Como pequenas e médias empresas podem monitorar e se preparar para as crescentes ameaças à segurança cibernética em tempos de coronavírus
O coronavírus não está causando uma crise global apenas na saúde – está se tornando cada vez mais uma ameaça à segurança cibernética. O aumento no número de colaboradores trabalhando remotamente e o acesso a redes privadas virtuais (VPN’s) são alguns dos principais fatores de vulnerabilidade. Embora o problema permeie todas as organizações, a crise atual apresenta grandes desafios para empresas de pequeno e médio porte (PME), que muitas vezes não possuem um CISO e não estão preparadas para lidar com as consequências de um ataque cibernético.
O número de e-mails de phishing tem aumentado consideravelmente e as pessoas que estão trabalhando de casa são o principal alvo. Além do phishing, as empresas de segurança relatam que os invasores estão usando a COVID-19 para acessar redes por meio de sites falsos. Embora as grandes empresas possuam estratégias de segurança, muitas pequenas e médias empresas enfrentam o novo desafio de proteger seus negócios de ameaças cibernéticas.
“É uma pena que os cibercriminosos ataquem pessoas e empresas durante esses tempos difíceis, mas é uma realidade”, diz Carmen Fontana, membro do Institute of Electrical and Electronics Engineers (IEEE). “Oriente seus funcionários a ficarem atentos às tentativas de phishing”. Outro ponto essencial é que as organizações desenvolvam programas de conscientização que instruam os funcionários sobre phishing, maneiras de evitar downloads não intencionais de malware e outras políticas internas de segurança da informação, ressalta Kevin Lancaster, gerente geral de soluções de segurança na Kaseya.
Se houver alguma dúvida sobre a autenticidade de um e-mail, Fontana enfatiza a importância de o funcionário entrar em contato com o remetente da mensagem. “É muito importante fazer um double-check das informações”, diz ela, “além de ser uma atitude preventiva que pode gerar uma economia de milhares de dólares para a empresa – e de dores de cabeça também”.
Além disso, os executivos devem garantir que sua equipe entenda o que é engenharia social e como os cibercriminosos podem usá-la para obter dados confidenciais, reitera Fontana. “Com o distanciamento social, as pessoas anseiam por interação pessoal e podem estar mais suscetíveis a más práticas de engenharia social”.
Maneiras pelas quais as pequenas empresas podem melhorar sua segurança
Uma empresa de pequeno porte pode não ter condições de fornecer aos funcionários um notebook ou outra ferramenta de trabalho. Se for esse o caso, Carmen Fontana recomenda considerar uma implementação do desktop como serviço (DaaS), uma solução de computação em nuvem que permite às empresas oferecerem aos seus funcionários desktops virtuais.
As ferramentas do DaaS replicam a experiência da área de trabalho de qualquer navegador da web. Além disso, esse tipo de configuração é mais seguro do que manter os dados da empresa nos discos rígidos dos computadores domésticos de seus funcionários. “As implementações de desktops virtuais podem ser implementadas rapidamente – e muitas vezes de forma mais rápida e mais barata que o processo de aquisição e configuração de novos laptops”, diz ela.
Além disso, agora é o momento ideal de criar planos que envolvam a questão da Segurança da Informação e que abordem questões como:
- Quais dados são críticos para sua empresa?
- Onde eles estão armazenados?
- Quem tem acesso a eles?
“Quando você tem uma pequena força de trabalho, apenas um ou dois membros da equipe podem ser responsáveis por interromper toda a operação”, observa Fontana. “Entenda onde estão seus riscos e concentre-se em criar redundância e resiliência em seus sistemas e processos”.
De acordo com Lancaster, “as pequenas e médias empresas também devem aproveitar os serviços de segurança oferecidos na nuvem, incluindo avaliações de segurança, gerenciamento de identidades, autenticação multifatorial, login único e compliance. Isso pode melhorar conisderavelmente a defesa de uma PME contra um ataque cibernético”.
Mesmo com o uso de tecnologias, metade de todas as perdas de dados de uma empresa resultará de erro humano, diz Lancaster. Os funcionários devem ser devidamente orientados e possuir um nível adequado de conscientização sobre Segurança da Informação, compreendendo suas responsabilidades individuais quanto à proteção da infraestrutura da empresa”, diz ele. “Muitos casos de violações de segurança que envolvem fatores internos são resultado de comportamento negligente por parte dos funcionários e não de atividades maliciosas”.
Apesar de todos os esforços, pode chegar o momento em que sua empresa seja vítima de um ataque cibernético. Quando isso acontecer, os profissionais de Segurança e Tecnologia da Informação devem estar prearados para responder aos incidentes e garantir a continuidade do negócio.
Fonte: Cyber Security Hub (matéria traduzida e adaptada)
Comments are closed.