A seguinte abordagem sistemática à cibersegurança pode ajudá-lo na proteção de dados tão valiosos para qualquer negócio.
AVALIE os seus ativos, riscos e recursos
Faça uma lista de todos os sistemas e serviços informáticos que sua empresa usa. Afinal, se você não sabe o que tem, não pode protegê-lo. Não se esqueça de incluir dispositivos móveis, como smartphones e tablets, que podem estar a serem usados para aceder a informações da empresa ou do cliente. Isto é particularmente importante porque, segundo o Instituto Ponemon, estima-se que 60% dos funcionários contornem os recursos de segurança dos seus dispositivos móveis. Dessa percentagem, cerca de 48% desabilitam as configurações de segurança exigidas pelo empregador e coloquem em risco a proteção de dados fulcrais ao desempenho da empresa. E não se esqueça dos serviços na cloud, como Box, Dropbox, iCloud, Google Docs, Office365, OneDrive e SalesForce.
De seguida, reveja a sua lista e considere os riscos associados a cada item, bem como se ainda precisa, ou não, do mesmo sistema, software ou serviço. Questione-se sobre quem ou qual é a ameaça? Outra boa pergunta que deve ser feita é: “o que pode correr mal?” Alguns riscos são maiores que outros. Mas é da maior importância que faça uma listagem de todos. De seguida, classifique-os conforme a dimensão do estrago que podem causar e a probabilidade de ocorrerem.
É possível que necessite de ajuda externa para este processo. Assim, faça uma nova lista sobre quais os recursos que você pode utilizar em problemas de cibersegurança. Pode ser alguém da equipa com conhecimento e experiência em cibersegurança, um parceiro ou um fornecedor. Grupos comerciais nacionais e associações empresariais locais também têm recursos e podem fornecer conselhos úteis. O Centro Nacional de Cibersegurança disponibiliza materiais e cursos de formação gratuitos. Para além disso, no site da centro dispõe ainda de um espaço no site onde pode fazer notificação caso seja vítima de um crime informático.
DEFINA políticas para proteção de dados
Um programa de segurança e proteção de dados sólido começa com políticas de segurança que têm também uma adesão executiva. Isto é, se você é o responsável da empresa, é importante que todos saibam que você leva a sério a segurança e que sua empresa está comprometida em assegurar uma adequada proteção de dados. De seguida, é importante que especifique quais as políticas que deseja aplicar. Por exemplo, que não haverá acesso não autorizado aos sistemas e dados da empresa e que os funcionários não terão permissão para desativar as configurações de segurança nos seus dispositivos móveis.
ESCOLHA as tecnologias de suporte
A necessidade de utilizar sistemas de suporte para levar as políticas de segurança e proteção de dados a bom porto é fundamental. Por exemplo, para impor a política de acesso não autorizado aos sistemas e dados da empresa, pode optar por controlar todo o acesso aos sistemas da empresa com um nome de utilizador, password e token. Assim, e para controlar quais os programas que têm permissão para executar nos computadores da empresa, pode decidir não conceder direitos administrativos aos funcionários. Desta forma, e para evitar violações causadas por dispositivos móveis perdidos ou roubados, pode sempre exigir que os funcionários relatem esses incidentes no mesmo dia, e especifique, nessa mesma altura, que esses dispositivos serão bloqueados e apagados remotamente de forma imediata. No mínimo, você precisa de três tecnologias básicas de segurança e proteção de dados:
- Software anti-malware que impede o download de códigos maliciosos (como vírus e ransomware) nos seus dispositivos.
- Encriptação que torna inacessíveis os dados em dispositivos roubados ou perdidos.
- Duplo fator de autenticação para que seja necessário mais do que o nome de utilizador e password (como uma password única enviada para um telemóvel registado) para obter acesso aos seus dados e sistemas.
IMPLEMENTE controlos
Ao implementar controlos, verifique se os mesmos funcionam. Por exemplo, se existir uma política que proíbe software não autorizado nos sistemas da empresa, um dos controlos necessários será um software anti-malware que deteta códigos maliciosos. É importante que após a implementação desses controlos, se certifique que os mesmos não interferem com as operações comerciais normais, e documentar os procedimentos a seguir quando o malware for detetado.
“EDUQUE” funcionários, parceiros e fornecedores
Os seus funcionários precisam saber mais do que apenas as políticas e procedimentos de segurança da empresa que lhes sejam transmitidos. É essencial que entendam por que razão são necessários. Isto significa investir na consciencialização e educação/ formação em segurança e proteção de dados. E acredite que, por norma, esta é a medida de segurança mais eficaz que pode implementar na sua empresa.
Ao trabalhar com a sua equipa, você pode incentivar à consciencialização no que respeita, por exemplo, a questões como o e-mail de phishing. Um estudo recente da Verizon Data Breach Investigations (DBIR) refere que 23% dos e-mails de phishing enviados a funcionários de empresas foram abertos. Desses, 11% abriram um anexo, colocando em sério risco hipóteses de violação de dados e roubo de informações. Eduque todos que usam os seus sistemas, incluindo executivos, fornecedores e parceiros. E lembre-se de que as violações das políticas de segurança devem ter consequências. A falha no cumprimento de políticas prejudica todo o esforço de segurança.
AVALIAR, auditar e testar
A segurança informática de qualquer empresa, seja grande ou pequena, é um processo contínuo, não pode ser um projeto único. Planeie fazer uma nova avaliação da sua segurança periodicamente, pelo menos uma vez por ano. E mantenha-se atualizado sobre as ameaças que vão surgindo, revendo regularmente as notícias de segurança em sites como blog.eset.pt, KrebsOnSecurity.com e DarkReading.com.
A falta de proteçãos de dados da sua empresa pode ser morte da sua empresa. E pode ser necessário atualizar as políticas e controlos de segurança mais de uma vez por ano. Esteja atento às mudanças nos negócios, como novos relacionamentos com fornecedores, novos projetos, novas contratações ou funcionários que deixam a empresa. Não se esqueça de cortar os acessos quando alguém sai da empresa. Considere contratar um consultor externo. Um especialista na área pode ser de grande auxílio e poderá realizar um teste de penetração e uma auditoria de segurança para descobrir onde estão os seus pontos fracos. Assim e despois desta análise, poderá avançar para a resolução com a solução adequada.
in Proteção de Dados para Pequenas e Médias Empresas (ESET)
