A proteção de dados tem sido muito discutida mundialmente, principalmente com a implementação da lei europeia GDPR e, mais recentemente, no Brasil para que as pessoas tenham suas informações pessoais protegidas e sejam estabelecidos limites quanto ao uso pelas empresas e governos. Com isso, a segurança digital ganhou mais notoriedade, ampliando o entendimento mais comum e restrito apenas ao personagem do hacker (o Black Hat).
Por mais que violações externas sejam uma grande preocupação, as companhias devem estar atentas, também, ao ambiente interno por meio da conscientização dos funcionários e da criação de controles próprios em que os riscos cibernéticos sejam bem endereçados.
Para isso, é importante adotar mecanismos de monitoramento e tratamento de incidentes em camadas. O conceito da antifragilidade, de Nassim Nicholas Taleb, é bastante interessante quando se fala em cybersecurity, pois aborda a capacidade de recuperação e de fortalecimento com eventos de desastre.
Veja a seguir a 10 melhores práticas de segurança cibernética que a sua empresa deve considerar:
1. Implementar a governança de segurança da informação
Estabelecer e manter uma estrutura de segurança da informação é um ótimo ponto de partida. Essa estrutura é tão importante quanto soluções tecnológicas, pois ela é desenvolvida especificamente para sua organização, portanto alinhada com os objetivos do negócio.
É possível identificar onde os direcionadores são selecionados (ex. ISO27k, Cobit, ITIL), sob quais exigências regulatórias o mercado está sujeito (ex. GDPR, HIPAA, BACEN, PCI DSS) e, com base nessas informações, estabelecer as políticas e normas de segurança da informação e meios de avaliar sua maturidade.
2. Preparar sua empresa para o GDPR
Com a lei europeia, mais do que nunca, é importante controlar o acesso, monitorar fornecedores, prestadores de serviço e colaboradores, e saber o que é feito com os dados dentro da empresa.
Para se ter uma ideia, em seu primeiro dia de vigor, a ONG NOYB (None of Your Business) acionou judicialmente os gigantes Facebook e Google, com multas de € 3,9 bilhões e € 3,7 bilhões, respectivamente, tendo como base a nova regulamentação.
3. Detectar ameaças internas
É verdade que os colaboradores são seus maiores ativos, mas também podem ser seu maior risco. Embora os usuários bem treinados possam ser sua linha de frente de segurança, você ainda precisa da tecnologia como última linha de defesa. As ameaças internas podem passar despercebidas, mas o fato é que essas violações são extremamente caras.
Monitorar a atividade do usuário permite que você detecte comportamento não autorizado e verifique se as ações do usuário não estão violando a sua política de segurança da informação.
4. Atualização de software e sistemas
Com os cibercriminosos praticando constantemente novas técnicas e procurando novas vulnerabilidades, para manter sua rede protegida é necessário verificar se a segurança de software e hardware está com as melhores e mais recentes atualizações.
Certifique-se de ter bons procedimentos para gerenciamento de patchs e se empenhe em realizar as correções apontadas nos scans de vulnerabilidade.
Implemente um processo de desenvolvimento seguro e aquisição de novos sistemas, seguindo padrões de referência, tais como OWASP e procure profissionais especializados em segurança de aplicações.
5. Fazer backup dos dados
Fazer o backup de seus arquivos pode parecer senso comum, mas qualquer organização que tenha recebido ransomware - como Petya ou Wannacry - dirá o quanto é importante garantir essa melhor prática. É crucial que a organização tenha um pleno funcionamento de todos os dados, não apenas a partir de uma perspectiva básica de higiene de segurança, mas também para combater novas modalidades de ataque.
6. Criar um manual de resposta a incidentes
Mesmo que as melhores práticas sejam seguidas, as empresas ainda correm riscos de violação. No entanto, a diferença está no preparo de cada uma e na agilidade para lidar com esses fatos. Ter um plano de resposta definido antecipadamente permitirá que a empresa feche quaisquer vulnerabilidades, limite o dano de uma violação e permita a correção com eficácia.
7. Ter cuidado com a engenharia social
As políticas de segurança da informação não substituem o senso comum, nem eliminam erros humanos. As táticas de engenharia social têm sido usadas com sucesso há décadas para obter informações sensíveis para a companhia ou até mesmo que podem ser utilizadas em complemento com dados da empresa coletados externamente para praticar ataques.
Tentativas podem vir de telefone, e-mail (phishing) ou até mesmo escutando conversas entre colaboradores em locais públicos (eavesdropping).
8. Educar e treinar os funcionários
O quadro de funcionários será o elo mais fraco quando se trata de segurança da informação. Isso significa que a empresa deve limitar o risco fomentando uma cultura de segurança da informação na companhia.
As conscientizações precisam contemplar temas importantes e atuais, como: reconhecer e o que fazer com um e-mail de phishing, criar e manter senhas seguras, o que fazer em caso de incidentes de SI, evitar aplicativos perigosos, garantir que informações importantes não sejam retiradas da empresa, além de outros riscos relevantes.
A principal dica para engajar os profissionais é encontrar técnicas criativas para fazer com que o treinamento seja bem assimilado por todos, independentemente da familiaridade com os assuntos tecnológicos.
9. Delinear políticas claras
Para fortalecer e esclarecer as melhores práticas de segurança cibernética fornecidas aos usuários, é necessário descrever claramente os requisitos e as expectativas da empresa em relação à segurança quando contratá-los pela primeira vez. Certifique-se de que os contratos de trabalho, SLAs e NDAs têm seções que definem claramente esses requisitos.
10. Testar suas defesas
Simular um atacante cibernético, bem como realizar varreduras periódicas procurando por vulnerabilidades existentes é uma ótima prática para fechar brechas nas defesas de sua organização a invasores indesejados. Realize Penetration Test, Phishings educativos e Vulnerability Assessments periodicamente.
Ao seguir essas recomendações, a sua empresa elevará o grau de maturidade e estará mais competitiva no mercado. Dúvidas sobre a implantação dessas estratégias? Entre em contato com a nossa equipe de consultoria em segurança digital.