This post is also available in: Português

Empresas investem cada vez mais recursos em itens de segurança, principalmente itens associados a segurança física dos seus ambientes. Alarmes, centrais de monitoramento por vídeo, portaria eletrônica, vigilância, são apenas alguns exemplos de itens comummente encontrados nestes ambientes, tudo isso para preservar a integridade de colaboradores e do patrimônio da organização.

Em contra partida é fato que em muitos casos este zelo não é aplicado em se tratando de investimentos para manter a segurança digital da empresa.

O ano de 2021 foi marcado por concentrar a maior quantidade de ciberataques da história, sendo que a maioria dos malwares foi disseminado através de estratégias de phishing, focadas em e-mail, para disseminação de ransomware.

Segundo uma análise divulgada pela empresa Akamai, em 2019 houve 238 milhões de ataques de roubo de credenciais, enquanto em 2020 o número ultrapassou 2.9 bilhões.

Já em 2021, foram 3.7 bilhões de ataques, um aumento de 1452% em relação a 2019. E estamos falando apenas de um dos tipos de ciberataques.

Por conta dos modelos de trabalho híbridos e remotos, dispositivos e aplicações utilizados no trabalho não se limitam mais ao espaço físico da empresa, o que abre margem para que os cibercriminosos apliquem diversos ataques.

Uma pesquisa da Kaspersky mostra que 90% dos funcionários que trabalham em home office, cometem erros de cibersegurança acreditando que estão certos. Na maioria das vezes, quando um participante apresentava uma resposta errada, ele continuava acreditando havia tomado a atitude correta.

Mas os erros cometidos em cibersegurança não acontecem apenas com funcionários em home office, muitas empresas acreditam estar fazendo o certo, quando na verdade estão errando e acreditando estar seguros.

A equipe de TI é, geralmente, a responsável por manter a organização segura e protegida. Ou seja, livre de ameaças e vazamentos. Porém, como em toda profissão, os profissionais podem cometer erros.

Uma falha de segurança pode causar prejuízos enormes e variados, desde o bloqueio de todo um sistema devido a uma infecção por ransomware até uma transferência eletrônica devido a um golpe de spear phishing.

Continue a leitura e descubra quais erros sua empresa e colaboradores podem estar cometendo que podem comprometer a cibersegurança e saiba como evita-los.

Não realizar um controle de acesso à internet

O uso da internet em ambiente corporativo deve ser orientado por regras mínimas, aderentes às necessidades de cada negócio. Isso porque, o uso inadequado da internet pode trazer danos, muitas vezes irreversíveis para a organização. Problemas associados a segurança do dado corporativo, disponibilidade do recurso de internet e produtividade dos colaboradores, são exemplos que motivam tal preocupação.

Muitas empresas dão liberdade para que seus funcionários façam uso da internet, sem nenhum tipo de restrição, com base em uma relação de confiança, onde o bom senso é o único responsável pela gestão deste ativo. Contudo, esta relação pode ser abalada, quando uma das partes deixar de cumprir suas obrigações, colocando em risco a estrutura de dado, e imagem, corporativa.

Quando se trata do mau uso da internet, os perigos surgem pela falta de controles de segurança. Existem ameaças em anúncios, redes sociais, e-mails e links. Diariamente são lançados vírus pela web, de diversas formas e maneiras. Um click errado pode ser fatal em situações como essas.

Mediante ao cenário de números cada vez maiores de ameaças virtuais é importante investir em processos e soluções de segurança, que possam auxiliar na implementação de uma estratégia eficiente.

Para estabelecer controle sobre os sites acessados pelos colaboradores da empresa os profissionais de tecnologia podem optar por soluções de segurança que possuam o recurso de filtro de URLs (também conhecido como filtro de conteúdo web), normalmente presente em firewalls UTM e NGFWs.

De forma direta, esses filtros auxiliam os analistas a trazer conformidade entre a política estabelecida e o dia a dia na organização.

Usar senhas frágeis

O uso de senhas frágeis possivelmente é um dos grandes fatores que podem colocar em risco a estratégia de segurança de uma empresa. Pouco adianta criar um arsenal de segurança robusto, quando as credenciais de acesso a sistemas críticos são seguem padrões rigorosos de segurança.

Senhas fortes são aquelas com considerável extensão, mais de 12 caracteres, e que incluem letras maiúsculas, minúsculas, números e caracteres especiais, caso a aplicação permita. Ainda assim, não devem formar nomes, sobrenomes ou palavras de fácil dedução, que podem ser decodificadas mais rapidamente.

É importante também adotar o conceito de rotação de senhas, para que as mesmas sejam substituídas de tempos em tempos. Esta ação dificulta ainda mais a ação de cibercriminosos.

São dicas altamente relevantes, mas que não são adotadas pela maior parte dos colaboradores e profissionais de tecnologia, pois exigem maior esforço para a gestão. De todo modo, é importante salientar que existem ferramentas especializadas para facilitar esta atividade, tal como apresentado a seguir.

Gerenciadores de senhas

Os gerenciadores de senhas são uma maneira fácil e segura para manutenção das credenciais de acesso dos mais variados tipos. Com os gerenciadores os usuários precisam lembrar de apenas uma senha para liberar acesso a todos os outros aplicativos cadastrados na ferramenta.

Existem três categorias de gerenciadores de senhas: aqueles que armazenam senhas na nuvem, os que salvam as senhas localmente e os que funcionam diretamente em navegadores.

Seja qual for a solução, é recomendável utilizar autenticação de dois fatores e o uso de senha “mestre”, seguindo padrões rígidos de segurança, uma vez que os gerenciadores de senhas armazenam inúmeras credenciais de acesso. Vale lembrar que em alguns casos estas soluções concentram outras funcionalidades de autenticação, que em mão erradas podem trazer sérios problemas para os usuários e empresas.

Não utilizar cofre de senhas

Em geral, a equipe de TI é responsável pelo gerenciamento, compartilhamento e acompanhamento das informações associadas às credenciais de acesso. Estes devem seguir critérios sólidos de segurança para evitar que, mediante o comprometimento da credencial, sejam reduzidos os impactos no ambiente, e minimizadas as chances de escalada de privilégios na estrutura e ou aplicações.

O cofre de senhas possui recursos que facilitam a gestão dos acessos e aumentam a segurança das informações. Alguns deles podem gerenciar todas as atividades realizadas, como os horários de acesso, o equipamento que foi usado e as interações com o sistema. Tudo isso de acordo com níveis de confidencialidade e hierarquia.

Como a maioria dos funcionários precisa acessar algum tipo de aplicação/recurso para realizar suas atividades operacionais, é importante ter um processo robusto de gerenciamento de senhas para manter as contas seguras.

Logins de funcionários são um ponto particular de vulnerabilidade em qualquer operação, e o gerenciamento eficaz destes acessos é um passo importante para tornar esses pontos de acesso menos frágeis.

Acreditar que a autenticação multifator impede invasões

Apesar da autenticação multifator ser um forte impeditivo para uma invasão cracker, ela não garante toda a segurança ao usuário.

Os cibercriminosos aperfeiçoam seus golpes diariamente, conseguindo interceptar o envio dos códigos de segurança e até mesmo usando estratégias de engenharia social para induzir usuários ao repasse espontâneo de código de verificação de segurança.

Portanto, é muito importante e recomendável utilizar esse método, mas não limitar a segurança digital a aplicação deste recurso. Deve-se assumir que esse é um trabalho que exige constante melhoria, e é o primeiro passo para resolver ou até mesmo evitar um problema que pode se tornar uma grande dor de cabeça no futuro.

Estrutura e aplicações desatualizadas

As atualizações de softwares existem para corrigir erros e prover melhorias. Quando um software, aplicativo ou hardware notifica uma atualização, usuários e especialistas em tecnologia devem ficar atentos. Na grande maioria das vezes, é porque foram identificados problemas, inclusive de segurança, e eles foram devidamente ajustados.

Além disso, os aplicativos de software como serviço (SaaS), modelos de trabalho remotos e a Internet das Coisas (IoT) aumentaram drasticamente a superfície de ataque potencial. E para combater estas ameaças, é preciso um monitoramento contínuo para garantir que todas os recursos críticos para o negócio estejam devidamente atualizados.

Acreditar que a VPN garante a cibersegurança

As VPNs (redes virtuais privadas), que antes eram projetadas apenas para casos excepcionais das empresas, passou a ser altamente exigida.

A VPN fornece uma conexão segura entre dois pontos confiáveis, porém, se um desses pontos estiver infectado com malware, ele poderá servir como uma ponte e entregar o malware à rede corporativa e, assim, se espalhar rapidamente pela estrutura da empresa.

Portanto, a orientação é investir em outros recursos de segurança para garantir que a empresas esteja plenamente protegida.

Não se ver como um alvo

Talvez esse seja o maior erro das empresas quando o assunto é segurança cibernética: achar que não é um alvo potencial para os cibercriminosos.

Nos dias atuais existem diversas modalidades de ataques, cada qual focada em um tipo específico de vítima. Os ataques “oportunistas”, são aqueles que não possuem um alvo definido, atingindo principalmente empresas que possuem algum tipo de fragilidade em sua estrutura de segurança digital. Esta modalidade divide espaço com os ataques direcionados, que são ações focadas em uma vítima específica.

Entender que toda empresa pode ser alvo de um ataque virtual e também ter o discernimento que o impacto do ataque está intimamente ligado a estrutura de segurança implementada na empresa, é de suma importância para os gestores e profissionais de tecnologia.

Confiar que está seguro apenas porque usa antivírus

Sim, o antivírus é uma ótima ferramenta para a segurança para o end-point (computadores, notebooks etc). Inclusive é extremamente necessário e recomendado que empresas optem por produtos robustos e licenciados, garantindo sua atualização e eficiência com o passar do tempo. Vale lembrar que o antivírus é um “item de segurança básico”.

Porém, se a empresa escolhe usar apenas o antivírus como ferramenta de proteção, estará concentrando esforços em uma única camada de segurança, sendo que uma estratégia de segurança digital coerente deve atuar é uma série de outras camadas.

Leia o conteúdo sobre as 7 camadas de segurança digital e aprimore sua estratégia de segurança.

Não realizar treinamentos de segurança cibernética

Um erro muito comum que as empresas cometem quando o assunto é cibersegurança é não realizar treinamentos para funcionários da empresa.

É importante lembrar que a falha humana ainda é responsável pelo sucesso de muitos ataques, como quando um colaborador cai em um golpe de phishing, por exemplo, e clica em um link malicioso.

Mesmo quando a equipe de TI está preparada para uma ameaça, não quer dizer que o restante dos colaboradores também estejam.

É preciso realizar treinamentos frequentes com todos os setores da empresa, permitindo que as falhas e dúvidas mais básicas sejam sanadas. Os tópicos devem abranger as principais táticas utilizadas por cibercriminosos na tentativa de obtenção de dados sigilosos, para a aplicação de golpes.

Funcionários treinados ajudam a manter a empresa segura e funcionando. Por isso, é muito importante investir em treinamentos para fazer dos colaboradores parte integrante da estratégia de segurança.

Não realizar testes de segurança

É essencial que os sistemas e as ferramentas utilizadas pela empresa sejam sempre testados. Primeiro, porque os testes de segurança ajudarão gestores de tecnologia a entender os pontos de maior vulnerabilidade dentro da empresa. Segundo, porque os testes podem validar processos.

Existem maneiras de ajudar a empresa a analisar sua segurança, como realizar uma análise de vulnerabilidade, que trata do processo de identificação de vulnerabilidades presentes na estrutura tecnológica de uma empresa – independente do seu porte ou segmento -, que acabam expondo-a a ameaças.

Neste processo, são considerados sites e aplicações web, aplicativos móveis, redes wireless, rede interna e externa, entre outros. Qualquer sistema e infraestrutura que manipule ou trafegue dados está sujeito a alguma vulnerabilidade.

A análise de vulnerabilidade encontra falhas que podem ser exploradas com o objetivo de causar prejuízos para a organização, seja em razão de uma falha de funcionamento ou pela ação de um cibercriminoso.

Ela realiza um mapeamento de todos os sistemas que possam conter vulnerabilidades, delimitando esses resultados a partir de relatórios gerenciais e técnicos.

Tendo todos os dados mapeados, é possível atenuar as possíveis vulnerabilidades que foram encontradas, proporcionando maior segurança ao ambiente em questão.

É importante ressaltar que a análise de vulnerabilidade não tem o objetivo de remediar sinistros de segurança digital. Busque por recursos que elevem a segurança digital na empresa, seja através de iniciativas internas, ou prestadores de serviços especializados.

Precisando de auxílio para execução da Análise de Vulnerabilidade em sua empresa? Conheça o serviço oferecido pela OSTEC com foco em análise de vulnerabilidades e conte com a experiência de especialistas certificados para realização desta atividade.

Se ainda possui dúvidas sobre o tema, fique à vontade para contatar um de nossos especialistas.

This post is also available in: Português