Cyber segurança para pequenas e médias empresas

Há várias pesquisas que apontam que os ataques cibernéticos com foco em danos financeiros estão voltados também para pequenas e médias empresas. Empresas maiores, já fazem investimentos elevados em segurança cibernética, reduzindo o interesse de ataques. Já, as pequenas e médias empresas deixam de investir em proteções adequadas e ofereçam ambientes digitais mais fáceis de invadir aos criminosos.

Com recursos e orçamentos limitados, as pequenas empresas nem sempre adquirem soluções eficazes ou realizam treinamento de segurança cibernética que sejam práticos, acionáveis, econômicos e ajudem a gerenciar seus riscos de segurança cibernética.

Recentemente, em várias mídias, tem-se visto reportagens de ataques cibernéticos. Esses cibercriminosos vem buscando várias informações, incluindo registros de funcionários e clientes, dados bancários e financeiros e acesso a redes maiores.

Um dos golpes mais comuns atualmente é o “sequestro de dados” por criminosos. O computador é infectado, e os dados, criptografados. Então, o criminoso cobra pelo resgate, mas, muitas vezes, nem após o pagamento a liberação é feita.

O (NIST) Instituto Nacional de Padrões e Tecnologia dos Estados Unidos possui várias metodologias, e um destes frameworks é focado em cyber segurança para pequenas e médias empresas. 

O Framework de Segurança Cibernética do NIST ajuda a organizar os processos e ferramentas que a empresa deve considerar para proteger suas informações. Este não é um processo único, mas um conjunto contínuo e contínuo de atividades.

É importante que cada organização realize uma análise de risco identificando as ameaças e vulnerabilidade que seu negócio está exposto, para identificar a probabilidade de um evento e o impacto potencial que um evento teria em sua empresa. Deste modo a equipe interna de tecnologia, outras áreas que apoiam a segurança da informação como o jurídico na implantação da LGPD, e com apoio de fornecedores qualificados, devem elencar as ações a serem feitas de forma prioritária.

A maioria de nós toma decisões baseadas em risco todos os dias. Enquanto dirigimos para o trabalho, avaliamos ameaças e vulnerabilidades, como condições meteorológicas e de tráfego, a habilidade de outros motoristas na estrada e os recursos de segurança e confiabilidade do veículo que dirigimos.

Quando consideradas em conjunto, as 5 funções principais (imagem abaixo) fornecem uma visão estratégica do ciclo de vida do gerenciamento de riscos de segurança cibernética de uma organização e devem ser tratadas como um ponto de referência principal.

Foram elencados alguns de seus controles, de forma simplificada para atender às necessidades de pequenas e médias empresas para que possam identificar, avaliar e gerenciar os riscos de segurança cibernética.

1. Identificar

• Faça um inventário de todos os equipamentos e softwares que a empresa possui

• Identifique e controle quem tem acesso às informações de uso da empresa

• Mantenha contas de usuário individuais para cada funcionário

• Crie políticas e procedimentos para segurança cibernética

2. Proteger

• Treine todos que usam seus computadores, dispositivos e rede sobre segurança cibernética.

• Limite o acesso das informações importantes e dados pessoais

• Instale protetores de sobretensão e fontes de alimentação ininterruptas

• Atualize sistemas operacionais e aplicativos regularmente, automatize quando possível

• Instale e ative firewalls em todas as redes

• Proteja pontos de acesso e redes sem fio, segregue a rede WIFI visitantes da rede interna

• Configure filtros de web e e-mail

• Use criptografia para informações confidenciais quando possível

• Descarte computadores e mídias antigas com segurança

3. Detectar

• Instale e atualize antivírus, antispyware e outros programas anti-malware

• Monitore seus computadores sobre acesso não autorizado, uso de dispositivos USB e utilização de programas desnecessários para execução da atividade

• Mantenha e monitore registros/logs

• Observe atividades incomuns envolvendo senhas

4. Responder

• Desenvolva e mantenha um plano para notificar clientes, autoridades e funcionários cujos dados possam estar em risco.

• Tenha um plano para agilizar o retorno das operações comerciais em caso de falha

5. Recuperar

• Faça backups completos de dados e informações importantes

• Agende backups incrementais

• Teste a restauração dos backups para evitar surpresas

• Teste os planos de resposta regularmente

• Melhore processos, procedimentos e tecnologias

• Atualize sua política e plano de segurança cibernética com as lições aprendidas.

O objetivo é demonstrar que para ter segurança, as ações devem obedecer o ciclo de melhoria contínua, elevando a maturidade da equipe envolvida a cada volta deste ciclo, essa melhoria contínua possibilita resultados duradouros para o negócio.