Em outubro, celebramos o mês nacional da consciência em cibersegurança (National Cyber Security Awareness Month or NCSAM) com a Aliança Nacional de Cibersegurança. Aproveitaremos essa temática para compartilharmos dicas sobre como manter empresas e negócios protegidos, esperando que, juntos, possamos transformar a internet em ambiente mais seguro.
Ao longo desse mês, nossos posts conterão a hashtag #CyberAware. Siga-nos no LinkedIn e participe desse movimento para nos ajudar a compartilhar essas dicas de segurança.
#1 Cuidado com o que você posta sobre você e os outros
A forma como você fala sobre os outros diz muito sobre você; mais do que problemas legais, uma exposição indevida pode te colocar sob o alvo de hackers. As pessoas podem monitorar o que você diz online e se aproveitar disso; por exemplo, se você posta que está tirando férias por uma semana, isso pode contribuir para que ladrões descubram seu endereço e assaltem sua casa na sua ausência. Você também deve tomar cuidado em suas comunicações para não violar acordos, contratos e termos assinados por você, ou mesmo infringir alguma lei publicando informações pessoais sobre outros ou difamando-os publicadamente sem provas.
#2 Saiba qual informação seu negócio está coletando e como garantir a sua proteção
Para manter as informações de sua empresa seguras na web, você deve conduzir auditorias e identificar quais dados são de domínio público (e portanto não precisam ser protegidos), quais possuem importância média e não impactarão muito os seus negócios se descobertos (esses devem possuir medidas de segurança para proteção) e aqueles de alta importância e relevância para a empresa. Essa categoria final impactará significativamente seus negócios se perdida ou roubada, por isso deve ser guardada com máxima segurança e possui acesso restrito.
#3 Use múltiplos métodos de autenticação
A Autenticação é o ato de confirmar uma identidade (seja de um usuário, uma máquina ou um dispositivo), comparando as credenciais inseridas com a base de dados existente de identidades autorizadas, antes de garantir o acesso solicitado a sistemas e aplicações. Por exemplo, para acessar a sua conta de e-mail, você precisa inserir seu nome de usuário e senha. Porém, ao invés de depender somente de senhas, que não são muito confiáveis, é importante usar múltiplos fatores para o processo de autenticação. Esses fatores de autenticação incluem algo que você sabe (e.x. nome de usuário/senha, resposta à uma pergunta de segurança), algo que você tem (e.x. certificado digital, smart card) e algo que você é (e.x. impressão digital, reconhecimento facial).
#4 Ative o HTTPs em seu website
Ative o HTTPs em seu website, instalando certificados digitais SSL/TLS em seus servidores. Esses certificados criptografam toda a informação transmitida desde o seu browser até o seu servidor, protegendo essa comunicação contra "bisbilhoteiros". Os certificados SSL também contribuem para fortalecer a confiança de seu negócio online ajudando os visitantes a distinguirem um site legítimo de um site de phishing. Com o Certificado EV SSL (Validação Estendida), essa legitimidade é visualmente aparente, a partir da coloração verde e o nome da empresa na barra de navegação.
#5 Crie senhas fortes e não reutilize-as. Forte: 34bGUI7&89@)). Fraca: 12345 ou lucas01
Muitos hackers venderão as informações hackeadas e isso inclui informações e senhas de milhões de pessoas. Se você está usando a mesma senha para todas as suas contas, não será difícil para um hacker ganhar acesso a todos os seus sistemas. Caso contrário, um hacker pode usar uma ‘força bruta’ para descobrir suas senhas. Isso é muito mais difícil se a senha for longa e contiver uma variedade de palavras. Use um gerenciador de senhas para evitar que você esqueça suas senhas.
#6 Mantenha seus softwares atualizados
Hackers estão sempre procurando vulnerabilidades nos softwares que sua empresa utiliza. Isso poderia ser tão simples como encontrar uma forma de acessar sua rede Windows. Empresas de software trabalham duro para criar remendos e atualizações para consertar essas vulnerabilidades, por isso é importante que você realize as atualizações assim que estiverem disponíveis.
#7 Mantenha um back-up de suas informações
Backups garantem que se houver qualquer perda ou roubo de informação, os arquivos poderão ser recuperados. Por isso, é importante fazer regularmente o backup de suas informações e em diferentes locais, para que hackers não consigam acessar todas as áreas.
#8 Adicione Firewall à sua conexão com a internet
Firewalls são desenhados para prevenir acessos não autorizados de uma rede privada. Você pode criar um conjunto de regras em seu firewall, para definir o que ele irá permitir e bloquear. Um bom firewall deve monitorar a entrada e saída de informações.
#9 Estabeleça o Traga seu Próprio Dispositivo ("Bring Your Own Device ou BYOD") – Política de Força de Trabalho Móvel
Algumas empresas permitem que seus funcionários usem seus celulares pessoais como ferramentas de trabalho. Isso pode ser ótimo para aumentar a produtividade e eficiência dos negócios; por outro lado, torna a empresa vulnerável a ataques, já que telefones podem ser hackeados e usados para acessar a rede corporativa. A política de BYOD ajudará a educar os funcionários sobre o uso de tecnologia móvel e como mitigar os riscos de ataques.
#10 Crie uma estratégia para responder aos incidentes
Uma estratégia de resposta a incidentes permite que o seu negócio esteja à frente dos ataques. Você nunca pode ter certeza de que estará 100% seguro, por isso é sempre bom ter um plano caso você seja uma vítima de ciberataques. Isso garante que, havendo um incidente, você conseguirá responder rapidamente e evitar que os attackers acessem informações sensíveis, alertando a imprensa e clientes caso o ataque tome maiores proporções do que o esperado. Você deve também se assegurar de que haja um responsável por lidar com o plano de resposta.
#11 Ofereça treinamento sobre senhas para seus funcionários
Todos os funcionários devem ser treinados sobre como usar senhas, compartilhando a importância de:
- Não anotar senhas; elas podem ser roubadas
- Não compartilhar senhas em qualquer comunicação online, a menos que criptografada
- Criar senhas fortes e usar um gerenciador de senhas corporativo
- Não reutilizar senhas para múltiplas aplicações da empresa, ou entre usos pessoal e profissional
#12 Assegure-se de que seus funcionários vejam o S no HTTPs, quando estiverem realizando pesquisas online
De tempos em tempos, funcionários utilizarão a rede de TI corporativa para visitar websites, se cadastrar para serviços, seja para uso pessoal ou profissional. Antes de cadastrar qualquer informação, eles devem sempre procurar pelo cadeado e o HTTPS na barra de navegação; e se o site não estiver protegido, não insira qualquer informação.
Nota: É importante educar funcionários sobre websites phishing (veja a dica 15 abaixo). Existem casos de websites phishing que usam certificado de validação de domínio (DV SSL) para parecerem reais e confiáveis.
#13 Ative uma comunicação por e-mail segura e ofereça treinamentos para mitigar ataques de Phishing
O e-mail continua sendo um ponto fraco na cibersegurança, sendo a perda/roubo de informação e ataques de phishing duas das maiores ameaças. Você deve procurar uma solução para segurança de e-mail capaz de criptografar a mensagem e verificar sua origem, tornando mais fácil para os funcionários a identificação de e-mails falsos, maliciosos e ataques de phishing.
#14 Estimule sua liderança para difundir a cultura de cibersegurança
Para todas as grandes mudanças nas empresas, os líderes devem ser os primeiros a apoiarem essas iniciativas. Se a liderança apoiar e seguir as novas diretrizes, toda a empresa fará o mesmo.
#15 Produza simulações de Phishing para manter sua equipe sempre atenta
Conduza simulações de phishing em sua empresa para testar a atenção de seus funcionários. Isso deve ser feito antes e depois de treinamentos, para avaliar o desempenho de seus funcionários sobre o tema.
#16 Forme um time para responder aos incidentes
Além do responsável por monitorar a correta implementação do plano de resposta a incidentes, é necessário uma equipe para agregar maior dinamismo às ações do plano; por exemplo, ter uma pessoa de relações públicas para criar e divulgar comunicados e um responsável por vendas para falar diretamente com clientes. Dependendo do tamanho de sua empresa e da dimensão do ataque, você precisa ter certeza de que possui as pessoas certas para gerenciar e implementar o processo de respostas a incidentes.
#17 Conduza uma análise de ameaças internas
Uma análise de ameaças internas identificará qualquer potencial ameaça para sua infraestrutura de TI que venha de dentro da empresa, seja de funcionários e ex-funcionários, ou de contractors, fornecedores, parceiros e associados.
#18 Crie diretrizes para gerar respostas rápidas
Garanta que você esteja preparado para responder rapidamente e de maneira eficiente a ciberataques. Comunique um plano para toda a empresa e delegue a gestão e o monitoramento deste plano para um de seus funcionários.
#19 Trace um plano para comunicação externa
A GDPR (Regulamentação Geral para Proteção de Informação) requer que você informe a autoridade supervisora apropriada, quando detectar uma violação. A autoridade supervisora deve ser de seu Estado e, na maioria dos casos, tende a ser uma autoridade governamental. Além disso, você deve planejar e direcionar as comunicações a qualquer um (clientes, funcionários, contractors, etc) que possa ser impactado de alguma forma por essa violação.
#20 Comunique a seus funcionários as repostas aos incidentes
Manter seus funcionários atualizados e informados sobre o plano de respostas e fatos envolvendo tipos de incidentes ocorridos e respostas contribuirá para lembrá-los da importância em manter a confidencialidade e, assim, minimizar os risco de violação de informação por fontes externas.
#21 Aprenda com os erros
Após uma resposta a violação ou incidentes, e tendo a certeza de que você não está mais sendo hackeado e pode voltar ao curso operacional normal, conduza uma revisão. Isso permitirá que você discuta e ajuste seu plano de resposta a incidentes baseando-se em falhas ou erros cometidos. Seu departamento de TI também deverá ser informado sobre mudanças em operações ou comunicações, para assegurar que as mesmas vulnerabilidades não seja utilizadas novamente.
#22 Sempre assuma que existe uma vulnerabilidade – Você nunca estará 100% seguro
Investir tempo e dinheiro em estratégias de cibersegurança em sua empresa não significa, necessariamente, que todos os seus sistemas estarão 100% seguros. Sempre haverá uma nova vulnerabilidade para identificar ou uma potencial falha em sua rede ou um novo funcionário para explorar. Por isso, você dever assumir que sempre existe uma forma dos hackers acessarem suas informações.
#23 Certifique-se de que sua infraestrutura de TI esteja protegida
Políticas de seguro padrão normalmente não cobrem a perda de informação; e é aqui onde entra o ciberseguro. Você precisa se certificar de que esteja coberto caso suas operações sejam interrompidas. Mais do que isso, você pode estar armazenando informações de terceiros ou perder dinheiro para notificações de violações e conformidades; é preciso estar coberto.
#24 Para cada "coisa" (dispositivos, sensores, sistemas, etc.) dê uma identidade
Empresas têm se desenvolvido rapidamente, tornando seus sistemas mais eficiente e produtivo, e conectando múltiplos dispositivos e sensores que compartilham informações - isso se chama infraestrutura de IoT. Com essa infraestrutura, cada “coisa” precisa de uma identidade, a partir da qual dispositivos poderão autenticar e ser autenticados, assegurando comunicações online seguras e criptografadas entre outros dispositivos, serviços e usuários.
#25 Assegure-se de que os seus sistemas estejam acessíveis apenas mediante um método de autenticação FORTE
Utilizar uma autenticação forte é essencial não apenas para acessar as informações mais importantes (veja dica 3), mas também para o acesso à toda a sua infraestrutura de negócios. Se você trabalha em um banco, você solicitará múltiplos pontos de acesso ao seu cofre; o mesmo acontece online. O único aspecto a ser considerado é o acesso baseado por função ou a restrição de acesso a sistemas críticos por usuários específicos.
#26 Contrate um Hacker
Existem muitos hackers que não querem roubar suas informações ilegalmente e vender online. Eles querem ajudar. Esses são chamados ‘white hat’ hackers e cada empresa deveria ter um para combater os ‘black hat’ hackers. Como eles dissem, use fogo para combater fogo.
#27 Comece a gerenciar o fluxo da informação agora
À medida em que nossas tecnologias são aprimoradas, nossas informações se tornam ainda mais complexas. Para manter uma boa gestão de informação e evitar roubos, você deve saber qual informação está circulando na empresa e como está se movendo de uma fonte para o ponto final ou usuário.
#28 Potencialize a nuvem
The cloud is a useful tool, especially for smaller or medium enterprises who want to outsource the protection of their data to a larger company. It is important to ensure that you have all the facts when signing up with a cloud provider. Make sure you know where they keep their datacenters and all the places where they might be able to store and access your information.
#29 Assegure-se de que sua rede esteja segmentada, de forma que o acesso à um sistema não permita o acesso à outro
Your corporate IT network shouldn’t all be accessible from one point, even if this point has ‘strong’ authentication. If you separate out your networks then a hacker cannot control everything by gaining access to one network. You should separate your systems by importance or how critical the network is to your business. Have your strongest security on the most critical networks.
#30 Mantenha-se atualizado sobre as mais recentes regulamentações da sua indústria
Em muitas indústrias, existem conjuntos de padrões, regulamentações e melhores práticas que você deve cumprir para implementar uma cibersegurança básica. Para o setor de Energia, existe o NIST Cybersecurity Framework, para a indústria de automóvel, se aplica o Framework for Automotive Cybersecurity Best Practices e para o mercado de pagamentos com cartão, existe o PCI DSS. É importante se manter atualizado sobre novas regulamentações e, assim, evitar multas por não conformidade.
#31 Continue pesquisando por novas tecnologias e fornecedores
Nosso último conselho é se mantenha sempre atualizado sobre as melhores e mais recentes práticas de segurança, diferentes operadoras, fornecedores e tecnologias. Esteja preparado para atualizar softwares, usar novas ferramentas, aplicar novas tecnologias para manter sua infraestrutura sempre segura online.