Share the post "Segurança digital: 11 boas práticas que todas as empresas deviam adotar"
Nos dias que correm, a segurança digital merece a atenção de qualquer gestor, empreendedor ou mesmo trabalhador. Nenhuma empresa está imune a ataques cibernéticos, interrupções de rede, de serviços, de negócios ou mesmo de violações de dados. Esta é uma realidade que afeta pequenas, médias e grandes empresas, apesar de se crer que o cibercrime é uma preocupação apenas das grandes organizações.
A revolução digital aumentou exponencialmente a exposição aos ciber-riscos e as consequências, no contexto empresarial, podem ser devastadoras. Os ciberataques não só podem travar o acesso à informação confidencial, como também podem causar danos a pessoas e às próprias empresas. Podem estar em causa, por exemplo, infrações de direitos de autor, divulgação de dados sensíveis e de ativos das empresas ou mesmo as exigências do Regulamento Geral de Proteção de Dados (RGPD) em relação à proteção de dados.
Para proteger a sua empresa contra as ameaças de segurança cibernética, listamos algumas das boas práticas de segurança digital a ter em consideração.
11 boas práticas para promover a segurança digital na sua empresa
1. Instalar antivírus e outros programas que identifiquem malware
Para proteger a sua empresa contra as ameaças de segurança cibernética, instalar antivírus e outros programas que identifiquem malware nos computadores e dispositivos é umas das principais medidas a ter em consideração. Estes são alguns exemplos de antivírus referência:
- Avast Business Antivirus Pro;
- Symantec Endpoint Protection 14;
- Bitdefender GravityZone Business Security;
- Avira Antivirus for Endpoint;
- Kaspersky Endpoint Security Cloud 4.0;
- Webroot SecureAnywhere Business Endpoint Protection;
- F-Secure Client Security Standard;
- Sophos Endpoint Protection Advanced.
2. Instalar sistemas de deteção de intrusão e firewalls
A este respeito, importa sublinhar que instalar uma firewall é uma das melhores formas de se prevenir contra ataques cibernéticos. Isto porque a firewall tem como função proteger a sua rede privada.
Uma boa firewall examina todos os pacotes de dados que entram na sua rede privada e certifica-se de que estes dados são legítimos, filtrando pacotes que considera suspeitos.
3. Educar colaboradores
Cabe aos líderes/gestores fazerem um trabalho de mindset dos seus colaboradores relativamente à importância crescente da cibersegurança. É fundamental informar, sensibilizar, consciencializar, promover uma cultura de segurança que proporcione a todos o conhecimento necessário para a utilização dos sistemas de informação – reduzindo, assim, a exposição aos riscos.
Por exemplo, é crucial sensibilizar os colaboradores para não seguirem links que sejam provenientes de uma fonte não credível. Por norma, estes links contêm código malicioso que é acionado pelos utilizadores quando o seguem. São disseminados por e-mail, mas também pelas redes sociais. Uma vez instalado, permitirá o posterior acesso remoto ao computador.
4. Proteção de passwords
Outra das formas de melhorar a cibersegurança do seu negócio é não ter a mesma password para serviços diferentes. Além disso, é importante escolher passwords fortes, com símbolos alfanuméricos e sinais de pontuação. Outro cuidado a ter é o de desativar o preenchimento automático para utilizadores e senhas.
5. Proteger redes Wi-Fi
Uma rede Wi-Fi insegura é a “porta de entrada” mais direta para ataques cibernéticos. Apesar de ser uma das normas mais básicas da estratégia de segurança de uma empresa, é muitas vezes esquecida. Algumas das medidas a adotar para proteger a sua rede Wi-Fi são, então, as seguintes:
a) Troque o nome da rede logo após a contratação e instalação do serviço. Além disso, também deve “esconder” a rede. Por exemplo, se qualquer pessoa consegue visualizar o nome “visitantes”, nome SSID (nome de identificação da rede Wi-Fi), ao escondê-lo, só será visto por quem conhece a rede Wi-Fi. Muitos hackers conhecem os SSID utilizados pelos fabricantes e, com isso, podem desvendar facilmente o modelo do seu router;
b) Desative o WPS (Wifi Protected Setup), o qual favorece uma ligação à rede Wi-Fi sem que, para tal, seja necessário digitar uma password;
c) Mude a password regularmente e utilize sempre senhas fortes – composta por letras maiúsculas e minúsculas, números e símbolos (e sempre com mais de 10 caracteres);
d) Aposte na criptografia para manter a segurança da rede Wi-Fi da sua empresa. Aceda às configurações da rede e escolha o “WPA2” – o último algoritmo de segurança.
6. Investir numa VPN
Virtual Private Network (VPN) é um software que cria uma conexão segura e privada na Internet para poder conectar-se a partir de qualquer lugar. Este é, sem dúvida, um bom investimento para se proteger contra as ameaças digitais.
7. Reforçar cuidados com ataques de phishing e de pharming
Num ataque de phishing a sua conta de e-mail pode ser pirateada e, a partir daqui, inicia-se o chamado efeito dominó. Dados pessoais e/ou de clientes, lista de contactos, passwords e dados confidenciais da própria empresa podem ser roubados e utilizados para os mais diversos fins.
Já num ataque de pharming, que funciona sob o mesmo princípio de um ataque de phishing (mas sem o “isco” do e-mail, apenas acedendo a um URL de qualquer página), pode ser redirecionado para o que lhe parece ser uma página web legítima (como, por exemplo, a do seu banco) e ser levado a fornecer informação bancária confidencial. Neste caso, os prejuízos podem ser avultados.
Para evitar ‘cair na armadilha’, desconfie de e-mails com as extensões .co, .exe, .scr, .pif, .cmd, cpl, .bat, .vir e zip – mesmo que tenham sido enviados por pessoas que conhece ou que sejam da sua confiança.
O ideal, nestes casos, é contactar a pessoa antes de abrir links, anexos, imagens ou mesmo o e-mail. Além disso, tenha especial cuidado antes de fazer o download de anexos suspeitos, sobretudo de estiverem classificados com spam.
8. Reforçar a proteção de dados existentes na cloud
Todos os dados que estão armazenados na cloud devem ser encriptados, de forma a que possam ser vistos apenas por quem possui acesso à cloud. Além disso, é crucial que faça, com alguma regularidade, backups dos dados.
Outra questão que, a este respeito, importa considerar é o quão bem conhece o seu fornecedor de serviço cloud. Isto porque, como as empresas consideram a cloud um serviço de outsourcing, não se preocupam, muitas vezes, em informar-se sobre as suas técnicas de manutenção, gestão e segurança dos dados que lá estão armazenados. Informe-se convenientemente.
9. Assegurar o cumprimento dos direitos ARCO do RGPD
A perda, o roubo e a violação de dados é um tema muito sensível, principalmente desde que começou a ser aplicável o Regulamento Geral de Proteção de Dados (RGPD), a 25 de maio de 2018.
Para garantir a proteção da privacidade dos cidadãos, as empresas passaram a ser obrigadas a recolher e a processar dados pessoais só para objetivos legais e proteger sempre esse dados. Os requisitos de segurança incluem prevenção de destruição acidental ou criminosa, perda, processamento, divulgação, acesso e alteração. Ou seja, estes requisitos devem garantir, entre outros, os direitos ARCO (Acesso; Retificação; Cancelamento; Oposição).
Recorde-se que as penalizações para quem não se preparar devidamente para evitar a violação da segurança dos dados serão severas. O RGPD estabelece um quadro de aplicação de coimas assente em dois escalões (em função da gravidade), a saber:
- Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado;
- Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
No primeiro caso, as coimas aplicar-se-ão a falhas no cumprimento de exigências técnicas ou organizacionais, como, por exemplo, falha na comunicação de violações das suas bases de dados, ou falta de certificações.
No segundo, para os casos mais graves de violação dos princípios básicos relacionados com a segurança dos dados, como, por exemplo, o não respeito pelo consentimento dado pelo utilizador, a transferência de dados pessoais para outros países ou organizações que não assegurem um determinado nível de proteção de dados.
Ou seja, no que diz respeito à proteção dos dados, uma das regras fundamentais que o RGPD exige às empresas é que garantam a segurança dos dados pessoais dos seus clientes, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, violação, destruição ou danificação acidental. Para tal, há que adotar medidas de segurança concretas e tecnologias adequadas.
10. Contratar um Chief Security Officer (CSO)
Além de ter um papel fundamental no desenvolvimento de uma estratégia de segurança para a empresa, cabe ainda ao CSO:
- Acompanhar eventuais auditorias, garantindo a conformidade com as políticas de segurança;
- Estabelecer normas associadas ao desenvolvimento, implementação e manutenção de processos de segurança, a fim de proteger a propriedade intelectual da empresa. A este respeito, uma das suas responsabilidades será a de criar um documento de políticas de cibersegurança e gestão de riscos cibernéticos. Neste documento deverão constar todos os procedimentos de cibersegurança da empresa, bem como as respostas a dar em caso de ataque cibernético;
- Antecipar eventuais riscos e danos de um ataque;
- Definir os custos de uma mitigação, bem como o seu impacto;
- Aumentar a resiliência geral face ao ciber-risco, através do planeamento contínuo dos diversos cenários e respetivas respostas;
- Como líder executivo, tem ainda a função de criar uma cultura de segurança.
11. Contratar um seguro contra os ciberataques
Contratar um seguro contra ciberataques é um investimento inteligente para qualquer empresa, sobretudo agora que o RGPD está em vigor.
Esta é, indiscutivelmente, uma das melhores formas de melhorar a cibersegurança do seu negócio. Apesar das empresas estarem muito mais inclinadas para investirem em seguros que protegem ativos tangíveis do que em seguros específicos para cibersegurança, o ambiente regulatório vigente poderá, a curto prazo, alterar esta tendência – uma vez que o impacto financeiro que a perda e violação de dados representa poderá, em muitos casos, ser muito superior àquele que envolve danos patrimoniais e/ou equipamentos.
Este tipo de seguro pode incluir cobertura para alguns dos seguintes incidentes:
- Ativos digitais danificados ou perdidos, como dados e software;
- Perdas de oportunidades de negócios ou aumento de custos operacionais devido a uma interrupção dos sistemas da empresa;
- Extorsão cibernética se o hacker detiver os dados do segurado para resgate;
- Dinheiro roubado através de um cibercrime;
- Violações de segurança da confidencialidade dos funcionários;
- Perda de dados e informações dos clientes;
- Notificação do cliente após uma violação de segurança;
- Esforços de relações públicas, sobretudo no que toca a assegurar a reputação da empresa e violações de propriedade intelectual.