O Cyber Readiness Institute (CRI) pediu ao seu Small Business Advisory Council, um grupo composto por 15 organizações públicas e privadas que presta consultoria às PMEs em diversas áreas, para identificar sugestões-chave que ajudassem as PMEs a tornarem-se mais seguras e resilientes. O Small Business Advisory Council desenvolveu as sete ações de segurança cibernética fundamentais que se seguem. Apesar de as circunstâncias individuais de cada empresa ditar os contornos específicos do respetivo programa de segurança cibernética, as sugestões abaixo funcionam como barreiras de proteção que visam preparar a sua organização para ataques cibernéticos.
Todas as organizações devem abordar a segurança cibernética com a mesma seriedade dispensada a outras funções de importância vital, como as operações e finanças. A segurança cibernética não é apenas uma questão do foro das TI. Antes de mais nada, é uma questão que tem a ver com pessoas. A sete sugestões que se seguem são aplicáveis à sua organização, seja qual for a sua dimensão.
Sugestão 1: Escolha um líder cibernético
É importante ter uma pessoa nomeada à frente dos esforços cibernéticos da sua empresa. A nomeação de uma pessoa com autoridade para ser o seu “Líder cibernético” acentua o seu compromisso para com a segurança cibernética e coloca mais experiência profissional e relevante ao serviço do indivíduo. Além da gestão permanente da segurança cibernética, o líder cibernético pode adotar e partilhar as melhores práticas que os funcionários podem implementar, bem como servir de ponto de contacto para questões que os funcionários possam ter ou caso ocorram incidentes cibernéticos.
Sugestão 2: Crie uma cultura sensível às questões cibernéticas
A criação de uma cultura de sensibilização cibernética implica garantir que todos os funcionários estão cientes do papel fundamental que desempenham na resiliência cibernética da empresa. Deve certificar-se de que dispõem dos conhecimentos e aptidões necessários e que estão empenhados em desempenhar esse papel. Esta cultura pode ser facilitada através de ações de educação e formação, no entanto, para criar e manter uma cultura sensível às questões cibernéticas é necessário liderança. Num cenário de teletrabalho, reveja regularmente as políticas cibernéticas com os funcionários e certifique-se de que compreendem o respetivo papel na manutenção da segurança cibernética da organização. No local de trabalho, pondere publicar o seu compromisso. Não se esqueça, a base de uma cultura assenta num comportamento comum a todos os funcionários.
Sugestão 3: Comunicar, comunicar, comunicar
A sensibilização cria-se à base de comunicações breves e frequentes. Newsletters semanais, emails regulares, pósteres ou proteções de ecrã são todos meios vitais para manter os funcionários cientes dos perigos das invasões cibernéticas e como as impedir. O Kit de Iniciação do CRI inclui pósteres apelativos para comunicar lembretes importantes aos seus funcionários. Identifique o que é relevante para a sua organização e adapte as comunicações em conformidade. Algumas das nossas sugestões incluem a escolha de um tema cibernético central do mês; por exemplo, como reconhecer tentativas de phishing ou utilizar palavras-passe fortes. Muitos governos e organizações disponibilizam newsletters de sensibilização mensais gratuitas que as empresas podem partilhar com os respetivos funcionários. Entre estes exemplos, incluem-se o Estado do Mississippi e SANS’ Ouch!
Sugestão 4: Proteja as joias da coroa
Não é possível proteger tudo em igual medida. Deve identificar os dados e sistemas (por exemplo, site, e-mail, contabilidade, informações dos clientes) mais importantes para o funcionamento contínuo da empresa. Como parte da avaliação de riscos, reflita sobre o que aconteceria em caso de perda de dados importantes ou de falha do sistema. Esta preparação vai ajudá-lo a definir prioridades em relação ao que deve proteger. Todas as organizações, por mais pequenas que sejam, devem identificar as chamadas “joias da coroa” e garantir que os controlos de segurança implementados para as proteger são adequados para objetivo em vista. Avalie com regularidade se os seus dados e sistemas mais críticos estão devidamente protegidos e seja proativo na tomada das medidas necessárias para melhorar a segurança. O “Manual de Ransomware” do CRI oferece linhas de orientação úteis sobre como atribuir prioridades aos seus recursos.
Sugestão 5: Tenha um plano preparado
É vital ter um plano de resposta a incidentes preparado que guie as suas ações quando precisar de enfrentar um incidente cibernético. O plano de resposta a incidentes deve abranger a preparação para o caso de ocorrer um incidente, a resposta durante o incidente e a recuperação rápida no rescaldo do incidente. Deve incluir considerações relacionadas com a continuidade do negócio, a perda de dados e a criação de cópias de segurança para fins de recuperação. Dado que muitas pequenas empresas veem-se forçadas a cessar a atividade no espaço de um ano após um ataque cibernético, é especialmente importante ter um plano de recuperação que seja comunicado a todos os funcionários. Além disso, a realização de exercícios ou ensaios que testem o plano de resposta ao incidente (conhecidos como simulacros) ajuda os funcionários a identificar as suas responsabilidades durante os incidentes e permite-lhes agir de forma eficaz e segura quando (e não se, infelizmente) os ataques cibernéticos ocorrem. A parte mais importante da preparação consiste em ter cópias de segurança atuais testadas, especialmente dos seus dados mais importantes (as ditas “joias da coroa”).
Sugestão 6: Compreender os princípios básicos
Existem inúmeras tecnologias, atividades e serviços em que se pode focar quando se trata de proteger a sua infraestrutura de TI. É importante ter alguém na sua organização (o líder cibernético) que saiba fazer as perguntas certas e seja capaz de compreender as respostas. Entre os exemplos possíveis incluem-se os seguintes: manter um inventário atualizado dos dispositivos que as pessoas utilizam para ligar à sua rede, garantir que o software é atualizado regularmente, utilizar a autenticação multifator (MFA) para o e-mail, serviços de banca online e outros serviços de caráter confidencial, utilizar uma rede privada virtual (VPN) configurada corretamente para todo o acesso remoto, adotar a gestão de dispositivos móveis, impor políticas de frase de acesso forte para funcionários com requisitos de comprimento e complexidade, e automatizar cópias de segurança de armazenamento seguras. Quer as suas TI sejam geridas internamente, quer utilize um fornecedor de serviços geridos (MSP), é imprescindível garantir que as TI são geridas de forma segura.
Sugestão 7: Aposte na conformidade
Os regulamentos de dados variam consoante o setor e a região. Dependendo da localização da sua empresa e das localizações dos seus clientes, poderá ter de alterar a forma como processa os dados pessoais ou corre o risco de vir a ser confrontado com penalizações e multas. Dois exemplos: o Regulamento Geral Sobre a Proteção de Dados (GDPR) na Europa e a Lei da Privacidade dos Consumidores da Califórnia (CCPA) nos EUA. Estes regulamentos centram-se nas informações de identificação pessoal (PII) (por exemplo, o nome completo, o número da segurança social e o endereço de e-mail). Se recolhe informações de cartão de crédito, também deverá estar familiarizado com as normas do PCI (setor de cartões de pagamento). É importante dedicar algum tempo à pesquisa dos requisitos de segurança agora para ter a certeza de que está em conformidade em matéria de dados e, potencialmente, poupar tempo mais tarde.
Sugestão 8: Escolha as entidades terceiras com cuidado
Quando partilha informações com terceiros, permite que os fornecedores se liguem à sua rede ou depende deles para serviços técnicos, muitas vezes, está a aumentar o risco para a sua empresa. Certifique-se de que escolhe as entidades terceiras com cuidado. Pergunte se têm atestados ou certificações de segurança, como ISO 27001, FedRAMP ou PCI (setor de cartões de pagamento). Pergunte se são auditadas com regularidade para garantir que as salvaguardas de segurança cibernética implementadas são adequadas e funcionam como esperado (e peça para ver um resumo dos resultados das auditorias). Inclua cláusulas relacionadas com segurança cibernética nos contratos; por exemplo, a entidade terceira aceita tomar precauções de segurança razoáveis ou respeitar um conjunto de salvaguardas de segurança, a fim de mitigar vulnerabilidades de segurança críticas durante um período de tempo específico, e notificá-lo num período de tempo específico se sofreram alguma violação.
Autores contribuidores
Agradecimentos especiais
- Tanya Bolden, AIAG
- Faye Francy, Auto-ISAC
- Ilene Klein, Cybercrime Support Network
- Jill Tokuda, CyberHawaii
- Walter Bran, ICC Guatemala
- Paola Quezada, ICC Guatemala
- Marc Pillon, IT Ally
- Jennifer Khoury, NCMS
- Mike Pritchard, Netchex
- Stan Stahl, SecureTheVillage
- Dawn Yankeelov, TALK
- Craig Moss, CRI
- Marion Lewis, CRI
- Lessie Longstreet, CRI
- Lyubo Hadjiyski, CRI
- Vivek Ghelani, CRI
Acerca do Cyber Readiness Institute
O Cyber Readiness Institute é uma iniciativa sem fins lucrativos que reúne líderes empresariais de vários setores e regiões geográficas para partilhar recursos e conhecimentos que informam o desenvolvimento de ferramentas gratuitas de segurança cibernética para pequenas e médias empresas (PMEs). Explore os blocos de construção de uma boa segurança cibernética com o nosso Kit de iniciação ou crie uma cultura de preparação cibernética na sua empresa com o Programa de preparação cibernética online. Os nossos recursos de teletrabalho e guias de local de trabalho híbrido oferecem sugestões oportunas para lidar com a evolução dos desafios cibernéticos da atualidade. Para saber mais, visite www.BeCyberReady.com.