Lar O negócio 10 etapas de segurança cibernética que sua pequena empresa deve seguir agora

10 etapas de segurança cibernética que sua pequena empresa deve seguir agora

Vídeo: Reportagem da jornalista Catarina Brites Soares - 'Adopção' (Novembro 2024)

Vídeo: Reportagem da jornalista Catarina Brites Soares - 'Adopção' (Novembro 2024)
Anonim

A Semana Nacional das Pequenas Empresas está em andamento e as festividades não demoraram muito para abordar uma das questões mais flagrantes e sempre presentes para as pequenas e médias empresas (SMBs): segurança cibernética. A Small Business Administration (SBA) é a agência do governo dos EUA dedicada a fornecer ajuda, treinamento e recomendações concretas que as pequenas empresas podem colocar em prática imediatamente nas operações do dia-a-dia. Para esse fim, em vez de apenas oferecer tendências de segurança inovadoras, o painel de segurança cibernética de hoje da SBA deu às PMEs dicas, recursos e medidas concretas que podem ser seguidas para mitigar vulnerabilidades de segurança e implementar uma estratégia de segurança abrangente.

O administrador adjunto da SBA, Doug Kramer, moderou o painel de especialistas em segurança ao discutir os maiores riscos de segurança que as pequenas empresas enfrentam e as etapas mais importantes que eles podem tomar para proteger sua infraestrutura e dados, físicos ou baseados em nuvem. O painel incluiu Bill O'Connell, vice-presidente de Global Trust Assurance da ADP; Stephen Cobb, pesquisador sênior de segurança da ESET North America; Matt Littleton, diretor regional leste de segurança cibernética e serviços de infraestrutura do Azure na Microsoft; e Patricia (Pat) Toth, cientista supervisora ​​de computadores da Divisão de Segurança de Computadores do Instituto Nacional de Padrões e Tecnologia (NIST).

Os palestrantes falaram sobre questões de segurança cibernética, que variam de phishing, ransomware e como lidar com uma violação de como as pequenas empresas devem abordar a autenticação multifatorial (MFA), treinamento e políticas de segurança dos funcionários, o que procurar em um contrato de provedor de serviços gerenciados (MSP), e quando chamar um consultor de segurança de TI.

Não se trata apenas de informações bancárias e de cartão de crédito de funcionários e clientes, de acordo com Kramer, mas as empresas de dados de propriedade intelectual abrigam todos os lugares, de email a armazenamento em nuvem, e as superfícies de ataque que podem tornar uma pequena empresa o elo mais fraco e um alvo fácil. A cadeia de suprimentos. Segundo a SBA, Kramer disse, quase metade de todas as pequenas empresas foram vítimas de algum grau por cibercrime, e o custo médio do ataque é de aproximadamente US $ 21.000.

"Quem está iniciando uma pequena empresa está trabalhando o máximo que pode, sem tempo ou dinheiro extra para lidar com um desafio de segurança cibernética que pode custar mais do que o esperado e significar vida ou morte para uma pequena empresa", observou Kramer, da SBA, como painel começasse. "A ameaça de invasão cibernética e roubo é muito real. As pequenas empresas medem ativos e estoques de maneiras diferentes, mas elas se baseiam em um tesouro de informações".

1. Segurança na nuvem: faça e não faça

Por razões econômicas e de conveniência, todas as SMBs precisam considerar fazer uma transição para a nuvem, mas a transição precisa ocorrer com cuidado. Os participantes do painel discutiram algumas das considerações e obstáculos mais importantes.

  • Fazer: Backup incremental na nuvem

    "A nuvem tem muitos benefícios e riscos, mas uma coisa que as pequenas e médias empresas devem fazer é o backup", disse Cobb, da ESET. "O backup atual de todos os arquivos é a melhor proteção contra ransomware e uma parte crítica de sua postura e defesa de segurança cibernética. Você ainda deve fazer backup em um disco rígido e armazenar uma cópia em algum lugar seguro em um local separado, mas a nuvem permite fazer backup constantemente."

  • Fazer: Pagar pela Premium Cloud Security

    "Os pequenos empresários são conscientes dos preços, mas outros fatores precisam ter a quantidade certa de peso", disse O'Connell, da ADP. "Algumas coisas devem custar mais dinheiro para um nível mais alto de serviço e segurança é uma dessas coisas. Não basta tomar uma decisão com base no preço".

  • Não: basta assinar o contrato MSP

    "Verifique esse contrato", disse Cobb, da ESET. "Você pode terceirizar armazenamento ou backup, mas não pode terceirizar a responsabilidade. Se o proprietário da SMB disser que o provedor de TI possui todos os dados de clientes e funcionários - seus dados - você ainda é responsável".

    "Quando se trata não apenas do contrato, mas também dos dados, faça sua pesquisa para verificar se há algum problema de segurança", acrescentou O'Connell, da ADP. "Para uma SMB, o contrato é uma boa parte dessa linha de defesa. Confira os SLAs e acesse as políticas de dados da camada. Por quanto tempo os MSPs retêm os dados? O que eles fazem com isso?"

  • Não deixe os recursos de infraestrutura do MSP não utilizados

    "Se você entrar em um ambiente de nuvem, poderá mudar parte dessa responsabilidade. Não estamos mais em uma arena de plataforma em que você precisa se preocupar em não ter a equipe para responder a um problema ou corrigir um servidor", disse a Microsoft. Littleton. "É aí que o provedor de serviços pode intervir e lidar com isso em seu nome. Você precisa entender o que está entrando do ponto de vista do contrato e quais serviços o provedor de nuvem está oferecendo".

2. Autenticação multifatorial: Just Do It

"Tanto do ponto de vista pessoal quanto do de negócios, o MFA é algo que você pode fazer imediatamente. As empresas não têm desculpa para não fazer isso imediatamente", disse Littleton, da Microsoft. "É simples com toda a pilha de produtos da Microsoft; o mesmo vale para o Google, Yahoo e o nome do provedor de e-mail. Observe as configurações de segurança e exija que todos os funcionários digitem seu número de celular como um segundo fator. Então, mesmo se eu estiver um invasor e eu roubo sua senha, não posso usá-la a menos que eu roube seu telefone celular e conheça o PIN ".

3. Quando ligar para um consultor de segurança de TI

" Haverá coisas que você não pode fazer sozinho como proprietário de uma pequena empresa", disse O'Connell, da ADP. "Para contratos muito importantes, você recebe consultoria jurídica externa. Para as finanças anuais e trimestrais, você tem um contador. O mesmo vale para especialistas em segurança. Quando você precisa testar um site para garantir sua segurança na Web ou realizar uma avaliação de riscos, é dinheiro bem gasto, se você não tem a experiência necessária para fazer isso sozinho. Você não está fazendo a eletricidade ou o encanamento do prédio; trata-se de saber quando precisa de ajuda ".

4. Segurança faz parte do trabalho de todos

"Você não pode confiar apenas em uma pessoa em uma empresa de dez pessoas; todos precisam ter um bom entendimento de segurança cibernética e quais são os riscos para a organização", disse Toth, do NIST. "Se não o fizerem, seu trabalho poderá estar em risco se houver uma brecha e os negócios não puderem se recuperar".

"Faça da segurança parte do trabalho de cada pessoa", acrescentou O'Connell, da ADP. "A pessoa que administra finanças - o que elas precisam fazer todos os dias? Do lado físico, quem é que trava a porta à noite? Todo mundo precisa conhecer os componentes e como sua função se encaixa na segurança geral da empresa".

5. Não seja o elo mais fraco da cadeia de suprimentos

Como Kramer da SBA explicou, não há mais divisão entre pequenas e médias empresas e empresas. As pequenas empresas querem crescer e escalar, ou estão se conectando a uma cadeia de suprimentos corporativa de software e serviços. O problema é que as políticas de segurança das pequenas e médias empresas podem não estar à altura de uma empresa da cadeia de suprimentos com a qual elas procuram parcerias.

"Quando uma SMB está obtendo seu primeiro grande contrato com uma grande empresa e pede para ver suas políticas de segurança e programa de conscientização, você não deve se esforçar para verificar tudo o que está na lista de verificação", disse Cobb, da ESET. "O risco da cadeia de suprimentos é uma grande preocupação. Se uma SMB estiver interagindo digitalmente com um fornecedor, verifique-a. Você precisa ter políticas de segurança e treinamento, para que não se torne um obstáculo".

"Nenhuma empresa é pequena demais para ser direcionada na área cibernética, principalmente do gerenciamento da cadeia de suprimentos", disse Littleton, da Microsoft. "Muitas violações não começam no topo; elas começam em algum lugar da cadeia de suprimentos e os atacantes chegam até o objetivo final".

Toth, do NIST, disse que nos próximos dois anos, as agências governamentais começarão a publicar regras para acessar os sistemas da cadeia de suprimentos. Enquanto isso, ela disse que as PMEs precisam ter um plano em prática.

"O planejamento é inestimável para saber o que é realmente importante; aquela coisa que você precisa proteger e como sua empresa funcionaria se não estivesse acessível", disse Toth, do NIST. "As pequenas e médias empresas precisam ter planos, políticas e procedimentos em vigor. Não é uma grande abordagem governamental; pode ser tão simples quanto as políticas do manual de seus funcionários, dizendo o que elas podem e o que não podem fazer na Internet, como identificar um ataque de phishing. e quando abrir e não abrir links e anexos ".

6. Trate o email como um cartão postal, não como um envelope

"A primeira coisa a fazer como uma pequena empresa com e-mail é pensar no que há nele. Se eu vou invadir as informações da empresa de alguém, seu e-mail geralmente tem todas as coisas boas", disse Cobb, da ESET. "As pessoas geralmente não pensam no que estão deixando lá. Veja o hack da Sony; as pessoas estavam dizendo coisas por e-mail que não deveriam. E-mail é um cartão postal, não um envelope selado. Lembre-se disso."

"Também está se tornando mais sobre a capacidade de controlar os dados", disse Littleton, da Microsoft. "Pode valer a pena usar um serviço de e-mail criptografado com filtragem de entrada que reduz sua superfície de ataque. Se você deixou o número do seu cartão de crédito em um e-mail, o serviço perguntaria se você realmente deseja enviá-lo e depois criptografará automaticamente não. apenas o número, mas todo o email. À medida que o setor avança, esses serviços estão se tornando mais razoáveis ​​e comuns ".

7. Sempre relate incidentes

Kramer, da SBA, explicou que, quando uma pequena empresa é violada ou atingida por uma solicitação de golpe de phishing ou ransomware, eles precisam saber para quem ligar. Cobb, da ESET, disse que se as pequenas empresas não denunciarem isso à polícia por medo de que as autoridades não possuam os recursos para investigar, o ciclo se perpetuará.

"Temos um ciclo infeliz em que a aplicação da lei obtém financiamento com base nos crimes denunciados, mas as pessoas não estão denunciando crimes porque não acham que a polícia tem os recursos", disse Cobb, da ESET. Se ninguém denunciar, a polícia nunca terá provas para se equipar com os recursos necessários para resolver esses problemas de cibercrime."

"A maioria dos municípios possui unidades de crimes cibernéticos e responderá", acrescentou Toth, do NIST.

8. Tenha um plano de resposta a incidentes

"Você não tenta colocar o cinto de segurança no meio de um acidente", disse Littleton, da Microsoft. "Você precisa de um plano de como responderá antes que uma violação aconteça."

"Você também não está completamente sozinho", disse Cobb, da ESET. "Os serviços de segurança que você compra imediatamente vêm com maior proteção na nuvem ou no acesso à cadeia de suprimentos. Eles podem estar fornecendo serviços de detecção e prevenção em um nível básico. Ao montar seu plano, verifique se você não está deixando os serviços de segurança. na tabela oferecida pelo seu MSP ou serviço de segurança ".

9. Não deixe pontas soltas

"Uma área problemática que vemos - se e quando um funcionário sai ou é demitido - o acesso ao sistema não é imediatamente encerrado", disse Cobb, da ESET. "As pequenas empresas trabalham com pessoas em quem confiam e com muitas pessoas que vão e vêm. Às vezes, elas não acontecem nas circunstâncias mais felizes. Se um ex-funcionário com ressentimento ainda tem acesso ou ainda tem a autenticação multifator ativada, isso é um grande problema de segurança interna que é dolorosamente fácil de resolver ".

10. Recursos e treinamento do governo

O governo está tomando medidas importantes para lidar com a segurança cibernética. A Casa Branca lançou uma estrutura de segurança cibernética no início deste ano, e a proposta de orçamento do presidente Obama para 2017 busca um aumento de 35% no financiamento (para US $ 19 bilhões) para lidar com ataques de segurança cibernética. O Kramer, da SBA, e o Toth, do NIST, apontaram recursos governamentais gratuitos, como toda a página de recursos de segurança cibernética para pequenas e médias empresas, incluindo dicas e ferramentas de segurança cibernética, uma coleção de cursos, treinamentos e seminários on-line.

Alguns dos recursos mais úteis são:

  • As 10 principais dicas de segurança cibernética da SBA
  • Curso on-line da SBA: segurança cibernética para pequenas empresas
  • Ferramenta de Avaliação da Cyber ​​Resilience Review (CRR)
  • O Small Biz Cyber ​​Planner
  • SBA, NIST e os Workshops Conjuntos para Pequenas Empresas do FBI
  • O canal do YouTube da SBA
  • Centro de Recursos de Segurança de Computadores do NIST
  • Certificações e programas educacionais da COMPTIA para aprender os protocolos de segurança MSP
10 etapas de segurança cibernética que sua pequena empresa deve seguir agora