O Brasil é o quarto país do mundo no número de ataques de ransomware. Quando restringimos um pouco a área de observação, isso fica ainda pior: aparecemos como o maior alvo dos cibercriminosos em toda a América Latina. Em 2022, metade dos ataques obteve sucesso e, desses, 23% levaram a perdas financeiras.
Em um cenário não muito animador. A First Tech garante que existem formas simples e eficazes de minimizar o risco de um ciberataque. Aqui, foram elencados cinco medidas preventivas para evitar alguns erros comuns.
1. Acredite: qualquer empresa pode ser alvo de um ataque cibernético
Não se enxergar como um alvo é, certamente, um erro grave de cibersegurança. Este é um ponto mais comportamental do que técnico, mas que segue apontado enquanto um dos mais comuns dentro das empresas. Acreditar que não está na mira dos invasores ou, até mesmo, achar que as informações que transitam na sua rede não são interessantes é um pensamento que pode trazer prejuízos.
E isso vale mais ainda para empresa de médio e grande porte. Por isso, ter ciência de um possível ataque é importante.
2. Falta de conscientização sobre segurança cibernética da parte dos colaboradores
Não basta o gestor tomar consciência da ameaça e dar início a uma implementação de soluções ferramentais que colaborem para a segurança cibernética dentro da empresa. Para alcançar uma proteção genuína, é fundamental que todos os colaboradores estejam cientes com relação a princípios básicos, além de o assunto não dever ficar restrito à equipe de TI apenas. Sendo assim, uma das primeiras ações a serem implementadas é fornecer orientações e treinamento sobre segurança cibernética.
A maior parte das invasões ocorre por falha humana. Isso porque o simples fato de clicar em um link já é suficiente para permitir um ataque de um ransomware, por exemplo. Portanto, é importante que uma cultura de segurança cibernética seja instituída e bem difundida, com objetivo de que as pessoas aprendam a identificar uma comunicação legítima de outra maliciosa.
3. Não seguir o princípio Zero Trust
Criado em 2010, esse conceito surgiu em contraposição ao modelo de segurança tradicional baseado em perímetro e na premissa de “confiar, mas verificar”. O Zero Trust diz que “nunca confie, sempre verifique”. Esse modelo constrói segurança em torno de cada um dos principais recursos e entidades de uma organização: dados, redes, dispositivos, sistemas, aplicações e pessoas.
Dada a informação, isso é um dos principais enganos em cibersegurança que muitas empresas deixam passar: o acesso irrestrito dos usuários a dados sigilosos, ou seja, os acessos a redes e sistemas são concedidos sem critério. Com mais logins e poder de ação, as falhas tendem a aumentar. Para evitar isso, vale seguir o princípio do menor privilégio de acesso. Isso significa que um usuário deve ter as permissões necessárias apenas para executar suas atividades.
4. Senhas fracas
Muitos ainda usam senhas fracas e fáceis de adivinhar — a exemplo de “123456” ou “senha”. Por isso, cabem aos sistemas implementarem sistemas que exijam senhas fortes e complexas, além de implementar políticas de senha que forçam sua alteração de tempos em tempos. Outro ponto importante é que compartilhar senhas entre muitos colaboradores é uma atitude considerada porta de entrada para ataques, o que torna tudo muito mais fácil para acontecer um vazamento de dados.
Falando em armazenamento de senhas, ainda são utilizados meios inapropriados, como um .doc, para guardar as senhas e acessos. A vantagem é que basta enviar o link e, pronto, todas as informações já estão nas mãos do colaborador. Entretanto, esses arquivos podem ser indexados, o que é fator de risco para a empresa. Outra questão é que, quanto mais pessoas tem ciência sobre tal senha, mais difícil será a investigação em caso de um incidente.
5. Ignorar a atualização dos softwares e testes de segurança
Sistemas disponibilizam atualizações periodicamente, seja para otimizar suas funcionalidades e até correção de bugs e falhas de segurança, por exemplo. O que vale aqui comentar é que, ignorar essas atualizações, significa dar chances de sucesso a um ataque cibernético. A sugestão é adotar uma rotina de verificação. Ao menos uma vez por semana faça uma varredura e veja se algum software está solicitando alguma atualização.
Contudo, segundo a First Tech, não basta apenas essas medidas preventivas. É importante ter visibilidade e conhecer suas vulnerabilidades para poder corrigi-las. A melhor forma de fazer isso é realizando monitoramento e testes de segurança, por isso, dispensá-los frequentemente é uma falha que deixa a segurança cibernética da empresa fragilizada e exposta. Sites, aplicações web, rede interna e externa devem ser prioridades.
Se você identificou que algum desses erros são praticados aí em sua empresa, tenha em mente que contar com um parceiro especialista em segurança cibernética é importante e pode garantir um ambiente seguro e confiável. Fale com o time da First Tech.