O treinamento em boas práticas de cibersegurança nas empresas tem estado cada vez mais em pauta. Uma das razões para o fato é que os erros de funcionários estão entre os principais riscos cibernéticos nos negócios. Para se ter uma ideia, quase todos os ataques de phishing e ransomware em 2020 foram causados por falhas humanas, e grande parte dos vazamentos de dados acontece pelo mesmo motivo.
Vale lembrar que, enquanto os colaboradores não conscientizados podem desencadear ciberataques, os colaboradores cientes do seu papel são um recurso valioso para garantir a cibersegurança.
Com isso em mente, listamos 9 tópicos excelentes para um treinamento efetivo em ciber proteção no negócio a seguir. Vamos lá?
9 boas práticas de cibersegurança para negócios
Ao criar seus programas internos para assegurar a segurança cibernética, as empresas devem considerar os riscos específicos envolvidos na sua área de atuação e dentro dos próprios limites do negócio.
Nesse cenário, todo o processo deve envolver as ameaças críticas mais significativas para a organização, assim como os malwares em maior destaque e evolução na atualidade, a exemplo do ransomware.
Tome nota de 9 etapas fundamentais para potencializar sua proteção:
1. Gestão de senhas para acesso seguro
Muitas pessoas desconhecem este fato, mas manter senhas fracas de aplicações e sistemas corporativos é uma das causas mais comuns de brechas de segurança e vazamento de dados.
Com o intuito de evitar essas vulnerabilidades, é preciso lançar mão de uma gestão de senhas adequada, incluindo boas práticas de cibersegurança que devem ser disseminadas para todos os colaboradores da organização. Isso inclui:
- criar senhas diferentes para as diversas contas e aplicações, o que evita danos “em cadeia” caso uma senha corporativa seja vazada;
- incluir letras, números e caracteres especiais, totalizando ao mínimo 8 dígitos;
- evitar usar geradores automáticos de senhas;
- apostar em ferramentas de gestão de senhas, que armazenam as passwords em ambientes seguros e evitam esquecimentos. O recurso é especialmente importante para as empresas, que lidam com um grande volume de contas e acessos no dia a dia;
- investir em autenticação multifator (MFA) sempre que possível, criando uma barreira adicional de segurança no acesso.
2. Navegação segura pela web
Hoje em dia, são raros os setores empresariais que não dependem da conexão à internet para a execução das rotinas de trabalho. Nesse sentido, é fundamental que as medidas de segurança corporativa incluam a navegação segura da web, o que permitirá que os funcionários detectem ameaças e fraudes, além de evitarem o acesso a endereços maliciosos.
Vale destacar que as táticas de engenharia social (com destaque para o phishing) representam altíssimos riscos para os negócios , tanto no que diz respeito à frequência dos ataques, quanto à sua periculosidade. Com a adoção do trabalho remoto devido à pandemia, essas preocupações só devem aumentar.
Nessa perspectiva, os pontos de atenção frisados no treinamento devem abranger:
- identificação de domínios falsos e ilegais;
- distinção entre redes seguras e redes inseguras de navegação (distinguir entre HTTP e HTTPS, por exemplo);
- conscientização acerca da não divulgação de informações pessoais e corporativas em websites e e-mails suspeitos;
- treinamento acerca do perigo do download de softwares sem licenciamento;
- identificação de ataques comuns na navegação online, tais como watering hole attacks, worms, phishing e downloads maliciosos.
3. Uso consciente das redes sociais
Se o uso profissional das redes sociais é uma ferramenta valiosa para o branding (valor da marca), essas mídias também são um terreno vastamente explorado pelos hackers.
Por esse motivo, é importante estabelecer uma política interna para o uso das redes, destacando pontos-chave como:
- os cibercriminosos podem se disfarçar de companhias renomadas nas redes sociais, o que exige atenção;
- os ataques de phishing são muito empregados nessas aplicações;
- deve-se ter cuidado com o conteúdo postado nas redes sociais. As informações compartilhadas podem ser utilizadas contra os usuários em ataques de spear phishing.
4. Uso seguro de dispositivos removíveis e USB
Sim, os malwares são frequentemente distribuídos via mídias removíveis, a exemplo de pendrives, dispositivos USB e CDs. Vale lembrar que os softwares que infiltram o sistema por meio dessas ferramentas podem ultrapassar as defesas baseadas na rede corporativa.
Nesse sentido, os hackers costumam nomear esses arquivos para enganar os funcionários de negócios. Quando são executados, esses documentos maliciosos permitem que o software roube dados, instale ransomware e até destrua todo o conteúdo do computador.
Dessa forma, para educar o time no intuito de evitar tais ataques e disseminar boas práticas de cibersegurança, deve-se frisar os seguintes tópicos:
- não use mídias removíveis que você considera inseguras;
- em caso de dúvidas sobre o nível de segurança do dispositivo, encaminhe-o para a análise da TI imediatamente;
- evite executar mídias removíveis automaticamente em todos os seus dispositivos.
5. Comportamento adequado dentro e fora do ambiente empresarial
Ao utilizar seus computadores ou quaisquer dispositivos, os colaboradores devem se atentar ao ambiente e às pessoas ali presentes. Com a realidade do trabalho remoto e do home office, esse cuidado deve se tornar uma prioridade. Seguem orientações importantes para aumentar a proteção contra ciberameaças que podem surgir:
- aconselhe os funcionários a se atentar a quem possa estar prestando atenção no momento de acesso às aplicações corporativas, especialmente novos funcionários e desconhecidos em ambientes públicos;
- deve-se suspeitar qualquer remetente online que se apresente como inspetor, policial, autoridade ou profissional de TI;
- oriente a equipe a não escrever suas senhas e credenciais em papéis ou dispositivos que permaneçam visualmente disponíveis;
- instrua o time a não deixar post-its, papéis e impressões contendo informações sensíveis, pessoais ou confidenciais na mesa de trabalho.
6. Privacidade de dados
Quando se trata de boas práticas de segurança, esse ponto é crucial. O quão conhecedores são seus funcionários sobre coleta, armazenamento e processamento de dados sensíveis?
Uma equipe bem treinada no assunto é essencial para o funcionamento adequado da companhia. De outro modo, a organização pode enfrentar variadas penalidades (incluindo as previstas na Lei Geral de Proteção de Dados – LGPD), além de perder a confiança dos seus clientes. Entre os principais pontos que precisam ser abordados no treinamento a esse respeito, estão:
- a política de processamento e armazenamento de dados da empresa;
- as leis e regulamentações de cibersegurança que dizem respeito aos funcionários;
- formatos e equipamentos empregados para o armazenamento de informações sensíveis;
- uso de senhas complexas e autenticação multifator para arquivos que contenham dados sensíveis.
7. Sistema “Traga seu próprio dispositivo” (BYOD)
As políticas de bring your own device (“traga seu próprio dispositivo” ou BYOD) ganharam uma importância especial durante o período da pandemia de COVID-19. Por esse motivo, devem ser destacadas quando o assunto são as boas práticas de cibersegurança.
Nessa perspectiva, adotar a política significa que os colaboradores podem utilizar seus dispositivos pessoais no ambiente de trabalho. Muitas vezes, o BYOD é sinônimo de mais conforto e produtividade para a equipe, mas também acaba aumentando os riscos de cibersegurança.
As companhias que apostam na modalidade, portanto, devem ter atenção aos seguintes pontos:
- utilizar a criptografia completa de disco em dispositivos pessoais;
- fazer o download de aplicações nos dispositivos pessoais somente de sites aprovados e licenciados;
- para prevenir o roubo de dados, apostar em senhas fortes de acesso nos dispositivos;
- apostar em VPNs (redes privadas virtuais) ao conectar-se a redes de origem desconhecida;
- utilizar aplicações de antivírus aprovadas pela empresa nos dispositivos pessoais.
8. Boas práticas de cibersegurança contra phishing
As estatísticas provam: o phishing é um dos métodos mais aplicados pelos hackers em ciberataques – e com sérias consequências. Nos ataques desse tipo de malware, os hackers alvejam funcionários através de diversas ferramentas de comunicação, visando infiltrar a rede da empresa.
Nas tentativas de golpe, os cibercriminosos enviam mensagens para os colaboradores e criam um forte senso de urgência, divulgando possíveis brindes, oportunidades de emprego vantajosas e outros benefícios falsos. Como resultado, fraudes financeiras ou roubo de informações pessoais são exemplos de ações empreendidas.
Não por acaso, o phishing deve estar no centro do treinamento corporativo. Por sua vez, o golpe via e-mail deve ser reforçado entre o time, uma vez que o canal é o mais utilizado para a disseminação do malware.
Nessa perspectiva, devem ser considerados suspeitos os e-mails que:
- tenham remetentes desconhecidos;
- incluem solicitações de dinheiro ou pagamento do destinatário;
- vão parar na caixa de SPAM;
- contêm um link desconhecido;
- contêm um anexo suspeito ou claramente malicioso.
Vale lembrar que o phishing também pode ocorrer via chamadas ligações, SMS, plataformas corporativas e outros canais.
Saiba Mais 👉 O que é phishing: proteja seu negócio desse golpe tão comum
9. Software malicioso (malware)
Com muita frequência, os hackers se utilizam de malwares (softwares maliciosos) para infiltrar os sistemas corporativos via ciberataques. Nesse caso, o software criminoso invade o computador e capta dados sensíveis, tais como informações de identificação pessoal e registros bancários.
Com esses dados em mãos, os hackers conseguem acesso à rede corporativa. Vale destacar que o ransomware é um dos tipos de malware mais comuns em ataques contra empresas.
Aqui, o processo de conscientização deve envolver orientações como:
- não baixar softwares ilegítimos ou não-oficiais;
- manter a cautela acerca dos e-mails recebidos e dos arquivos encontrados em sites suspeitos;
- verificar se o programa de antivírus está funcionando corretamente, assim como a frequência de atualizações;
- notificar a TI rapidamente caso haja suspeita de infecção por malware no computador.
A capacitação da equipe acerca das boas práticas de cibersegurança é crucial para potencializar as defesas empresariais contra a ação hacker, prevenindo desastres de tempo de inatividade, perda de dados, rombos financeiros e penalidades legais.
Esperamos que tenha gostado do conteúdo! Para aprofundar seus conhecimentos no assunto, confira também nosso guia de treinamento em segurança da informação nos negócios!
FONTE: Phishing.org.uk
Créditos da imagem de destaque: freepik