A proteção de dados sensíveis e a manutenção de práticas sólidas de cibersegurança tornaram-se primordiais para empresas de todas as dimensões, prevendo-se que os custos globais da cibercriminalidade atinjam 13 biliões de dólares nos próximos cinco anos. Para ajudar as empresas a fortalecer as suas defesas digitais, eis seis erros de cibersegurança a evitar:
- Não se esqueça do seu sistema telefónico
Com as soluções de telefonia VoIP na nuvem, os funcionários podem aceder à extensão da empresa a partir dos seus telemóveis, utilizando aparelhos VoIP ou softphones de browser. Isto significa que estão ligados onde quer que estejam, através de um computador ou de um telemóvel.
No entanto, esta mobilidade e acessibilidade também trazem riscos de segurança, diz o CTO da Euphoria Telecom, Nic Laschinger. “Isto tem de ser mitigado na sua rede, assegura que tem uma segurança de dados melhorada – firewalls, antivírus, anti-malware, etc. – e verifica se o seu fornecedor também o faz.”
O seu fornecedor de telefonia pode encriptar os dados de voz e as informações de encaminhamento, com o uso de algoritmos e chaves de encriptação fortes para proteger as informações contra espiões (que querem ouvir as suas chamadas) e roubo de dados. O IPSec é a norma da indústria utilizada para proteger as comunicações na Internet.
- Não trabalhe às cegas
Tony Walt, cofundador e diretor da empresa de software de cibersegurança Port443, afirma que muitas organizações ficam tão presas aos pormenores dos seus sistemas de segurança que não veem o panorama geral.
“Um grande erro que muitas organizações cometem é ver as métricas críticas, os alertas e os incidentes em todo o património das TICs (nuvem, rede, segurança) de forma isolada. Uma pequena alteração numa área pode ter consequências imprevistas noutra área. Por isso, é fundamental ter visibilidade de todo o património”, explica.
As empresas que utilizam fornecedores de sistemas que não oferecem monitorização em tempo real e relatórios sobre o tempo de inatividade, eventos de segurança e outros incidentes, perdem esta visibilidade crítica, diz Charlotte Koep, COO da plataforma insurtech Root.
“O tempo de inatividade e as vulnerabilidades das plataformas têm impactos comerciais importantes para as empresas. O sector dos seguros, por exemplo, é um espaço altamente regulamentado que lida com resmas de dados pessoais todos os dias. As seguradoras precisam de ser capazes de monitorizar e responsabilizar os fornecedores de serviços em nuvem.
“Isto conduz frequentemente a relatórios e monitorização manual e complicada de KPIs e SLAs, ao paço que os fornecedores de plataformas de nuvem da próxima geração são capazes de fornecer monitorização e visibilidade em tempo real e viradas para o público”, afirma Koep.
- Não utilize sistemas manuais
Walt diz que tentar distinguir manualmente os “alarmes” oferecidos pelo seu software de monitorização de segurança consome muito tempo e pode deixar as empresas expostas a cibercriminosos.
“Esperar que o pessoal de TI, faça uma distinção rápida e exata entre verdadeiros positivos, falsos positivos, falsos negativos e verdadeiros negativos não é eficiente nem seguro. Com o aumento absoluto do volume de incidentes de comprometimento, a automatização é uma necessidade”, explica Walt.
- Não se esqueça dos seus portais administrativos
Judy Winn, diretora de segurança da informação da Peach Payments, afirma que as empresas se esquecem frequentemente de proteger os seus portais administrativos e sistemas de apoio com práticas de autenticação fortes.
“Isto inclui palavras-passe fortes, boas políticas e práticas de gestão do acesso dos utilizadores e a ativação da autenticação de dois fatores sempre que esta é oferecida pelos sistemas”, afirma.
- Verifique com os seus parceiros e fornecedores
Winn afirma que as empresas devem esclarecer com os seus fornecedores e parceiros quem é responsável. Os retalhistas em linha, por exemplo, têm de confirmar o que é da responsabilidade dos seus diferentes fornecedores de tecnologia, como o portal de pagamento, os fornecedores de alojamento de sítios Web e os programadores de sítios Web.
“Verifique também com os seus fornecedores quais os controlos e medidas de segurança que oferecem por inerência e quais as medidas de segurança adicionais disponíveis ou recomendadas”, sugere Winn.
Koep sugere que as empresas utilizem fornecedores de tecnologia de confiança que possam demonstrar a existência de controlos de segurança estabelecidos e, sempre que possível, auditados ao abrigo de uma norma reconhecida como SOC2, ISO3000 e outras semelhantes.
- Forme os seus empregados – e a sua direção
“As empresas têm de se certificar de que todos os seus funcionários estão cientes de potenciais ataques de phishing, engenharia social e outros ataques cibernéticos que os possam estar a atingir”, afirma Winn.
Koep diz que as empresas não podem assumir que a terceirização para a nuvem transfere a responsabilidade pela segurança para o provedor de nuvem terceirizado.
“Continua a ser necessário garantir a existência dos seus próprios controlos internos. Certifique-se de que o seu pessoal protege as suas credenciais, tem formação sobre segurança e privacidade e não introduz vulnerabilidades nos seus sistemas ou nos do seu fornecedor de tecnologia”, adverte.
“Os dados mostram que cerca de 80% das violações registadas atualmente incluem um elemento humano, como a utilização indevida de privilégios, a engenharia social e o roubo de nomes de utilizador e palavras-passe.”
E se pensa que a formação só é necessária para o pessoal de nível inferior, pense novamente. Walt observa que os conselhos de administração e a direção são responsáveis (e podem ser responsabilizados pessoalmente) por violações que afetem a empresa, os seus clientes e fornecedores.
