* Por Carlos Baleeiro
Acidentes cibernéticos podem comprometer a reputação e a integridade de uma empresa. Em muitos casos, as PMEs podem sofrer um impacto tão forte que talvez nunca se recuperem. Um relatório da Verizon do ano passado mostrou que 58% das vítimas de violação de dados são empresas de pequeno e médio porte, por serem mais vulneráveis a este tipo de ataque e possuírem menos investimento em medidas de cibersegurança.
Se engana quem pensa que uma empresa que passa por problemas de segurança cibernética se recupera facilmente: de acordo com a PwC, 70% das empresas que tiveram problemas com a sua segurança da informação saíram do mercado após a exposição de seus dados. Com números tão ameaçadores, as pequenas e médias empresas precisam ficar de olho em seus processos para consertar qualquer eventual vulnerabilidade que possam ter.
Li recentemente em outra pesquisa da PwC que diz que os colaboradores continuam a ser a principal fonte de incidentes em segurança da informação, como perda de dados, cliques em links maliciosos ou mesmo compartilhamento excessivo de informações com pessoas não autorizadas. Eles representam 35% dos acidentes cibernéticos que podem comprometer a reputação e integridade das empresas.
O treinamento desses funcionários pode diminuir as dores de cabeça que uma empresa pode ter com o vazamento das informações. Ou, até mesmo, custar o negócio da empresa, levando-a à falência, devido à perda de dinheiro e de reputação com clientes e fornecedores.
De acordo com o ESET Security Report, 25% de todas as empresas entrevistadas não contam com uma política de segurança. Em sua maioria empresas de pequeno porte, somente 58% das pequenas contam com política de segurança. Para diminuir isso, algumas ações são necessárias:
Mínimo privilégio
Uma das principais formas de proteger os arquivos de clientes e da própria empresa é não permitir acesso a todos os colaboradores, pois nem todos precisam utilizar todos os documentos da empresa. Esta política é conhecida no setor de tecnologia como o princípio mínimo de privilégio, ou seja, baseia-se na ideia de conceder autorizações apenas quando realmente sejam necessárias para o desempenho de uma atividade específica.
Esta é uma prática que visa deixar a rotina dos funcionários mais organizada e também tem como objetivo garantir a segurança da informação. A atribuição de permissões a um usuário, além dos direitos necessários para realizar uma determinada atividade, ajuda o colaborador a se ater às atividades para as quais está autorizado.
Restrição de acesso físico
Imagine que você tem uma empresa de médio porte do setor financeiro e que você possui um setor de SAC nessa empresa. Faz sentido os seus colaboradores do SAC terem acesso ao local onde ficam os servidores físicos nos quais são feitas as manutenções do sistema de informação da empresa?
A resposta com certeza é não.
O ideal é que cada funcionário tenha acesso aos ambientes que são necessários à sua função. Crachás e acesso com digital são maneiras simples de restringir essas permissões.
Treinamento dos funcionários
É importante também a conscientização do colaborador sobre responsabilidade de cada um com os dados da empresa dentro e fora do ambiente corporativo.
O colaborador precisa assinar contratos de sigilo, documentação de prevenção de incidentes de cibersegurança, e ainda precisa seguir as regras de compliance estabelecidas pela empresa e por parceiros.
Além disso, um único funcionário pode ser responsável por comprometer todo o sistema de segurança de uma empresa quando deixa sua mesa. Por isso, é importante haver uma política de mesa limpa e de tela limpa. Ou seja, ao sair de sua estação de trabalho, o colaborador não pode deixar dados sigilosos abertos em seu computador e nem pode ter senhas anotadas em papéis. Tudo isso pode ser prevenido com um bom treinamento, que mostre a eles a importância para o negócio em cuidar de que estes dados estejam no local certo e protegido.
Softwares atualizados
Outro ponto que é primordial para uma empresa é manter softwares atualizados. Isso vale para os antivírus, programas e o próprio sistema operacional. Fazer atualizações diminui as chances de invasores acharem alguma brecha que os permita acessar os dados.
Processos e procedimentos de segurança da informação são a melhor maneira de evitar que a empresa seja alvo de crimes cibernéticos. Afinal, com essa prevenção, é possível evitar gastos com recuperação de dados e de reputação de um negócio. Ou até mesmo prevenir que seu negócio vá a falência. Uma empresa bem protegida só tem a ganhar.
* Carlos Baleeiro é Country Manager da ESET no Brasil
0 comentário