Guia para pequenas empresas sobre segurança cibernética

O mundo mudou e as empresas precisaram se adaptar rapidamente a uma nova forma de trabalho.

Empresas que não tinham nenhuma política de home office, tiveram que se adaptar rapidamente para que seus funcionários pudessem continuar a trabalhar, mesmo que remotos.

Se uma empresa grande e com recursos, esse movimento foi um grande desafio, imagine para um pequena empresa?

E todo esse movimento trouxe ainda mais um outro problema que muitos não se preocuparam na hora de disponibilizar o home office, que é a segurança da empresa. Especificamente, a segurança cibernética.

Falamos sobre as maiores ameaças de segurança no home office em outro artigo. Já neste artigo, quero disponibilizar um guia rápido e simples, para que as pequenas empresas saibam quais os principais pontos que devem se preocupar para manter sua rede protegida.

Para criar este artigo, tomei como base as recomendações do relatório Cyber Security: Small Business Guide, do National Cyber Security Centre do Reino Unido.

Continue a leitura e entenda os 05 passos para proteger a sua empresa.

Porque segurança cibernética é tão importante, mesmo para uma empresa pequena?

É comum ver muitos gestores de pequenas empresas, não se preocuparem com a questão da segurança do seu ambiente de TI.

É compreensível este tipo de comportamento.

Muitos acreditam que são pequenos demais para serem interessantes para um ataque por criminosos digitais. Já outros, acreditam que para proteger a sua empresa é necessário recursos muito avançados e caros.

Para os que ainda acreditam que são pequenos demais para sofrer um ataque, estatísticas recentes mostram que 58% das empresas que foram vítimas de algum ataque estão na categoria de pequenas empresas.

O processo para proteger a estrutura de TI da empresa pode ser simples e mais barato do que muitos imaginam.

É importante que a empresa faça pelo menos o básico para diminuir as chances de sofrer algum tipo de ataque ou infecção.

Uma boa idéia é seguir os controles básicos de segurança da CIS Controls.

Os controles básicos de segurança são os em azul claro.

Em tradução livre, os controles básicos são:

  • Inventário e controle dos ativos de hardware.
  • Inventário e controle dos ativos de software.
  • Gerenciamento continuo de vulnerabilidades.
  • Controle do uso de privilégios administrativos.
  • Configuração segura para hardware e software dos dispositivos móveis, notebooks, computadores e servidores.
  • Manter, monitorar e analisar os logs de auditoria.

Agora vamos aos 05 passos do nosso guia para pequenas empresas se manterem seguras.

Passo 01 – Faça backup dos seus dados

Pode parecer óbvio, mas muitas empresas não se preocupam de verdade com o backup dos seus dados. Até fazem backup, mas não testam e nem seguem outras boas práticas recomendadas.

Sempre é importante reforçar, o backup é sua última camada de proteção. Quando tudo falhar, você precisa ser capaz de restaurar o seu backup o mais rápido possível e com a menor perda de dados possível.

O primeiro passo é levantar todos os dados que são importantes para empresa.

Banco de dados de sistemas, servidores de arquivo, servidores de email, outros serviços, etc.

Depois que tem um inventário de todos os dados que precisa garantir a recuperação, avalie como você faz backup deles hoje em dia, se é que faz algum backup.

Se o seu backup é somente fazer uma cópia para um pen drive ou disco externo, então me desculpe, mas o seu backup não é confiável.

Vírus como os do tipo Ransomware, quando infectam uma máquina, podem infectar imediatamente todos os dispositivos conectados a eles. Se você só conta com o backup que tem no disco externo que está conectado no seu servidor, caso ele também seja criptografado, você não tem como se recuperar.

Garanta que a sua solução de backup consiga fazer uma cópia dos dados para um ambiente externo ao da sua empresa. Nestes casos, as opções de nuvem são ótimas por oferecer uma opção mais barata para armazenamento externo seguro.

E por fim, não adianta configurar o backup e deixar ele esquecido. Crie uma rotina de gerenciamento, verificando diariamente a execução dos jobs, tratando os erros e testando o restore de tempos em tempos.

Falamos mais sobre soluções de backup para servidores neste artigo.

Passo 02 – Proteja sua organização contra vírus.

Também já falamos em outro artigo sobre antivírus para empresas, mas em resumo o que podemos reforçar é:

  • Não use soluções de antivírus para uso doméstico na sua empresa. Somente soluções de antivírus corporativo oferecem ferramentas para gerenciamento dos endpoints.
  • Prefira os fabricantes já conhecidos e bem avaliados nos testes independentes. Fuja dos antivírus chineses.
  • Prefira as versões de antivírus que oferecem o gerenciamento através de uma console na nuvem. São mais simples de implantar e gerenciar.
  • Proteja os dispositivos móveis que acessam a sua rede.
  • Muitos fabricantes de antivírus oferecem soluções de CASB, gerenciamento de patches, controle de web e outros recursos, pagando somente um pouco a mais. Opte pela versão que oferece esses recursos e implante-os.
  • Bloqueie ou limite o uso de dispositivos USB.

Passo 03 – Mantenha seus dispositivos móveis seguros

Os smartphones passaram a ser uma ferramenta essencial para o nosso trabalho no dia-a-dia.

Se a sua empresa tem smartphones, aproveite a compra do antivirus corporativo e questione seu fornecedor, se a solução escolhida oferece alguma solução para gerenciamento desses dispositivos.

É importante garantir que sua empresa conseguirá bloquear o dispositivo caso ele seja perdido ou roubado.

Garanta que ele esteja sempre atualizado e que seus funcionários não consigam baixar aplicativos a não ser das lojas oficiais.

Oriente seus colaboradores para não conectarem em redes wifi públicas. Prefiram sempre usar o seu 4G.

Passo 04 – Proteja seus dados com senhas

Seus computadores, notebooks e smartphones tem uma quantidade grande de informações delicadas da empresa.

Com a LGPD esse assunto ficou mais crítico, pois é bem comum que tenham dados pessoais de clientes, por exemplo.

Implante criptografia nos discos. O Bitlocker do Windows é uma ferramenta muito interessante para tratar esse assunto.

Nos serviços de nuvem como Office 365 e similares, imponha duplo fator de autenticação. No caso do Office 365 ele é gratuito e relativamente simples de implantar.

Mantenha uma rotina de treinamento e orientação de seus colaboradores sobre a importância de utilizar senhas mais complexas e não usar sempre a mesma para todos os serviços.

Se a sua empresa não usa o Active Directory da Microsoft para gerenciar as identidades, implante e garanta que os colaboradores não utilizem senhas simples ou comuns.

Passo 05 – Proteja a sua empresa contra phishing.

A maior parte dos ataques por ransomware é feita através de campanhas de phishing, como ja falamos no artigo O que é Ransomware.

Pequenas empresas costumam usar serviços de email mais simples ou até gratuitos, que não dispõe de boas ferramentas de antispam e antiphishing.

Soluções como o Exchange Online, que faz parte dos planos do Microsoft 365, tem ferramentas que bloqueiam a maior parte desses ataques na fonte, antes dele chegar no usuário final.

São serviços um pouco mais caros que os oferecidos por provedores como Locaweb e similares, mas no final saem mais barato do que você contratar uma ferramenta de antispam em separado.

Conclusão

Manter a sua empresa segura é um processo de constante melhoria. Lembre-se de fazer o básico e depois avaliar para soluções de segurança mais avançadas, caso necessário.

Avalie periodicamente o seu ecosistema de segurança cibernética, verifique os riscos que estão expostos e se precisam de mais investimento.

Precisando de ajuda, pode procurar um de nossos consultores.

Eduardo Passos
Eduardo Passos
Diretor de serviços e produtos na Infobusiness Informática, com mais de 12 anos de experiência no mercado de TI brasileiro.