#GoToGetsIT: este artigo é parte de uma série dos líderes inovadores da linha de frente da GoTo: nossos consultores de soluções conhecem profundamente os desafios individuais dos nossos clientes e propõem as soluções certas para seus objetivos usando tecnologia da GoTo. Aqui, os líderes mostram seu conhecimento do setor, analisando o que é preciso para ajudar empresas de todo o mundo a ter sucesso em um mundo remoto ou híbrido.
No mundo digital atual, a segurança cibernética é um elemento essencial de todos os tipos de organização. Violações de segurança cibernética de grandes corporações são sempre alvo de manchetes de jornal, mas isso não significa que as pequenas e médias empresas (PMEs) não são tão ou até mais vulneráveis a esse tipo de ataque.
Na realidade, o relatório Spear Phishing: Top Threats and Trends da Barracuda revela que funcionários de empresas em crescimento sofrem 350% mais ataques de engenharia social do que funcionários de grandes empresas. Esses tipos de ataque, como phishing, baiting e falsificação de identidade, não dependem de explorações técnicas sofisticadas, mas tem como foco manipular as pessoas a divulgar dados confidenciais, executar ações ou tomar decisões específicas que beneficiem o malfeitor. Como explica um diretor de segurança da informação, "os adversários com motivação financeira consideram as empresas em crescimento um alvo fácil por conta da falta de controles de segurança e de profissionais qualificados".
No entanto, além dos ataques de engenharia social, há uma série de outras ameaças que podem representar riscos enormes para sua empresa. Essas ameaças variam de ataques de ransomware, que envolvem o sequestro de dados vitais até que se pague um resgate, a infecções por malware que podem interromper o funcionamento da empresa e comprometer informações confidenciais.
Para ajudar a proteger sua empresa em ascensão, criamos uma checklist prática de segurança cibernética. Nela, você verá ações práticas para fortalecer suas defesas digitais e proteger seus ativos valiosos contra possíveis ameaças cibernéticas.
A checklist definitiva de segurança cibernética para pequenas e médias empresas
1. Implementar treinamento de conscientização sobre segurança
O treinamento de conscientização sobre segurança envolve instruir os funcionários sobre as práticas recomendadas de segurança cibernética. Esse treinamento dá maior clareza sobre as ameaças comuns, como e-mails de phishing , e como reagir a elas. Por exemplo, os funcionários podem aprender a identificar e-mails suspeitos procurando endereços de remetente incomuns ou solicitações de informação confidencial. Promover sessões regulares de treinamento e exercícios simulados de phishing podem aguçar a capacidade da sua equipe de detectar ameaças cibernéticas. Plataformas como KnowBe4 ou SANS Security Awareness oferecem módulos de treinamento fáceis de usar e testes simulados de phishing que ajudam os funcionários a reconhecer e responder às ameaças on-line de forma eficaz.
2. Aplicar controle de acesso a dados confidenciais
Com controle de acesso, somente pessoal autorizado pode acessar dados e sistemas confidenciais. Para fortalecer a estrutura de segurança da sua organização, adote uma ferramenta de gerenciamento de senhas e incentive o uso de senhas fortes e o armazenamento seguro de credenciais. Procure ter também um sistema de controle de acesso baseado em função (RBAC), em que os privilégios de acesso são atribuídos com base na função e nas responsabilidades dos usuários. Com essa estratégia, as pessoas têm acesso apenas aos recursos e às informações pertinentes a sua função específica. Por exemplo, somente os gerentes de RH devem ter acesso aos dados da folha de pagamento dos funcionários, enquanto os outros funcionários têm acesso restrito a essas informações confidenciais.
3. Adotar a autenticação multifator (MFA)
A autenticação multifator (MFA) acrescenta uma camada extra de segurança por exigir uma segunda forma de verificação além da senha, como um aplicativo em dispositivo móvel ou um código em mensagem de texto. A lógica de funcionamento do MFA se baseia em algo que você sabe (como uma senha), algo que você tem (como um aplicativo de celular ou um token de hardware) ou algo que você é (dados biométricos, como impressões digitais ou reconhecimento facial). Selecione uma solução de MFA adequada que se alinhe ao tamanho, ao orçamento e à estrutura de tecnologia da sua organização. O Google Authenticator e o Microsoft Authenticator são escolhas muito comuns, mas também há outras opções disponíveis.
4. Fortalecer a segurança de terminais em dispositivos
Da mesma forma que você prioriza exames médicos regulares para o seu bem-estar, é essencial garantir a proteção robusta de todos os computadores e dispositivos móveis da sua organização usando uma ferramenta de proteção de terminal. A Integrated Partner Solutions, Inc., uma empresa dedicada à automação de processos de engenharia, é um ótimo exemplo disso. Por meio do uso de um software de monitoramento e gerenciamento remotos (RMM), a empresa conseguiu melhorar a segurança de seus terminais em meio a projetos de engenharia, que normalmente têm prazos apertados. Gene Perry, vice-presidente da Integrated Partner Solutions, ressaltou o valor dessa proteção, principalmente para gerenciar dados de engenharia exclusivos. Ele enfatizou a confiança que o software de RMM e a criptografia de dados de ponta a ponta baseada em permissões transmitiu aos clientes. O uso de um software de gerenciamento de dispositivos móveis, além do software de RMM, pode ajudar a garantir a segurança e a conformidade dos dados em dispositivos móveis usados no trabalho, protegendo os dispositivos de propriedade da empresa e os BYOD.
5. Avaliar a segurança do fornecedor
Se sua empresa trabalha com fornecedores terceirizados ou serviços em nuvem, como ferramentas de reunião remota ou software de folha de pagamento, verifique se as práticas de segurança de cada um deles atendem aos seus padrões de segurança cibernética. Preste atenção especial à forma como os fornecedores lidam com dados confidenciais, gestão de acesso e práticas de criptografia. Dependendo do seu setor, também pode ser uma boa escolher fornecedores que estejam em conformidade com as normas específicas de segurança cibernética (por exemplo, GDPR, HIPAA, PCI DSS), caso gerenciem seus dados. Procure ferramentas que ofereçam protocolos de segurança avançados, como a arquitetura Zero Trust, para dar tranquilidade à sua organização na segurança do acesso remoto.
6. Desenvolver um plano de resposta a incidentes
Crie um plano abrangente de resposta a incidentes com medidas claras a tomar em caso de incidente de segurança cibernética e atribua funções e responsabilidades para uma resposta coordenada. Por exemplo, nomeie um Coordenador de incidentes que supervisione todo o trabalho de resposta para garantir que as ações sejam coordenadas e alinhadas ao plano. Os analistas técnicos, por outro lado, são responsáveis por investigar e avaliar a natureza e o escopo do incidente. A assessoria jurídica também deve fazer parte da sua equipe de resposta, pronta para tratar de eventuais implicações legais do incidente.
7. Estabelecer um processo de desligamento de funcionários
Quando um funcionário deixa sua empresa, é fundamental remover seu acesso aos sistemas e dados. O processo é equivalente a coletar as chaves e cartões de acesso de um funcionário que é desligado da empresa. Uma maneira de facilitar esse trabalho é criar uma checklist de revogação de acesso. Essa checklist deve incluir todos os sistemas, aplicativos e repositórios de dados aos quais os funcionários que estão saindo têm acesso. Assim que a saída de um funcionário for confirmada, passe sistematicamente por esta checklist para desativar ou alterar suas credenciais de acesso. Por exemplo, se a sua empresa usa serviços baseados em nuvem, como Microsoft 365 ou Google Workspace, para revogar o acesso, basta desativar as contas do usuário. Além disso, atualize os protocolos de senha para garantir que os ex-funcionários não possam usar senhas antigas para obter acesso não autorizado.
Como proteger sua PME na era digital
A segurança cibernética é um processo contínuo. Ao adotar essas práticas, você fortalece a segurança e mantém sua empresa protegida na era digital.
A solução completa de gestão e suporte de TI do GoTo Resolve ajuda a reduzir o risco de ameaças cibernéticas de empresas em crescimento e permite que os agentes protejam e preservem os ativos de TI sem afetar a experiência dos usuários. Ele detecta proativamente e agenda automaticamente os patches necessários em servidores e estações de trabalho, além de monitorar e gerenciar o software antivírus em um único painel. Com nosso modelo de segurança líder do setor, sua empresa consegue cumprir os requisitos de segurança cibernética com tranquilidade.
