A proteção de dados tem sido muito discutida mundialmente, principalmente com a implementação da lei europeia General Data Protection Regulation (GDPR) e, mais recentemente, a Lei Geral de Proteção de Dados Pessoais, nº 13.709, no Brasil, com a regulamentação de limites quanto ao uso de informações pessoais pelas empresas e governos. Com isso, a segurança digital ganhou mais notoriedade, ampliando o entendimento mais comum e restrito apenas ao personagem do hacker (o Black Hat).
“Por mais que violações externas sejam uma grande preocupação, as companhias devem estar atentas, também, ao ambiente interno por meio da conscientização dos funcionários e da criação de controles próprios em que os riscos cibernéticos sejam bem endereçados. Para isso, é importante adotar mecanismos de monitoramento e tratamento de incidentes em camadas”, destaca Vitor Pedrozo, diretor da área de Forensic, Investigations & Despute Services, da Grant Thornton.
A Grant Thornton listou as 10 melhores práticas de segurança cibernética que as empresas devem considerar. “Ao seguir essas recomendações, a sua empresa elevará o grau de maturidade e estará mais competitiva no mercado”, complementa Pedrozo. Confira essas dicas abaixo:
1. Implementar a governança de segurança da informação
Estabelecer e manter uma estrutura de segurança da informação é um ótimo ponto de partida. Essa estrutura é tão importante quanto soluções tecnológicas, pois ela é desenvolvida especificamente para sua organização, portanto alinhada com os objetivos do negócio.
2. Preparar sua empresa para o GDPR
Com a lei europeia, mais do que nunca, é importante controlar o acesso, monitorar fornecedores, prestadores de serviço e colaboradores, saber o que é feito com os dados dentro da empresa e quem são os responsáveis por manter os dados da empresa seguros.
3. Detectar ameaças internas
É verdade que os colaboradores são seus maiores ativos, mas também podem ser seu maior risco. Embora os usuários bem treinados possam ser sua linha de frente de segurança, você ainda precisa da tecnologia como última linha de defesa. As ameaças internas podem passar despercebidas (por exemplo, um funcionário copiar dados de seus principais clientes e utilizar estas informações de forma indevida), mas o fato é que essas violações são extremamente caras.
Monitorar a atividade do usuário permite que você detecte tempestivamente comportamento não autorizado e verifique se as ações do usuário não estão violando a sua política de segurança da informação.
4. Atualização de software e sistemas
Com os cibercriminosos praticando constantemente novas técnicas e procurando novas vulnerabilidades, para manter sua rede protegida é necessário verificar se a segurança de seus softwares e hardwares está com as melhores e mais recentes atualizações.
5. Fazer backup dos dados
Fazer o backup de seus arquivos pode parecer senso comum, mas é crucial que a organização mantenha pleno funcionamento, não apenas a partir de uma perspectiva de continuidade de negócios, mas também para combater e/ou se recuperar de novas modalidades de ataques.
6. Criar um manual de resposta a incidentes
Mesmo que as melhores práticas sejam seguidas, as empresas ainda correm riscos de violação. No entanto, a diferença está no preparo de cada uma e na agilidade para lidar com esses fatos. Ter um plano de resposta definido antecipadamente permitirá que a empresa feche quaisquer vulnerabilidades, limite o dano de uma violação e permita a correção com eficácia.
7. Ter cuidado com a engenharia social
As políticas de segurança da informação não substituem o senso comum, nem eliminam erros humanos. As táticas de engenharia social têm sido usadas como armadilhas há décadas para obter informações sensíveis para a companhia ou até mesmo que podem ser utilizadas em complemento com dados da empresa coletados externamente para praticar ataques.
8. Educar e treinar os funcionários
O quadro de funcionários será o elo mais fraco quando se trata de segurança da informação. Isso significa que a empresa deve limitar o risco fomentando uma cultura de segurança da informação na companhia, amplamente divulgada.
As conscientizações precisam contemplar temas importantes e atuais, como: reconhecer e o que fazer com um e-mail de phishing, criar e manter senhas seguras, o que fazer em caso de incidentes de SI, evitar aplicativos perigosos, garantir que informações importantes não sejam retiradas da empresa, além de outros riscos relevantes.
9. Delinear políticas claras
Para fortalecer e esclarecer as melhores práticas de segurança cibernética fornecidas aos usuários é necessário descrever claramente os requisitos e as expectativas da empresa em relação à segurança quando contratá-los pela primeira vez.
10. Testar suas defesas
Simular um atacante cibernético, bem como realizar varreduras periódicas procurando por vulnerabilidades existentes é uma ótima prática para fechar brechas nas defesas de sua organização a invasores indesejados.