Cibersegurança para pequenas empresas: um guia completo

This post is also available in:

Você ouve muito sobre vazamentos de dados e hacks de segurança nas notícias. Na maioria das vezes, os que você ouve falar são grandes corporações ou agências governamentais. Você não costuma ouvir sobre o salão de cabeleireiro local ou a escola primária ter um vazamento de dados ou um ataque de hackers. Apesar da prevalência digna de notícia de violações de segurança cibernética em grande escala, as pequenas empresas podem se tornar alvos atraentes.

As empresas menores estão sujeitas às mesmas ameaças de segurança online que qualquer grande corporação. No entanto, a empresa de pequeno ou médio porte se torna mais vulnerável pelas barreiras adicionais à criação de um ambiente online seguro para seus dados.

Por que as pequenas empresas são alvos atraentes

É um pensamento horrível, mas quando se trata de pequenas empresas com sistemas on-line, eles parecem frutas maduras e fáceis para qualquer pessoa disposta a tirar vantagem.

Quando você tem um pequeno negócio, normalmente não tem recursos para alocar uma equipe especializada, ou mesmo uma pessoa dedicada, ao negócio de cibersegurança. Isso geralmente significa que as empresas menores têm protocolos de segurança menos rigorosos e menos recursos para procurar vazamentos e ameaças. Não é culpa de ninguém, mas torna as empresas menores mais vulneráveis.

Quando alguém constrói um negócio, o faz por sua paixão e experiência nessa área. A menos que você esteja construindo um negócio de segurança cibernética, sua área de especialização não é segurança online e ninguém entra no negócio para passar horas fora de sua especialização. Isso leva as pessoas a cometer erros, não levando a sério suas medidas de segurança, e todos sabem que o erro humano é uma das ameaças de segurança mais significativas para qualquer negócio .

Outro elemento que torna as empresas menores mais atraentes para ameaças online é sua conexão com empresas maiores . Com sistemas menos robustos e ameaças significativas de dados humanos, empresas menores podem representar um ponto de acesso fácil para empresas maiores, com dados muito mais valiosos.

Outro elemento que torna as empresas menores mais atraentes para ameaças online é sua conexão com empresas maiores . Com sistemas menos robustos e ameaças significativas de dados humanos, empresas menores podem representar um ponto de acesso fácil para empresas maiores, com dados muito mais valiosos.

Um fator surpreendente no motivo pelo qual as pequenas empresas são mais suscetíveis a ataques cibernéticos é que muitas não levam a segurança cibernética tão a sério quanto deveriam. Existe uma crença generalizada e errônea de que empresas menores não são tão atraentes quanto empresas maiores. Consequentemente, o gerenciamento não é tão rigoroso na implementação de controles e políticas de segurança cibernética.

O que está em risco em uma violação de segurança cibernética?

Você mantém muitos dados na nuvem e em servidores baseados na web. Quando seus protocolos de segurança cibernética não são robustos, você arrisca alguns ou todos os dados armazenados. Além disso, você corre o risco de acessar qualquer sistema interno vinculado ao seu armazenamento na web. Dinheiro, dados, equipamentos e sua reputação correm sério risco de infiltração e divulgação.

• Informação ao cliente
• dados bancários da empresa
• detalhes de pagamento do cliente
• projetos de produtos
• planos de desenvolvimento
• processos
• estrutura de preços

Qualquer um desses dados é um alvo para pessoas que desejam vender as informações ou lucrar com sua perda. Não são apenas os detalhes e a estabilidade da sua empresa em risco se sua empresa vazar esses dados de protocolos de segurança cibernética inadequados. Seus clientes, parceiros e até mesmo seus fornecedores podem se tornar alvos do vazamento de dados de sua empresa. Não vamos mencionar que você pode ser legalmente culpado se qualquer roubo de dados de sua empresa prejudicar fundamentalmente outra parte.

É muito bom saber quais dados estão em risco se você não acompanhar seus protocolos de segurança cibernética internos e externos. Ainda assim, é um trabalho identificar o que está em jogo se sua empresa for vítima de um ataque cibernético devido à má preparação.

• Perda financeira (através de várias vias)
  • através de dados bancários comprometidos
  • interrupção de negócios
  • reivindicações de responsabilidade contra você
• Danos à reputação
  • Perda de clientes devido ao vazamento de seus dados
  • Comentários ruins
• Repercussão jurídica
  • violação da confidencialidade do cliente
  • não conformidade com as leis de privacidade e segurança de dados (GDPR, HIPAA, etc.)

A maioria das pequenas empresas não conseguiu se recuperar dessas perdas. Além disso, as pequenas e médias empresas que sofreram um ataque cibernético têm maior probabilidade de serem alvos novamente. De acordo com um estudo de 2012 da National Cyber Security Alliance, 60% das pequenas empresas fecham as portas dentro de seis meses após uma violação de dados.

As ameaças mais comuns para pequenas empresas

Existem vários métodos comuns que hackers e cibercriminosos usam para obter acesso aos sistemas. Eles podem causar mais danos às pequenas empresas do que seriam a uma entidade massiva como o Facebook ou a Amazon. Infelizmente, eles quase sempre visam o elemento humano, em vez de tentar hackear o software de segurança diretamente.

Phishing

Os ataques de phishing ocorrem quando o remetente finge ser um contato confiável, um colega interno ou, mais frequentemente, alguém da gerência. Os mestres do esquema de phishing fazem suas pesquisas. Esses atores online garantem que seus e-mails pareçam e soem como um e-mail enviado pela pessoa que eles fingem ser, potencialmente devido a uma única diferença de caractere no endereço de e-mail. O sinal é o mesmo, assim como o tom, mas eles pedirão para você baixar algo, enviar informações confidenciais ou enviar dinheiro.

E-mails de phishing são comuns há muito tempo e muitas pessoas aprenderam a ignorá-los e denunciá-los. No entanto, eles ainda são significativamente predominantes porque suas técnicas e entrega se tornaram muito mais sofisticadas.

Malware

Malware é um termo abrangente usado para descrever vários tipos de códigos maliciosos que podem infectar seus sistemas. Vírus ou cavalos de Troia são projetados para acessar máquinas e redes ou roubar e destruir dados. O malware pode entrar em sua infraestrutura de TI por meio de downloads de sites maliciosos, e-mails de spam ou phishing ou pela conexão com outros dispositivos afetados.

O malware pode ser particularmente perigoso para empresas menores, pois pode causar danos ao hardware, além de roubar dados e assumir o controle das redes. A maioria das pequenas empresas não pode gastar milhares na substituição de hardware danificado de um sistema infectado.

Engenharia social

Embora a engenharia social nem sempre leve a uma infecção por malware, muitos golpes de phishing e malware têm um elemento de engenharia social em sua execução. É aí que a pesquisa entra em cena.
Os cibercriminosos que dominam a arte dos contras da engenharia social sabem como jogar com a dualidade do envolvimento emocional e do risco.
Medo, curiosidade, ganância, urgência e ajuda são todos aspectos da trama da engenharia social.
Os engenheiros sociais usam suas respostas emocionais a seus pop-ups maliciosos, e-mails e sites infectados para envolver seu medo do risco. Não importa se é o risco de ser inútil, perdendo um “grande negócio”, ou as consequências negativas de não baixar seu “software essencial” agora.

Às vezes, pode ser tão simples quanto enviar uma postagem divertida de mídia social projetada para coletar detalhes pessoais. Você provavelmente já viu algo assim no seu feed.

Ransomware

Ransomeware faz exatamente o que diz. Ele pega os dados da sua empresa e do cliente e os mantém como resgate – o tempo todo criptografando-os para que você não possa vê-los, mesmo que tenha acesso. Essa ameaça é significativamente mais prejudicial para as pequenas empresas porque elas são menos propensas a ter backups de dados rigorosos e frequentes. Consequentemente, essas empresas menores são mais propensas a pagar o resgate para recuperar o acesso aos seus dados valiosos.

Ao mesmo tempo, o ransomware é particularmente prejudicial para a profissão médica, onde o acesso imediato aos prontuários e sistemas de computador é essencial e pode até ser um caso de vida ou morte.

Ameaças internas

Seja intencionalmente ou por falta de segurança, seus funcionários internos e ex-funcionários são a maior ameaça à segurança cibernética de sua empresa.

“As pessoas afetam os resultados de segurança mais do que tecnologia, políticas ou processos.”

Gartner Magic Quadrant for Security Awareness Computer-Based Training, Joanna Huisman, 18 de julho de 2019

É verdade; as pessoas são sua maior ameaça.

Práticas recomendadas de segurança cibernética para pequenas empresas

Usar um firewall

Um firewall é a primeira linha de defesa contra o cibercrime. Enquanto muitas empresas usam um firewall externo para manter seus dados seguros, outras começaram a usar um firewall interno para uma camada extra de proteção contra ataques cibernéticos.

Políticas de documentos

Não deixe a política passar despercebida. Documente as políticas que você precisa para manter a segurança cibernética. A negligência intencional da segurança do funcionário pode ser motivo de demissão se sua equipe não cumprir os procedimentos que você implementa.

Não se trata apenas de garantir que sua equipe cumpra as regras, mas também significa que você pode obter uma lista de verificação das ações necessárias para manter seus dados seguros.

Conta para dispositivos externos

Muitas pequenas empresas permitem ou até incentivam seus funcionários a usar seus próprios dispositivos, como celulares e tablets. Isso reduz os custos para a empresa, e o funcionário é responsável por mantê-lo. No entanto, dispositivos externos podem ser um ponto de entrada comum para que softwares maliciosos entrem em um sistema sem perceber.

Certifique-se de que você tenha uma política de BYOD (traga seu próprio dispositivo) em vigor que determine as medidas necessárias para usar seus próprios dispositivos. Alguns exemplos são: O dispositivo deve ser bloqueado dentro de x minutos após ficar inativo. O dispositivo deve ser bloqueado com uma senha conhecida apenas por você.

Educação para funcionários

Não basta entregar o documento de segurança online e esperar o melhor. É vital que sua equipe entenda a importância de suas medidas de segurança cibernética e por que todos são responsáveis. Invista algum tempo treinando sua equipe em seus protocolos de segurança e certifique-se de mantê-los atualizados pelo menos uma vez por ano.

Use tecnologias de nuvem certificadas

O firewall protege sua infraestrutura, mas não o seu negócio estará rodando em sistemas internos. Desde o surgimento do “como um serviço”, você pode usar um sistema de agendamento baseado na Web (SaaS) ou serviços da Web da Amazon (IaaS). Todo serviço baseado na Web que você usa deve ter certificações e políticas que suportem sua segurança cibernética. Alguns exemplos são conformidade com GDPR, SSL(TLS), HIPAA, certificação ISO , entre muitos outros.

Políticas de senha segura

Criar uma senha complexa para impedir a entrada de hackers de força bruta e também fácil de lembrar é difícil (pelo menos para alguns). No entanto, no final das contas, vale a pena. Como parte de suas políticas de segurança cibernética, você pode implementar requisitos de complexidade de senha na maioria dos sistemas nos quais você tem controle total.

Backups regulares e frequentes

É uma despesa extra, mas garantir que seus dados de negócios e clientes tenham backups regulares e externos é crucial. Não apenas para evitar o congelamento completo do seu negócio se alguém atacar você ransomware, mas também em caso de outros desastres que possam ocorrer.
É mais barato do que ter que interromper seus negócios ou pagar um resgate para recuperar seus dados.

Proteção de software

Na proteção do seu sistema de hardware contra malware, é melhor adotar uma abordagem proativa. Embora nenhum pacote antimalware ou anti-spyware seja perfeito (porque os hackers se desenvolvem tão rapidamente quanto os programadores de proteção), usá-los é outra camada de proteção contra a infiltração de software mal-intencionado.

Na maioria das vezes, o software de segurança identificará a fonte do código malicioso, o que permitirá identificar e bloquear essa fonte de acesso futuro ao seu sistema.

Identificação e autorização multifator

Apesar da evolução das medidas de proteção, o acesso por senha única a sistemas seguros não é uma boa ideia. A maneira mais fácil de garantir o acesso seguro por senha é adicionar um fator extra ao processo de login. A maneira mais fácil e gratuita de fazer isso é usar a autenticação de dois fatores do Google Authenticator, que enviará um código para um dispositivo externo para segurança extra de login.

Existem métodos alternativos disponíveis para criar camadas de segurança adicionais. Alguns exigem entrada biométrica, como impressões digitais ou reconhecimento facial, enquanto outros são chaveiros externos, como um Yubikey.

Recursos gratuitos para segurança cibernética em sua região

Você pode pensar que os protocolos de segurança cibernética seriam praticamente os mesmos em todo o mundo; a internet está em todo lugar. No entanto, várias agências podem ajudá-lo a projetar e implementar um sistema prático e funcional de controles de segurança cibernética para sua pequena empresa. Se forem específicos de sua região ou país, mais fácil será trabalhar com eles dentro das diretrizes e leis regionais.

• Países da União Europeia
  • Iniciativas de cibersegurança da UE
  • Agência da União Europeia para a Cibersegurança
• EUA
  • A FCC
  • Agência de segurança cibernética e infraestrutura
  • Instituto Nacional de Padrões e Tecnologia
• Austrália
  • Governo australiano
  • Centro australiano de segurança cibernética
• Reino Unido
  • Governança de TI
  • O Centro Nacional de Segurança Cibernética

Cibersegurança para pequenas empresas: em resumo

Quando você administra uma empresa de pequeno ou médio porte, enfrenta obstáculos à manutenção da segurança cibernética que as grandes corporações não têm. Você não tem todas as equipes de segurança dedicadas a garantir a segurança de seus dados.

Você não tem tempo para dedicar horas a procedimentos e processos de segurança cibernética. Essas são barreiras significativas para a criação de um ambiente seguro para dados comerciais e de clientes.

Existem recursos disponíveis de agências governamentais locais para ajudar as pequenas empresas a manter seus dados seguros, porque uma grande parte dos ataques cibernéticos são direcionados a pequenas empresas. Dado que as pequenas empresas representam uma grande proporção da entrada econômica, é do interesse do governo mantê-las seguras.

Não precisa ser caro para implementar as melhores práticas, mas não será gratuito. Não há como garantir a proteção mais robusta sem nenhum investimento financeiro; no entanto, a maioria das melhores práticas não custa nada além de tempo e esforço.

A melhor proteção é treinar sua equipe sobre os perigos dos ataques cibernéticos e como evitá-los. As pessoas são a ameaça mais significativa porque têm todas as emoções e reações erráticas que são imprevisíveis. Treiná-los para identificar seus gatilhos e detectar e-mails falsos e outros golpes será a ação mais potente para mitigar os riscos de segurança cibernética.