteger você e sua empresa.

2. Lidere pelo exemplo

A segurança cibernética não é domínio exclusivo da TI; a gestão executiva tem de se envolver. Os proprietários de pequenas empresas estão em melhor posição para entender a rede de sua empresa e todos os dispositivos que se conectam a ela. Isso requer dedicar o tempo e os recursos necessários para garantir a segurança de seus ativos de informação.

3. Mapeie seus dados

Para proteger seus dados de maneira eficaz, o relatório sugere que você primeiro precise conhecer os tipos de dados que possui e a localização desses dados. Revise de forma abrangente os dados que você armazenou em seus sistemas de TI, tanto no local quanto fora dele, e com terceiros (inclua armazenamento de backup e soluções de computação em nuvem em seu projeto de mapeamento de dados). Depois de saber quais dados você tem e onde estão, dê uma boa olhada e livre-se do que realmente não precisa.

4. Criptografe seus dados

Criptografe os dados que você precisa manter. Em termos básicos, os dados criptografados – sejam e-mails, fotografias, memorandos ou qualquer outro tipo de informação armazenada eletronicamente – os codificam para que aqueles sem as chaves de criptografia não possam lê-los. A tecnologia de criptografia forte agora está disponível gratuitamente e é fácil de usar. A grande vantagem de criptografar seus dados é que os torna muito menos suscetíveis a hackers. Observe que as máquinas que lidam com informações confidenciais, como folha de pagamento ou funções de ponto de venda (POS), devem estar idealmente em redes ou sistemas separados das máquinas envolvidas com serviços de rotina, como atualização do Facebook e verificação de e-mail.

5. Faça transações bancárias com segurança

O relatório da Califórnia inclui conselhos específicos e acionáveis ​​para serviços bancários online, incluindo:

• Coloque a segurança em primeiro lugar. Realize operações bancárias on-line usando apenas uma conexão de navegador segura (indicada por “https” e/ou um cadeado visível na barra de endereço ou no canto inferior direito da janela do navegador). As sessões de banco on-line devem ser conduzidas no modo privado do seu navegador da Web e você deve apagar o cache do navegador da Web, os arquivos temporários da Internet, os cookies e o histórico posteriormente, para que, se o seu sistema for comprometido, essas informações não sejam acessíveis aos cibercriminosos.

• Aproveite as opções de segurança oferecidas pela sua instituição financeira. Os exemplos incluem o uso de autenticação de dois fatores para acessar sua conta, exigir que dois indivíduos autorizados assinem todas as transferências de fundos e configurar notificações de conta por e-mail ou mensagem de texto quando certas atividades de alto risco ocorrerem em sua conta.

• Defina limites para transferências eletrônicas. Organizações criminosas transnacionais sofisticadas estão agora rotineiramente hackeando os computadores das empresas e transferindo grandes somas para o exterior, onde não podem ser recuperadas. Para evitar isso, defina limites para o valor que pode ser transferido de suas contas e (dependendo das necessidades de sua empresa) considere pedir ao seu banco que exija duas assinaturas da equipe executiva antes de enviar transferências eletrônicas para o exterior.

6. Defenda-se

Ao escolher soluções de segurança, proteja-se contra pontos únicos de falha em qualquer tecnologia ou método de proteção específico. Isso deve incluir a implantação de firewalls, antivírus e outras soluções de segurança da Internet atualizadas regularmente que abrangem todos os dispositivos digitais, de computadores de mesa a smartphones e tablets.

Os dispositivos conectados à sua rede devem ser protegidos por várias camadas de tecnologias defensivas que incluem, entre outras, tecnologia antivírus. Procure soluções de segurança abrangentes que abordam a segurança de várias perspectivas para que você seja capaz de gerenciar o risco de todo o espectro de ameaças que você pode encontrar. Recursos úteis incluem a capacidade de localizar ou limpar remotamente um dispositivo que está desaparecido e a capacidade de identificar e bloquear ataques nunca antes vistos usando tecnologias que analisam o comportamento e/ou empregam ferramentas de virtualização.

7. Eduque os funcionários

Aumente a conscientização dos funcionários sobre os riscos de ameaças cibernéticas, mecanismos para mitigar o risco e o valor da propriedade intelectual e dos dados de seus negócios. Seus funcionários são a primeira linha de defesa, e um bom treinamento e procedimentos de segurança podem reduzir o risco de perda acidental de dados e outros riscos internos.

8. Tenha cuidado com a senha

Altere qualquer nome de usuário ou senha padrão para computadores, impressoras, roteadores, smartphones ou outros dispositivos. QUALQUER COISA é melhor do que o padrão. Especificamente, você deve usar senhas fortes e não permitir que seu navegador de Internet se lembre de suas senhas.

9. Opere com segurança

Mantenha seus sistemas seguros usando defesas de segurança em camadas e mantendo todos os sistemas operacionais e software atualizados. Não instale software que você não procurou especificamente e não baixe software de fontes não confiáveis ​​ou desconhecidas. Lembre-se de remover ou desinstalar o software que você não está mais usando.

10. Planeje para o pior

O relatório observa que toda pequena empresa deve elaborar um plano de recuperação de desastres para que, quando ocorrer um incidente cibernético, seus recursos sejam usados ​​com sabedoria e eficiência. Escolha uma equipe de resposta a incidentes e atribua um líder. Certifique-se de que a equipe inclua um membro da gerência executiva. Defina papéis e responsabilidades para que todos saibam quem é responsável pelo que deve ocorrer. Comunique a todos em sua empresa quem devem ser contatados se suspeitarem que um incidente cibernético ocorreu (ou está ocorrendo). Reúna e distribua informações de contato após o expediente para sua equipe de resposta a incidentes. Em seguida, descreva as etapas básicas do seu plano de resposta a incidentes estabelecendo listas de verificação e itens de ação claros.

O relatório do Estado da Califórnia aborda golpes de engenharia social, violações de rede, violações físicas e violações móveis e inclui mais detalhes sobre operações seguras e resposta a incidentes. Vale a pena; veremos apenas mais problemas que afetam negócios legítimos em nosso mercado digital. Então pegue uma cadeira confortável e um café quente e estude este guia útil, valioso e legível sobre segurança cibernética para pequenas e médias empresas.

A Act-On está comprometida com a sua privacidade e proteção de dados. Dê uma olhada em nossos esforços proativos e certificações do setor aqui .

Imagem superior: “Privacy” por g4114is. Usado com permissão, sob uma licença Creative Commons 2.0.