Seguindo essas reportagens da mídia, pode-se ter a impressão errada de que, quase sem exceção, as grandes empresas são o alvo constante dos criminosos cibernéticos. Isso está muito errado. É verdade que quanto maior a empresa/instituição/organização, ou quanto maior a sua exposição, mais ela se torna um alvo cobiçado pelos criminosos, mas isso só se aplica a algumas delas. Ou seja, uma grande parte dos chamados ataques de hackers ocorre em pequenas e médias empresas! Essa tendência está crescendo em todo o mundo, por vários motivos. Por exemplo, os hackers esperam (e, infelizmente, muitas vezes estão certos) que as empresas menores não tenham os recursos ou a consciência do valor de seus dados e, por isso, quase não tomam medidas para protegê-los. Outro motivo é que, como as grandes corporações têm equipes inteiras dedicadas à prevenção e à proteção contra incidentes cibernéticos, é necessário muito conhecimento técnico e, quase sempre, trabalho em equipe para conseguir invadir o sistema de uma organização desse tipo, enquanto as pequenas e médias empresas geralmente não têm nem mesmo uma equipe de Tecnologia da Informação e Comunicações (TIC) dedicada em seus quadros, sem falar na equipe de TIC responsável pela segurança!
Entretanto, nem tudo é tão sombrio. Embora seja verdade que a defesa contra um ataque grande e bem organizado seja quase impossível, especialmente quando se trata de empresas, organizações e instituições de pequeno e médio porte, isso não significa que devemos desistir imediatamente. No final das contas, até mesmo a organização de um ataque cibernético em grande escala envolve recursos dos criminosos, e é mais provável que eles os gastem tentando ganhar mais dinheiro. Portanto, na maioria dos casos, basta que as pequenas e médias empresas tomem algumas medidas simples (e relativamente baratas) para aumentar significativamente sua resistência a ataques, pelo menos quando se trata de criminosos "comuns", que geralmente trabalham sozinhos.
Aqui estão três pontos-chave, ou postulados, que, se sua empresa os abordar adequadamente, terá um nível significativamente mais alto de segurança cibernética, suficiente para deter e evitar vários ataques externos.
Treinamento de funcionários
O mais importante no início - o fator humano. Os funcionários da empresa geralmente são o elo mais fraco quando se trata da segurança cibernética de uma empresa, e isso se aplica a quase todos os tipos e tamanhos de empresas e organizações - quanto mais pessoas na equipe, maior o risco de vazamento de dados, ataque externo ou violação. O que as grandes empresas, como os bancos, fazem muito bem é cuidar dos níveis de conhecimento de seus funcionários sobre integridade de dados e segurança de dispositivos.
As corporações gastam enormes quantias de dinheiro no treinamento de todos os seus funcionários. É claro que nem todos recebem o mesmo treinamento, nem há necessidade disso. Dependendo do nível de exposição e conhecimento de cada indivíduo, um bom programa de treinamento garantirá que todos estejam devidamente familiarizados com os tópicos básicos (e mais avançados) de segurança cibernética e integridade de dados. Além disso, por meio do treinamento regular de prevenção de engenharia social (geralmente uma vez por ano, dependendo da empresa), garantimos que nossos funcionários estejam sempre atualizados com as informações mais recentes que precisam saber nessa área, assegurando assim o futuro da empresa.
É de se esperar que as pequenas e médias empresas não possam se dar ao luxo de dedicar tanto tempo apenas ao treinamento em segurança cibernética, mas, com um pouco de criatividade e energia da gerência, podem ser elaborados minitreinamentos como parte de outras atividades da empresa, ou pode ser aberto um canal de comunicação especial em que serão discutidos tópicos de segurança cibernética. Isso ajudará a aumentar a conscientização de todos os funcionários (inclusive da gerência) sobre a importância de proteger e prevenir ataques cibernéticos, bem como sobre as possíveis consequências para todos na empresa.
Outra maneira de trabalhar regularmente no "treinamento" dos funcionários é ter uma reunião ou troca de informações regular dedicada à segurança. Isso também pode ser incorporado a outros programas de treinamento semelhantes, como primeiros socorros, segurança ocupacional e outros. A promoção de boas práticas, como a higiene cibernética, para todos os funcionários melhorará drasticamente a resiliência de toda a empresa. A troca regular de informações confiáveis, especialmente de fontes confiáveis e relevantes para o setor em que sua empresa opera, ajudará a detectar oportunamente as tendências de ataques cibernéticos em empresas semelhantes à sua, dando-lhe tempo para se preparar.
Segurança de dados - integridade de dados e backups
A segurança dos dados que sua empresa opera diariamente é vital. Sem eles, o trabalho simplesmente será interrompido por completo. Dados como contas bancárias, senhas de acesso a documentos confidenciais, informações de contato de seus clientes, parceiros etc. são dados de grande valor, e isso é conhecido por agentes mal-intencionados. - são dados de grande valor, e isso é conhecido por agentes mal-intencionados. Portanto, para garantir o futuro da empresa, devemos cuidar desses dados, que geralmente são dados sobre nós, mas também sobre nossos clientes, garantindo que eles tenham um nível adequado de proteção.
Uma das maneiras mais simples de fazer isso é fazer backup de seus dados regularmente. Com isso, mesmo na eventualidade de um incidente, sempre teremos a oportunidade de restaurar os dados antigos e nossa empresa continuará funcionando, sem gastar grandes somas de dinheiro para pagar os hackers (o que, de qualquer forma, não garante os dados em sua totalidade).
Além de fazer backups regulares dos dados, outra boa prática é garantir que cada membro da equipe tenha acesso adequado aos dados de que precisa para o trabalho. Por exemplo, definir níveis de acesso autorizado a dados mais confidenciais somente para determinados indivíduos, em vez de para toda a empresa, reduziria a "janela" para possíveis invasões externas. Além disso, fornecer autenticação multifator a todos os funcionários e alterar regularmente as senhas (inclusive do sistema de alarme e da porta da frente!) contribuirá significativamente para aumentar a segurança das instalações e das contas dos usuários, além de garantir maior integridade dos dados. Se determinados funcionários (por exemplo, a gerência) precisarem se conectar regularmente a redes inseguras fora do local de trabalho, por exemplo, quando estiverem viajando, vale a pena considerar o uso obrigatório de VPN em seus dispositivos.
Temos que ter muito cuidado com os dados com os quais trabalhamos todos os dias e sem os quais não poderíamos funcionar. Uma abordagem não autorizada é suficiente para travar toda a nossa operação e, mesmo com a recuperação de alguns dos dados perdidos, o que nunca será restaurado é nossa (auto)confiança nos sistemas e nossa reputação com os clientes com os quais trabalhamos.
Políticas de segurança cibernética
Coroar todos os esforços, a energia e as finanças investidos na preparação de sua empresa contra ameaças cibernéticas seria mais apropriado por meio do estabelecimento das chamadas políticas de segurança cibernética. Com políticas atualizadas, implementadas e monitoradas, a segurança de toda a empresa estará em um nível sólido - muito melhor do que a maioria das outras pequenas e médias empresas.
Boas políticas garantirão, entre outras coisas, que, no caso de um incidente, todo o procedimento antes, durante e depois do incidente será registrado e estará disponível para estudos futuros. Isso não é muito diferente de outros incidentes no local de trabalho, como incêndio, inundação, roubo e similares. Em todos os casos, é necessária uma análise minuciosa dos motivos pelos quais o incidente ocorreu, como foi (curso) e como terminou. Somente seguindo regularmente as métricas, e no contexto da segurança cibernética, podemos ter certeza de que nossas políticas funcionam e nos protegem, e modificar aquelas que não funcionam.
Um exemplo de uma política relativamente simples que ajudará significativamente a aumentar a segurança cibernética de uma empresa é a chamada política de "mesa limpa" ou "desktop limpo". Em resumo, essa política visa a estabelecer a ordem no contexto do que pode, deve e não deve ser encontrado na mesa de cada funcionário em qualquer momento. Entre outras coisas, essa política pode incluir uma regra para não escrever senhas de acesso a computadores em um pedaço de papel, que é então colado na borda do teclado ou do monitor. Além disso, nas gavetas das mesas, não se deve guardar chaves de outros escritórios ou salas auxiliares. Além disso, nessa política, é bom incluir uma regra para não deixar mídias removíveis (pen drives etc.) em locais aparentes, onde poderiam ser roubadas com facilidade e rapidez.
Outra política útil é a política de alterar regularmente as senhas das contas de usuário de todos os funcionários. As contas de e-mail geralmente são as primeiras da lista de senhas a serem alteradas regularmente, mas não podemos nos esquecer das outras: por exemplo, perfis oficiais de mídia social da empresa, senhas de laptops e telefones comerciais etc. Em uma política desse tipo, pode haver uma regra para alterar a senha do Wi-Fi no escritório, em determinados intervalos, para evitar o acesso não autorizado à rede da Internet usada por todos os funcionários. Além disso, é relativamente fácil abrir uma rede chamada "guest" (convidado), que será destinada exclusivamente a visitantes ocasionais das instalações da empresa e, dessa forma, não haverá necessidade de compartilhar a senha com ninguém interessado.
Há várias políticas de segurança cibernética que, se atualizadas regularmente, implementadas com sucesso (o que significa que todos os funcionários estão cientes de sua importância e as praticam regularmente) e monitoradas, ou seja, seguidas de métricas adequadas para seu desempenho, podem melhorar significativamente a segurança cibernética de uma empresa, organização ou instituição. No entanto, as políticas de segurança cibernética, assim como a segurança no local de trabalho, a proteção de dados pessoais e qualquer outra, só podem funcionar se todos concordarem que são importantes, necessárias e que devem ser cumpridas. O que nos leva de volta à etapa 1, ou seja, o fator humano na segurança cibernética.
A proteção técnica pode realmente nos proteger muito, mas muitas vezes pode ser cara e insustentável para empresas menores. Além disso, a proteção técnica externa não pode garantir 100% de segurança, e qualquer pessoa que tente "vender" isso para você não está dizendo a verdade. Sem uma mudança adequada na cultura da empresa sobre a importância dos dados e informações regulares e relevantes, bem como políticas de segurança cibernética claras, eficazes e holísticas, é apenas uma questão de tempo até que o próximo incidente cibernético o "surpreenda".
Se quiser saber mais sobre como cuidar da segurança cibernética da sua organização, confira esta postagem no blog com o Guia de práticas recomendadas de segurança operacional escrito pela Radically Open Security e um webinar com sua cofundadora, palestrante do TEDx e especialista em segurança digital, Melanie Rieback.