6 passos importantes para evitar e mitigar os danos de ataques cibernéticos à sua empresa
*Josemando Sobral
Ao longo de 2021
o Brasil sofreu mais de 88,5 bilhões (sim, bilhões) de tentativas de
ataques digitais, o que corresponde a um aumento de 950% em relação a 2020,
segundo um levantamento da Fortinet. Por isso, infelizmente, tem se tornado
cada vez mais comum ler notícias sobre crimes cibernéticos contra empresas
brasileiras,
como os recentes incidentes com as Lojas Renner e as Lojas Americanas. A
verdade é que esse tipo de crime acontece diariamente e impacta empresas de
todos os tamanhos, não apenas aquelas que viram manchete.
Com um volume que corresponde a mais de 241 mil ataques por dia, os
cibercriminosos não poupam Pequenas e Médias Empresas (PMEs), nem Startups.
Pelo contrário: atacantes (hackers) agem seguindo uma lógica de "pesca de
arrastão", na qual automatizam o monitoramento de vulnerabilidades
conhecidas e tentam explorar essas falhas de seguranças na maior quantidade de
empresas possível - independente do tamanho.
Se, de um lado, vemos um aumento exponencial dos ataques no Brasil, de outro,
faltam profissionais capacitados para atuar na prevenção e mitigação desses
eventos. Fica, então, a dúvida: como ter uma presença digital relevante, sem
afetar a segurança do negócio?
Ainda que o cenário pareça desfavorável, existem atitudes que empresas de todos
os tamanhos, com times de tecnologia de todos os portes, podem adotar para
proteger os seus dados e evitar crimes cibernéticos:
1. CRIE UMA POLÍTICA DE
SEGURANÇA SIMPLES
Assim como há um manual do funcionário,
ou até mesmo um código de ética da empresa, a Política de Segurança da
Informação é um importante documento que orienta os colaboradores e estabelece
as diretrizes do ambiente de trabalho . O documento deve hierarquizar acessos
aos ativos digitais da empresa, além de listar as boas práticas de Segurança
para o dia a dia da organização.
A boa PSI é capaz de colocar a Segurança da Informação no dia a dia da empresa
e, portanto, é vital para evitar vazamentos e incidentes, protegendo os pilares
do seu negócio - sua Integridade, sua disponibilidade e sua Confidencialidade.
O segredo para a criação de uma boa PSI é que ela seja feita unindo áreas técnicas
e áreas de negócio para que seja simples, factível e jogue a favor da empresa e
não contra. Por isso, ela deve levar em consideração a cultura e processos já
estabelecidos.
2.
TREINE O ELO MAIS FRACO: O COLABORADOR
Educar os colaboradores
sobre boas práticas de cibersegurança é garantir que o seu time não abra a
porta da frente para criminosos. Por exemplo: a maioria dos ataques de
Ransomware acontece quando o usuário faz o download de um arquivo malicioso,
capaz de sequestrar e criptografar dados de uma empresa. Em troca, os
criminosos pedem um resgate. Esse foi o tipo de ataque mais utilizado pelos
russos contra a Ucrânia para acessar informações sensíveis de empresas e órgãos
públicos visando ganhar vantagem no conflito iniciado recentemente.
Ensinar os colaboradores a reconhecer e-mails e arquivos maliciosos é um
importantíssimo passo. Outro ponto crucial é ensiná-los sobre a criação de
senhas fortes, capazes de dificultar a vida dos atacantes. Por último, é
importante conscientizar os times sobre o uso de e-mails corporativos apenas em
sistemas da empresa. É comum que atacantes vazem bancos de dados de sites
terceiros repletos de logins e senhas de empresas. Se por acaso um colaborador
se registrar em um desses sites utilizando este e-mail, os
cibercriminosos terão acesso à credencial da empresa e - muito provavelmente -
a uma senha, que tem grandes chances de ser a mesma utilizada em sistemas da
empresa. Assim, a porta da frente da sua empresa fica
exposta.
3.
ASSEGURE QUE VOCÊ TEM MAPEADO TODOS OS ATIVOS DIGITAIS DA SUA EMPRESA
É considerado um ativo
digital todo e qualquer componente, físico ou não, que constitui a
infraestrutura de tecnologia de uma empresa: domínios, subdomínios, servidores,
aplicações web, serviços de cloud e máquinas virtuais são alguns exemplos de
ativos.
Cada ativo desses pode apresentar centenas de vulnerabilidades. Pense nelas
como portas de entradas a serem exploradas por um atacante. Não ter em vista
todos os ativos digitais da sua empresa cria pontos cegos que aumentam
significativamente a sua superfície de exposição - termo que se refere à soma
de todos os riscos de cibersegurança que expõem o seu negócio. Sabe aquela
landing page que a sua área de Marketing criou para uma promoção que já acabou,
mas que continua no ar? Então, conhecer a sua estrutura é saber onde a sua
empresa está exposta. Existem algumas soluções de mercado com preços
acessíveis, como por exemplo a Unxpose, que faz esse tipo de monitoramento de
forma contínua e automatizada.
4. BACKUP
Hoje em dia é até difícil achar uma empresa que não dependa de dados, sejam
eles planilhas de controles de gastos, ERPs que gerenciam a operação, ou banco
de dados que contém informações sobre os clientes. Além de buscar proteger
esses dados, é necessário criar rotinas recorrentes de backups para garantir
que, em caso de problemas, os dados não sejam perdidos.
E, talvez, mais importante do que guardá-los, é garantir que o processo de
recuperação desses backups também esteja funcionando. Ou seja, além de realizar
os backups, é importante testar as rotinas de restauração para garantir que
todos os arquivos estão sendo salvos corretamente. Com a rotina de restauração
você poderá restabelecer a operação e diminuir os prejuízos.
5. TENHA UM PLANO DE
INCIDENTE
Um plano de incidente traça a estratégia capaz de fazer a sua empresa ter o
menor impacto possível no caso de um incidente. Em outras palavras: ele limita
os danos de um ataque e é capaz de reduzir o tempo e os custos da resposta.
Ter um plano consistente é capaz de preservar a confiabilidade na sua empresa
por parte de clientes e investidores, pois é prova de diligência. Além disso,
ter uma resposta ágil e estruturada significa zelar pelo resultado da empresa.
Um incidente pode trazer perdas financeiras, seja na forma de um impacto
negativo nas ações, seja na forma de um pedido de resgate de dados sequestrados
ou mesmo na perda de dados de capital intelectual e segredos industriais com os
quais a empresa faz negócios. Um plano de incidente pode ajudar a mitigar esses
danos.
6.
NA AUSÊNCIA DE UM TIME DE SEGURANÇA, AUTOMATIZE
Cibersegurança não é um
projeto, mas uma jornada contínua. À medida que a sua empresa cresce, a sua
superfície de exposição a ataques expande junto. Segundo um estudo da organização
sem fins lucrativos (ISC)², o Brasil tem um dos maiores
déficits de profissionais de segurança no mundo. A boa notícia é que já existem
soluções capazes de automatizar o trabalho de um time de segurança, atuando
desde a descoberta de ativos digitais expostos a ataques até a identificação,
priorização e correção de vulnerabilidades. No Brasil, a Unxpose é exemplo de
SaaS que funciona como um time de segurança para quem não tem um, ou como braço
adicional para quem já tem. Automatizar processos de segurança é uma saída
econômica e eficiente.
*Josemando Sobral especialista
em tecnologia e criação de produtos, CEO e fundador da Unxpose, startup de cibersegurança que tem como
missão democratizar e simplificar o acesso à proteção digital principalmente
para startups e PMEs que ainda não contam com uma área dedicada
Nenhum comentário