#CyberAware | Dicas sobre cybersegurança para seus negócios
6 de outubro de 2016#CyberAware |
Este mês os USA estão comemoram o Mês do Alerta Nacional da Cybersegurança (National Cyber Security Awareness Month – NCSAM) com a Aliança Nacional da Cybersegurança.
Por esta razão, pretendemos compartilhar as dicas da Globalsign sobre como manter a cybersegurança pessoal e dos seus negócios e esperando que, com isso, possamos juntos, criar uma corrente de conscientização para tornar a internet cada vez mais segura também aqui no Brasil.
Todos os dias, ao longo deste mês apresentaremos dicas segurança cibernéticas usando a hashtag #CyberAware e postadas na nossa página CryptoID e no grupo do Facebook.
Siga-nos! Fique ligado nos posts e compartilhe as nossas mensagens!
A maior vantagem da internet é o fato de que permite a comunicação livre entre as pessoas e em todos os lugares do mundo. Mas, com o crescimento do acesso wi-fi para todos os dispositivos, estes também ficam conectados à internet e transferem dados dentro de uma rede. Essa conectividade é incrível, mas a desvantagem é que cada indivíduo conectado à internet do planeta tem suas próprias redes e seus próprios dados que podem ser vítimas de roubo por hackers.
Por esta razão, acreditamos que a melhor opção é a sensibilização dessas vulnerabilidades e educação do público em geral sobre como manter-se seguro e como tomar medidas para prevenção contra-ataques cibernéticos.
Em conjunto com a Globalsign acrescentaremos diariamente as dicas neste post!
Como você fala sobre outros on-line diz muito sobre quem você é. Você pode ter problemas com a lei ou mesmo se abrir para o roubo ou pirataria através de seus posts. Você pode ser monitorado através do que você responde online. Se você postar, por exemplo, que vai sair de férias por uma semana pode ficar vulnerável para um assalto uma vez que não é tão difícil conseguir o seu endereço na internet. Você também deve ter cuidado com seus comentários na internet para não quebrar os No Disclosure Agreement – NDA de seus contratos e outros acordos que você possa ter assinado no seu trabalho ao divulgar informações pessoais ou sobre os outros, ou até difamá-los publicamente, sem nenhuma prova.
Para manter seu negócio seguro on-line, você deve realizar uma auditoria de todos os dados e identificar quais dados podem ser informação pública e portanto não precisam ser vigiados de perto. Os dados que tem uma importância média e não terá grande impacto sobre seus negócios caso seja descoberto, mas que devem ser aplicadas algumas medidas de segurança para protegê-lo. E, finalmente, quais dados são realmente importantes para o seu negócio. A última categoria de dados irá afetar os seus negócios se perdido ou roubado e devem ser guardados com a maior segurança e com controle de acesso restrito aos funcionários de sua empresa.
Autenticação é o ato de confirmar uma identidade (seja um usuário, máquina ou dispositivo) comparando credenciais previamente fornecidas versus um banco de dados existente de identidades autorizados antes de permitir acesso a um determinado sistema ou aplicativo. Por exemplo, pense em inserir seu nome de usuário e senha antes de ter acesso a sua conta de e-mail. No entanto, em vez de depender de senhas somente, que tem se mostrado cada vez menos confiáveis, recomendamos o uso de múltiplos fatores para o processo de autenticação. Os fatores de autenticação incluem algo que sabe (por exemplo, nome de usuário/senha,) respondendo a pergunta de segurança, algo que você tem ( por exemplo, certificação digital, cartão inteligente) e alguma característica pessoas, por exemplo, (impressão digital, reconhecimento facial).
Os sites que tem certificado SSL/TLS instalado em seus servidores tem o HTTPS. Este certificado encripta todos os dados transmitidos do navegador para o servidor, toda a informação que é enviada através do site ou o conteúdo da página da WEB e protege seus dados de programas de intercepção, por exemplo, mal intencionadas, vigilância de governo entre outros. Os Certificados SSL pode também vincular sua marca a sua página na web ajudando visitantes a saber que seu site é realmente aquele, ou seja, não é um site de phishing. EV SSL deixa isto muito claro porque torna a barra de endereços verde ao exibir o nome da sua empresa.
Senha Forte: ’34bGUI7&89@))’. Senha Fraca: <> Muitos hackers vendem os dados que eles hackeam na rede. Isto pode ser feito com milhares ou milhões de pessoas e com suas senhas. Se você estiver usando a mesma senha para todas as contas não será difícil para um hacker obter acesso a todas as suas contas. Um hacker também pode usar “força bruta” para descobrir sua senha. Isto será muito mais difícil se a senha é mais longa e contém mais variedade e não apenas soletrar algumas palavras. Use em gerenciador de senhas para garantir que você não vá esquece-las.
Hackers estão sempre procurando vulnerabilidades em softwares que as empresas usam. Isto pode ser tão simples como encontrar um caminho para sua rede Windowns. As empresas de software trabalham duro para criar patches e atualizações que corrigem estas vulnerabilidades, por isso é importante atualizá-los, assim que estiver disponível.
Faça backup dos dados regularmente para garantir que se houver qualquer perda de dados ou roubo, arquivos poderão ser recuperados. Você deve sempre fazer backup de seus dados em um local diferente para que os hackers não possam acessar ambas as áreas.
Os firewalls são projetados para impedir o acesso não autorizado a uma rede privada. É criado um conjunto de regras de firewall para dar permissão e bloquear determinados acessos. Um bom firewall deve monitorar os dados de entrada e os dados de saída.
Algumas empresas permitem que seus funcionários usem seus telefones celulares pessoais para conduzir os negócios. É ótimo para os negócios porque aumenta a produtividade e a eficiência, mas deixa as empresas vulneráveis ao ataque uma vez que estes telefones particulares acessam a rede corporativa sem a devida proteção. Portanto, a definição de uma política clara ajuda a educar os funcionários sobre o uso da tecnologia móvel e como minimizar o risco de um ataque.
Uma estratégia de resposta aos incidentes faz com que sua empresa mesmo sendo atingida por um ataque tenha solução para os efeitos deste ataque.
Você nunca pode ter certeza que é 100% seguro, por isso é sempre melhor ter um plano B caso você seja vítima de um ataque cibernético. Isto irá garantir que se você for atacado poderá responder em tempo hábil para impedir que os atacantes peguem dados sensíveis ou até que você possa alertar a terceiros ou os clientes antes que o ataque seja maior que o esperado.
Você também deve definir os responsáveis por liderar este plano de resposta, devem ser profissionais capazes de lidar bem com situações de crise.
Todos os funcionários devem ser treinados sobre o uso de senhas. E os treinamentos devem incluir formação em:
• Certificar-se de que os empregados não gravem senhas em locais onde eles podem ser roubados;
• Garantir que os funcionários não compartilhem as senhas em qualquer comunicação on-line, a menos que a comunicação seja criptografada;
• Ter na política de RH o uso de senha forte e uso de gerenciador de senhas para todos os funcionários;
• Certificar-se de que o funcionário não reutilize as mesmas senhas para vários aplicativos da empresa através de dispositivos de bloqueio de senhas anteriores instalados nos seus servidores.
Os empregados utilizam a rede corporativa para fazer buscas de assuntos pessoais ou para empresa, de vez em quando.
Antes de navegar em qualquer site, eles devem estar sempre atentos para o cadeado e o HTTPS na barra de endereço. Se o site estiver desprotegido, eles não devem navegar.
Nota: É importante também conscientizar os funcionários sobre sites de phishing (Veja dica 15 abaixo) porque tem ocorrido alguns poucos casos de sites de phishing usando certificados SSL de domínio validado (DV) para fazer seus sites parecer mais “real” e “confiável”.
O email continua a ser um ponto fraco na segurança cibernética, com ataques de phishing e quebra/perda de dados sendo duas das maiores ameaças. Você deve procurar uma solução de email seguro capaz de cifrar as mensagens em trânsito e em repouso, com a capacidade de verificar a origem da mensagem, tornando fácil para os empregados a detecção de emails falsificados e evitando a queda no phishing. A facilidade de uso para os usuários finais é outro fator importante a considerar.
Com todas as estratégias de mudança de toda a empresa, a liderança sênior deve ser o primeiro a considerar esta nova situação. Se a liderança demonstrar que está aberta e aderindo as mudanças, o resto da empresa os seguirão.
Realizar testes de simulação de phishing na sua empresa para testar a consciência do empregado. Isto deve ser feito antes e após o treinamento, a fim de medir a melhoria seus funcionários estão fazendo.
A empresa deve ter sempre uma pessoa responsável por assegurar que o plano de resposta a incidentes está sendo seguido, ao mesmo tempo, deve ter uma equipe para implementar o plano de resposta rapidamente, por exemplo, um relações públicas para liberar as comunicações e um comercial para explicar o plano para com os clientes.
Dependendo do tamanho da sua organização e o tamanho do ataque, a empresa deve assegurar que as pessoas corretas estão prontas para dar as respostas.
Uma análise interna de ameaça interna vai demonstrar quaisquer ameaças potenciais à sua infraestrutura de TI que vêm de dentro de sua organização. A ameaça pode vir de qualquer parte, tanto de funcionários e ex-funcionários para empreiteiros, fornecedores, fornecedores de dados terceiros ou associados.
Certifique-se de que a empresa está preparada para responder com rapidez e eficiência quando você se depara com um cyber ataque. Divulgue, amplamente, o plano de ação para sua organização e tenha alguém encarregado de assegurar que o plano será realizado.
O plano determina que você deve informe ao seu superior tão logo saiba de uma violação ou ataque. O Estado deve fazer parte da hierarquia de comunicação por meio de um funcionário da empresa que responda, indiretamente a uma entidade governamental. Todos os potenciais afetados pela violação devem ser comunicados, incluindo clientes, fornecedores e funcionários.
Manter os funcionários cientes do plano de resposta e a todos os fatos relacionados aos incidentes vai ajudar a lembrá-los de suas responsabilidades de manter a confidencialidade e minimizar o risco de vazamento de informação para fontes externas.
Após qualquer resposta a violação e incidente, uma vez que a empresa tem certeza de que não está mais sendo hackeada e pode voltar ao funcionamento normal, deve realizar uma revisão geral nos procedimentos. A revisão deve fazer com que seja discutido o seu plano de resposta a incidentes e decidir se vai precisar fazer quaisquer ajustes ao plano com base nos erros passados.
Deve, também, estabelecer que a área de TI faça as mudanças necessárias nas áreas de operações ou comunicações, a fim de garantir que as mesmas vulnerabilidades não sejam exploradas novamente.
Não é porque a empresa investe tempo e recursos em uma estratégia de segurança cibernética que está 100% segura de seus sistemas. Existe sempre uma nova vulnerabilidade ou uma potencial falha na rede para explorar.
É preciso assumir que há sempre um caminho novo para os hackers entrarem.
As apólices de seguro padrão normalmente não cobrem a perda de dados; portanto a empresa deve ser coberta por um cyber seguro, principalmente que esteja coberta caso tenha algum tempo de inatividade.
Além disso, você pode incluir no seguro os dados de terceiros ou gastos com cumprimento de regras e notificação de violação.
Como as empresas desenvolvem sistemas cada vez mais eficientes e produtivos, que se conectam a vários dispositivos e sensores em conjunto e que compartilham dados – isso é chamado de uma infraestrutura de Internet das Coisas.
Nesta infraestrutura cada “coisa” precisa de uma identidade. Com uma identidade forte única, as “coisas” podem ser autenticadas quando eles estão no mundo online, garantindo uma comunicação segura e criptografada entre outros dispositivos, serviços e usuários.
Da mesma forma que a empresa garante que todos os seus dados mais importantes só são acessíveis através de autenticação “forte” (veja a dica 3), deve garantir que a sua infraestrutura do negócio também seja acessível somente através de autenticação “forte”.
Se você trabalha em um banco, você requer vários pontos de acesso para sua segurança; no acesso online funciona da mesma forma. O aspecto mais importante a ser considerado é limitar o acesso à sistemas críticos apenas para usuários privilegiados, e sempre baseado na hierarquia das funções.
Existem muitos hackers em todo o mundo que não querem roubar seus dados ilegalmente e vendê-los online. Ao contrário, eles querem ajudar o mundo. São conhecidos como “hackers do bem” e cada organização deve ter um para combater os hackers ” chapéu preto “.
Como diz o ditado, combater o fogo com fogo!
À medida que nossas tecnologias melhoram, a nossa estrutura de dados fica cada vez mais complexa e para manter os dados bem geridos e evitar qualquer roubo, a empresa deve conhecer, em detalhes, a estrutura de dados e o seu fluxo a partir da fonte para o ponto final ou usuário.
A nuvem é uma ferramenta útil, especialmente, para pequenas e médias empresas que desejam terceirizar a proteção de seus dados para uma empresa maior. É importante garantir que você avalie todas as opções de mercado de provedor em nuvem. Certifique-se de que o provedor escolhido mantenha as suas informações em datacenter seguros e com infraestrutura robusta, mas que seja de fácil acesso.
Sua rede corporativa de TI não deve ser acessível a todos, a partir de um único ponto, mesmo que este ponto tenha autenticação “forte”. A segmentação da rede dificulta a um hacker controlar tudo através do mesmo acesso. Você deve separar seus sistemas por importância ou por criticidade para o seu negócio.
Mantença sua rede mais crítica com segurança mais forte!
Na maioria dos negócios existem as melhores práticas e padrões que devem ser seguidas para ter uma implementação básica de segurança cibernética, por exemplo para o setor de energia, o NIST Cybersecurity, para a indústria automotiva, Melhores Práticas Cibernéticas para o Framework Automotivo e, para a indústria de cartões de pagamento há PCI DSS. É importante se manter atualizado com as novas regulamentações e garantir que você está evitando quaisquer sanções para o negócio.
Nosso último conselho é manter-se atualizado com as últimas melhores práticas de segurança, operadores, fornecedores e tecnologias. Esteja preparado para atualizar software, usando novas ferramentas e tecnologias para manter sua infraestrutura de segurança on-line.
Com essas 31 dicas de segurança cibernética para os negócios esperamos que sua empresa tenha compreendido a importância de ficar atualizado sobre a segurança do negócio, sabendo que uma ameaça pode muito provavelmente vir de dentro da organização e não de fora. E, por fim, sempre assumir que pode ser alvo de um potencial ataque, portanto deve estar preparado para o inevitável.
Quer ficar ligado em mais notícias sobre CyberSecurity? Acompanhe o LinkedIn da Globalsign!