Nesta publicação, pretendemos realçar dez práticas de segurança recomendadas para ajudá-lo a garantir uma proteção eficaz aos dados da sua empresa.
#1 Crie políticas de segurança
Muitas empresas não dão a devida importância a uma definição de políticas de segurança e avançam diretamente para os controlos técnicos. Os controlos técnicos (como firewalls, proteção de terminais etc.) implementados sem controlo administrativo (ou seja, políticas e procedimentos definidos) são quase sempre implementados de forma reativa, sem uma estratégia de segurança cuidada, coesa e abrangente, e uma estrutura de gestão de segurança (políticas, que juntamente com uma análise de segurança da informação, ajudam a definir). Isto significa que, inevitavelmente, você gastará muito em soluções técnicas que não foram implementadas de forma eficaz (ou correta) e fornecerá proteção incompleta ou inadequada.
#2 Identifique os seus ativos
É importante que saiba com exatidão o que existe e precisa realmente proteger. Assim, há que manter um inventário preciso de todo o seu hardware e software de TI. Sem um inventário completo, você pode não estar ciente de sistemas vulneráveis existentes na sua rede que podem aumentar a sua exposição a ataques. Por exemplo, na violação de dados da Target, em 2013, os atacantes acederam remotamente a um sistema de manutenção de aquecimento, ventilação e ar condicionado (HVAC) para, eventualmente, violar o cartão de crédito/débito e/ou informações pessoais de 110 milhões de clientes. Existem muitas ferramentas disponíveis gratuitamente que pode usar para verificar o estado da sua rede e endpoints, e pode mesmo começar por aí. As soluções comerciais podem ajudá-lo a manter de forma continuada e com precisão o seu inventário de ativos, e muitas fornecem também recursos de gestão remota que são de grande auxílio para instalar, remover e atualizar software. É da maior importância que reduza a superfície de ataque de todos os seus ativos ligados à Internet (incluindo dispositivos móveis pessoais), instalando e mantendo uma proteção de segurança apropriada.
#3 Assuma uma posição face à segurança
Isto é tão simples como criar um roteiro ou modelo de maturidade para mostrar qual o seu estado atual, e usar uma abordagem baseada no risco para identificar ameaças relevantes contra os ativos do seu ambiente (veja o ponto anterior) e quais as medidas apropriadas de cibersegurança e proteção de dados. De seguida, pode executar uma análise às lacunas e determinar quais as etapas que precisa executar e onde deve investir os seus recursos.
#4 Classifique todos os seus dados
Para muitas empresas, os dados confidenciais do cliente e outras informações proprietárias representam as “joias da coroa” da empresa, mas fornecer proteção e controlos iguais para todos os seus dados ao longo do ciclo de vida não é prático, nem desejável. Em vez disso, pense em quais os dados que o manteriam acordado à noite se fossem perdidos ou roubados. Como é que uma violação de dados afetaria a imagem da sua marca, a fidelidade do cliente ou até a continuidade dos seus negócios? Crie (e documente) uma política intuitiva de classificação de dados para sua organização que inclua rótulos de classificação (como “Somente para uso interno”, “Dados confidenciais” e “Aprovado para divulgação pública”) e que especifiquem os requisitos de proteção de dados (como encriptação, backups, divulgáveis e destruição) para os diferentes níveis de informação.
#5 Encripte os seus dados confidenciais
A encriptação de dados converte dados de texto sem formatação num formato ilegível (conhecido como “texto encriptado”), tornando-os inúteis para terceiros não autorizados que não possuem as chaves de encriptação/desencriptação. Portanto, o mais importante para uma encriptação eficaz é proteger adequadamente as chaves. No mínimo, você deve encriptar os dados “em repouso” (no armazenamento). Você pode usar encriptação adicional nos dados “em movimento” (ou “em trânsito”), por exemplo a encriptação Secure Sockets Layer (SSL). Por fim, para os dados “em uso”, você deve aproveitar a encriptação da aplicação, quando disponível. A encriptação pode ser baseada em hardware ou software.
#6 Faça backup e (teste) a recuperação dos seus dados valiosos
Garantir a realização de backups regulares e fiáveis dos seus sistemas e dados é uma prática recomendada para uma segurança básica, mas essencial. Um backup feito de forma adequada garante a possibilidade de recuperar um arquivo excluído acidentalmente ou um disco rígido corrompido. Com uma diminuição dos custos de backup baseado em disco e as soluções de backup baseadas na cloud a tornarem-se numa opção mais económicas e fáceis de usar, simplesmente não há desculpa para não o fazer. Com o crescimento do ransomware nos últimos anos, os backups são a única maneira de garantir a recuperação dos dados, caso seja vítima de um ataque de ransomware. Em compensação não precisará pagar resgate algum.
O Regulamento Geral de Proteção de Dados (GDPR) exige que as organizações excluam dados pessoais, quando solicitados por um sujeito (como um indivíduo). Para ajudá-lo a cumprir os requisitos do GDPR, projete a sua estratégia de classificação de dados para ajudar a identificar ou sinalizar dados pessoais (incluindo backups) que talvez precisem ser excluídos ou alterados no futuro.
Muitos regulamentos de violação de dados incluem disposições de porto seguro para dados encriptados, o que pode reduzir significativamente o custo e o impacto de uma violação de dados.
#7 Invista na proteção de endpoints
“Investir” não significa fazer o download de algum software antivírus gratuito a partir da Internet, significa sim proteger todos os seus terminais – PCs, dispositivos móveis e servidores – com uma solução comercial robusta de proteção endpoints. Hoje, as informações estão em todo o lado e agora, mais do que nunca, o endpoint é onde tudo se reúne. Como tal, é definitivamente uma área em que vale a pena investir.
#8 Planeie e prepare
Todas as empresas precisam de ter um plano de resposta a incidentes, continuidade de negócios e planos de recuperação de desastres. A sua equipa de resposta a incidentes precisa ter a formação adequada em procedimentos forenses básicos para garantir que todos os incidentes de segurança sejam tratados como um possível caso legal e garantir que a cadeia de custódia seja mantida para qualquer evidência potencial. Os planos de continuidade de negócios e recuperação de desastres ajudam as empresas a retomar as suas operações comerciais normais o quanto antes, após um grande evento ou desastre. Comunicações precisas e oportunas, internas e externas, são um componente crítico de qualquer plano de continuidade de negócios e recuperação de desastres.
#9 Dê formação aos seus utilizadores
O elo mais fraco da segurança de qualquer organização sempre foi o utilizador final, não sendo necessariamente culpa dos mesmos. É improvável que todos os que trabalham na sua empresa tenham sido contratados porque são especialistas em segurança. Os invasores sabem disso e usam técnicas de engenharia social para atrair utilizadores menos atentos a clicar em links maliciosos que constem de e-mails de spam ou phishing, a revelarem as suas passwords e a visitarem sites maliciosos, entre outras táticas. Realize, por isso, exercícios regulares, envolventes, relevantes e breves de consciencialização sobre segurança para ajudar os seus utilizadores – e, assim, ajudá-lo a si!
#10 Não avance sozinho
Os hackers não trabalham sozinhos. Eles trabalham com outros personagens duvidosos para alcançar os seus objetivos de ataque, que passam por reutilizar códigos maliciosos na dark web e recrutar vítimas inocentes cujos endpoints foram violados e se tornaram bots num exército de botnet visando outras vítimas. Assim sendo, aproveite a ampla comunidade de especialistas em segurança, da aplicação da lei local a associações profissionais, serviços de segurança fornecidos e geridos por terceiros, gestão de ameaças em tempo real baseada na cloud, e muito mais.
in Proteção de Dados para Pequenas e Médias Empresas (ESET)