5 práticas recomendadas de segurança cibernética para proteger seus dados comerciais
Publicados: 2024-03-05Só em 2022, o Federal Bureau of Investigation recebeu 800.944 reclamações de empresas norte-americanas vítimas de ataques cibernéticos.
Embora seja verdade que os ataques cibernéticos estão aumentando, sua empresa não precisa ser vítima de um ataque. Pelo contrário, pode tomar a iniciativa implementando medidas de segurança cibernética para se proteger contra os muitos riscos de segurança no ciberespaço.
Aqui estão cinco práticas recomendadas essenciais de segurança cibernética que você pode implementar para manter os dados de sua empresa seguros.
1. Habilite a autenticação de dois fatores
A autenticação de dois fatores (também chamada de “autenticação multifator”) é uma das práticas recomendadas de segurança cibernética mais comuns que você pode implementar para manter as ameaças cibernéticas sob controle. Empresas como a Microsoft e o Google utilizam-no para manter os dados dos seus clientes seguros e é recomendado por legislação como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
Essa medida simples de segurança cibernética pode proteger os dados da sua empresa, exigindo que seus funcionários forneçam um segundo fator de autenticação (além das senhas) antes de receberem acesso às suas contas. As informações adicionais de verificação de identidade podem ser:
- senhas únicas de seis dígitos enviadas para seus números de telefone sempre que fizerem login
- sua biometria (por exemplo, impressão digital, varredura de retina ou varredura de reconhecimento facial)
- a voz do funcionário
A qualidade que torna a autenticação de dois fatores eficaz é a camada extra de segurança que ela fornece.
Antes de sua implementação, nomes de usuário e senhas eram todos os atores mal-intencionados necessários para obter acesso aos dados de uma empresa. Agora, mesmo que os hackers consigam adquirir os nomes de usuário e senhas dos seus funcionários, eles não conseguirão acessar as contas sem seus telefones ou dados biométricos.
Mas isso não é tudo: a autenticação de dois fatores também pode alertá-lo sobre atividades suspeitas conforme elas acontecem em tempo real. Em alguns casos, seus funcionários receberão e-mails quando usuários não autorizados tentarem fazer login com suas credenciais em um dispositivo não reconhecido. O e-mail pode solicitar que eles confirmem se reconhecem uma tentativa de login. Veja este exemplo de e-mail enviado pelo Google para confirmar um login:
Considere usar a autenticação multifator se você tiver uma força de trabalho distribuída e seus funcionários fizerem login em dispositivos fora da rede corporativa. Esta medida de segurança cibernética é simples de implementar e não sobrecarregará o seu orçamento de segurança cibernética.
2. Aplique uma política de senha forte
Os cibercriminosos empregam diversas técnicas, como engenharia social e ataques de força bruta, ao comprometer contas de funcionários. Senhas fracas aumentam suas chances de sucesso e a probabilidade de proprietários de empresas como você sofrerem uma violação de segurança.
Assim, outra maneira de manter seus dados protegidos contra ameaças à segurança cibernética é impor uma política de senha forte em seu local de trabalho.
Aplicar uma política de senha forte envolve a criação de um conjunto de regras básicas que seus funcionários seguirão ao definir senhas para suas contas. As regras típicas podem incluir o uso de senhas separadas para cada conta e a criação de senhas fortes e longas que incluem uma combinação de letras (maiúsculas e minúsculas), números e símbolos.
Aliás, você precisará educar seus funcionários sobre os critérios que suas senhas devem atender para serem consideradas fortes. O gigante dos mecanismos de busca Google fornece dicas sobre como definir uma senha forte. Diz que você deveria:
- ser único (e não reutilizado nas contas pessoais de um funcionário)
- seja memorável
- excluir padrões comuns (por exemplo, “1234”)
- excluir informações pessoais (por exemplo, o aniversário de uma pessoa importante)
As senhas que atendem aos critérios acima devem funcionar como primeira linha de defesa contra acesso não autorizado à propriedade intelectual da sua empresa. Se você quiser ter certeza absoluta de que as senhas são difíceis de decifrar, peça também que usem esta tabela como guia ao escolher:
Fonte: CDN
Esteja ciente das desvantagens desta estratégia de segurança cibernética e das soluções disponíveis.
A principal desvantagem de um funcionário usar uma senha complexa é que ele pode anotá-la e guardá-la perto de seu espaço de trabalho. Você pode desencorajar essa prática implantando gerenciadores de senhas que os ajudem a armazenar e lembrar suas senhas. Essas ferramentas também serão úteis se você exigir que seus funcionários alterem suas senhas a cada três ou seis meses.
3. Crie backup de dados
Fazer backup regular de seus dados é uma boa ideia do ponto de vista comercial, mas também é uma das práticas recomendadas de segurança cibernética mais inteligentes. O motivo é que você pode recorrer aos backups de seus dados no caso de um ataque de ransomware.
Os ataques de ransomware estão entre os ataques cibernéticos mais comuns implantados por criminosos durante uma violação de segurança. Eles envolvem o uso de software malicioso (ransomware) para sequestrar os arquivos em computadores comerciais e mantê-los como resgate. Em 2022, o ransomware foi utilizado em cerca de 68% de todos os ataques cibernéticos registados em todo o mundo.
Embora a esperança seja que suas políticas de segurança cibernética evitem que os funcionários caiam em ransomware, basta um clique em um link malicioso para se transformar em um incidente de segurança. Estatísticas de gerenciamento de tempo mostram que, em média, os funcionários verificam seus e-mails a cada hora e 40 minutos. Como o phishing por e-mail foi considerado o método de entrega mais comum para ransomware e os e-mails enviados parecem legítimos à primeira vista, a probabilidade de ocorrência de um ataque aumenta.
Confira este exemplo de e-mail de phishing enviado a um funcionário:
Fonte: Segurança SSL barata
A única maneira de concluir que se trata de um e-mail de phishing é examiná-lo cuidadosamente. Observe que o remetente do e-mail deveria ser a Damco, com sede no Camboja. No entanto, o registro do domínio do endereço de e-mail do remetente foi feito na China (.cn). Depois, há o uso do logotipo da Maersk Line. Essa empresa, embora legítima, está sediada na Dinamarca.
Além disso, pergunte-se: por que um funcionário do atendimento ao cliente enviaria um e-mail que supostamente contém documentos de exportação?
Suponha que usuários não autorizados obtenham acesso aos seus dados depois que um funcionário desavisado clica em um e-mail de phishing como o acima. Nesse caso, backups regulares garantirão que seu negócio funcione normalmente.
Quanto a como você pode fazer backup dos dados da sua empresa, considere usar a regra 3-2-1. Tenha sempre três cópias de seus dados. Faça backup de duas versões em dispositivos de armazenamento separados e da versão final externamente.
Você tem muitas opções de dispositivos de backup físico. Discos rígidos externos (sejam unidades de estado sólido ou de disco rígido) e unidades flash USB podem funcionar. Sua capacidade de armazenamento pode variar de 500 gigabytes a dois terabytes ou mais. Além disso, mídias ópticas como DVDs ou CDs são úteis para armazenar backups de arquivos menores.
Quanto às soluções externas, o armazenamento em nuvem é imbatível. Você pode armazenar os arquivos da sua empresa em um servidor remoto e acessá-los com uma conexão à Internet por uma taxa mensal. Serviços como Google Drive, OneDrive e Dropbox estão entre os mais populares.
4. Treine os funcionários sobre segurança cibernética
Você também pode combater vulnerabilidades de segurança educando seus funcionários sobre segurança de rede.
Programas e cursos que oferecem certificações de segurança para iniciantes podem ajudar seus funcionários a aprender. No mínimo, seus funcionários aprenderão sobre e-mails de phishing, golpes de phishing e outros truques que os cibercriminosos usam para comprometer sistemas críticos. Além disso, eles aprenderão como essas violações de segurança cibernética ocorrem no local de trabalho e como os malfeitores exploram as lacunas de segurança.
Mais importante ainda, seus funcionários precisam saber como suas ações podem ajudar involuntariamente atividades maliciosas. Por exemplo, a formação em cibersegurança pode sublinhar a importância de aceder aos dados da empresa através de redes privadas e evitar a utilização de redes públicas (por exemplo, as redes Wi-Fi públicas em cafetarias).
É essencial que você inclua o treinamento em segurança cibernética em suas operações comerciais.
Em vez de enviar e-mails ocasionais e organizar sessões de treinamento todos os anos, considere convidar profissionais de segurança cibernética para falar com seus funcionários em intervalos regulares.
Você pode até incentivar a frequência de cursos de segurança cibernética, tornando-os parte do desenvolvimento contínuo de seus funcionários. Quando um funcionário está convencido de que a sua sensibilização para a segurança cibernética ajudará nas suas perspetivas de carreira e se traduzirá em competências profissionais, poderá estar mais inclinado a internalizar e a praticar o que aprende.
Se você dirige uma empresa de tecnologia, considere ensinar a seus funcionários como a inteligência artificial pode ajudar na defesa contra ataques cibernéticos alimentados por IA.
5. Realize auditorias regulares de segurança cibernética
A realização de auditorias regulares de segurança cibernética ajudará você a identificar vulnerabilidades e riscos de segurança cibernética para o seu negócio.
Uma auditoria de segurança cibernética envolve a avaliação das políticas de segurança da sua empresa enquanto tenta descobrir quaisquer ameaças ou áreas de melhoria.
Durante uma auditoria, você determinará se sua empresa está em conformidade com as regulamentações de segurança cibernética e avaliará sua postura de segurança, entre outros. Auditorias mais frequentes verificarão a validade do seu software antivírus (ou seja, se ele está atualizado). Não é incomum mudar de parceiro de segurança cibernética durante o processo.
Existem dois tipos de auditorias de segurança cibernética que você pode realizar:
- Auditoria Interna : Quando você faz uma auditoria interna, o pessoal de segurança cibernética da sua empresa cuida das verificações. Esse tipo de auditoria é comum em empresas menores.
- Auditoria Externa : Uma auditoria externa convida auditores que não são afiliados à empresa para realizar as verificações. As empresas maiores normalmente escolhem esses tipos de auditoria.
A frequência com que você realiza auditorias dependerá do seu negócio.
Por exemplo, se você armazena informações confidenciais em seus sistemas de computador, precisará de auditorias frequentes para garantir sua segurança. Se a auditoria será ou não perturbadora para os negócios também pode estar em sua mente.
Fatores adicionais a serem considerados ao realizar auditorias incluem:
- Escopo : Quão abrangente você deseja que a auditoria seja? Deverá dar-lhe uma visão completa da postura de segurança cibernética da sua empresa ou concentrar-se em aspectos específicos da sua empresa?
- Ameaças e respostas: se você descobrir ameaças ao seu negócio, como responderá?
Depois de concluir uma auditoria, você terá uma imagem mais clara de quão segura (ou não) sua empresa está contra ameaças cibernéticas. E se você descobrir alguma ameaça, poderá tomar medidas para neutralizá-la.
Siga dicas de segurança cibernética para proteger dados comerciais
Se quiser manter os dados da sua empresa seguros, você precisará implementar duas ou mais das práticas recomendadas de segurança cibernética discutidas no artigo. As estatísticas são claras: o cibercrime está a caminho de disparar no futuro, o que significa que as empresas precisam de estar preparadas.
Para recapitular, considere ativar a autenticação de dois fatores e aplicar uma política de senha forte. Faça backup dos seus dados regularmente e treine seus funcionários sobre segurança cibernética para reduzir os riscos causados por erro humano. Por fim, realize auditorias regulares de segurança cibernética para se manter atualizado sobre a segurança da sua empresa contra ameaças cibernéticas.
Encontre especialistas em segurança cibernética que podem proteger os dados da sua empresa contra invasores. Conecte-se com uma empresa de segurança cibernética no The Manifest.