A importância da cibersegurança nas empresas e também para as PMEs

ElevenPaths    31 mayo, 2019

Os gestores de negócio já têm em conta que a cibersegurança é um dos principais riscos para o negócio e que eles demandam investimentos contínuos. No entanto, para as pequenas e médias empresas ainda é um desafio saber o que fazer, implementar e manter para proteger seus negócios protegidos.

Por esse motivo, vemos um número cada vez maior de guias e padrões para adoção de segurança destinado às pequenas e médias empresas, que ajudam seus gestores a avaliar e reduzir os riscos de segurança dos seus negócios.

Alguns desses guias são públicos e trazem informações sobre as ferramentas que devem ser utilizadas para melhorar a postura de segurança das PMEs, entendendo que essas companhias têm recursos limitados e pouco conhecimento sobre seus desafios. Alguns exemplos dessas publicações são o NIST ou a FTC, ambos com foco em gestão de riscos e custo/benefício vantajoso.

Os guias têm alguns detalhes em comum, classificados como conceitos básicos em segurança, onde se explicam os riscos que devem ser considerados e como resolve-los, o entendimento de ameaças, mas, sobretudo, a capacidade de identificar os problemas de forma simples.
Em termos gerais, os guias sempre destacam a importância de gerenciar a segurança do website corporativo como um dos elementos mais importantes da postura digital da empresa. Nesse item, devemos ter em conta ao menos três conselhos básicos:

  • Acesso controlado ao sistema de administração do website, utilizando duplo fator de autenticação e gerando qualquer mudança de conteúdo aos diretores da empresa. Esse conselho visa prevenir mudanças não autorizadas e a tomada de controle da gestão por possível roubo de identidade do administrador
  • Gerar confiança dos usuários do site através da implementação e mecanismos seguros de transferência de informações e validação de usuários. As empresas têm que entender a importância da sua reputação digital, sobretudo se realizam transações bancárias online ou recebem informações pessoais de clientes
  • Ter um plano de continuidade para o website, que garanta a usabilidade e mínima perda de informações em caso de comprometimento da aplicação. Deve-se ter uma aplicação para recuperação de incidentes que permita recolocar o website no ar o mais rápido possível depois de um incidente

Outro fator que devemos levar em conta é a proteção dos dispositivos que gerenciam e transmitem as informações utilizadas pela empresa, já que a integridadee a confiabilidade desses ativos é o que permite garantir que a informação é verdadeira. Abaixo estão três conselhos que devemos aplicar nesse rol:

  • Todo dispositivo que armazena informações deve ser considerado como crítico e, por isso, deve ser protegido. Deve-se instalar ferramentas de proteção em todo os smartphones e dispositivos móveis usados por funcionários, isso inclui a instalação de software que proteja os equipamentos contra malware e que permita recuperar a informação em caso de perda, roubo ou dano ao equipamento
  • Softwares e equipamentos de rede devem ser permanentemente atualizados, realizando as configurações necessárias de segurança em cada um deles. A empresa deve prestar atenção, principalmente, a redes sem fio, aplicando controles de identificação dos usuários que se conectam a ela e protocolos de segurança restritos
  • Validar o software utilizado em dispositivos, além de não permitir a instalação de nenhum software não autorizado para minimizar a possibilidade de incidentes por uso de programas maliciosos ou que tenham falhas de segurança. Uma boa prática é a implementação de mínimos privilégios aos usuários e validação de qualquer software antes de sua instalação

Por último, mas não menos importante, prestar atenção no elo mais fraco (e mais importante) da segurança: os usuários. São eles que manipulam a informação e devem reconhecer seu valor para a empresa, protegendo-a de maneira correta seguindo os seguintes conselhos:

  • Planejar a segurança da informação como um componente integrado ao negócio da empresa. Os diretores devem passar a ver a segurança da informação como um ativo crítico, vital para o seu negócio, que deve estar alinhado com todas as necessidades e planos estratégicos das companhias
  • segurança deve ser implementada segundo a criticidade da informação para o negócio, ou seja, devem ser adotados mecanismos de controle como criptografia de dados, para garantir que informações sensíveis e vitais da empresa estejam protegidas. Uma vez mais, os funcionários são chave para esse processo, devem ser treinados para saber o que é crítico e o que não é
  • A segurança é um trabalho conjunto de todos na empresa e requer participação ativa. Não adianta implementar os melhores controles e softwares de proteção, se um usuário não entende que conectar um pen-drive suspeito ao seu laptop é um risco tremendo ao negócio

A publicação desses guias traz conselhos ricos para a proteção de pequenas e médias empresas, com uma linguagem simples e exemplos práticos que atendem suas necessidades específicas. Isso permite mitigar os riscos que a digitalização dos negócios criou, a invasão dos sistemas e dispositivos, roubo de informação, além do uso das estruturas das PMEs para afetar empresas maiores.

Diego Samuel Espitia
Chief Security Ambassador at ElevenPaths
diego.espitia@11paths.com 
@dsespitia

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *