Existem alguns mitos sobre cybersegurança que precisam ser tratados dentro dos programas de conscientização e treinamento dentro das empresas.

  1. Cybersegurança é responsabilidade da TI – infelizmente não é um problema isolado da área de tecnologia da informação, mas de todos os funcionários, desde a alta direção ao cargo mais operacional. Os funcionários são a primeira linha de defesa e a educação nos conceitos de segurança cibernética desempenham um papel fundamental para evitarmos erros e omissões. Todos ganham com os programas de conscientização nas empresas, pois muitos erros são cometidos por desconhecimento de mecanismos e controles básicos que devem ser adotados, a área de Gente & Gestão é um grande aliado nesse processo.
  2. Somente grandes empresas são atacadas – não se iluda com isso, qualquer empresa pode ser alvo, mesmo que o foco maior sejam em volumes de dados, qualquer empresa pode ser atacada. E em uma empresa pequena pode inclusive leva-la a falência. Pelas pequenas empresas terem muitas das vezes apenas uma pessoa para cuidar da TI e sem muitos investimentos, há diversas brechas que podem permitir os acessos dos hackers. E se é preciso testar o ataque nada como começar nas mais vulneráveis. . Investir na automatização de alguns processos de TI também é um item interessante para as pequenas empresas, um sistema para liberação e atualização das estações por exemplo reduz em até 70% as brechas dos sistemas, otimizando o trabalho dos analistas de suporte.
  3. Usamos caracteres especiais, letras e números nas senhas – apenas ter a combinação de letras maiúsculas e minúsculas, números e caracteres especiais não faz com que a senha seja forte, mas o seu comprimento, quanto mais longa melhor. Já falei sobre a política de senha em um post anterior, recomendo a leitura para relembrar. O uso de múltiplos fatores de autenticação é sempre um excelente recurso, infelizmente os sistemas mais antigos não possuem essa funcionalidade. É uma etapa a mais na verificação, mas vale a pena se o sistema possui dados importantes, já que pode até vazar uma senha, mas raramente a segunda.Encontro muitos gestores com certo receio de habilitarem MFA (múltiplo fator de autenticação). sua crença se baseia que é mais um passo a ser realizado e que pode ser uma perda de tempo desnecessária e deixam de adotar até nos sistemas que já possuem a funcionalidade.
  4. Instalei e mantenho o antivírus das estações atualizado – apenas o antivírus não irá proteger seus dados, mesmo que ele esteja atualizado é preciso investir em muito mais para manter o ambiente minimamente protegido. É preciso proteger servidores, endpoint, firewall, e-Mail etc. Ter solução de backup e restore atualizados e testados. Atualizações de sistemas operacionais, firmwares e demais versões de sistemas que é uma das medidas mais simples no ambiente não é realizado, então pensar em conseguir investimentos pode ser complicado para alguns gestores de TI. Por isso fazer uma análise de riscos é fundamental para demonstrar o nível de exposição da empresa para a alta direção. Ter uma visão clara de onde estão os maiores riscos, as alternativas de soluções, o investimento e principalmente o retorno do investimento em reputação, imagem e eliminação de sanções, pode ser o caminho para começar a estruturar melhor a área de Segurança da Informação.
  5. Proteção apenas para acesso externo – Se engana quem pensa que apenas acessos externos não autorizados são prejudiciais as empresas. Funcionários insatisfeitos podem roubar e vazar informações da empresa, apenas para prejudicar e isso é muito comum, infelizmente. Por isso garantir acesso ao mínimo necessário para o desempenho de suas funções é essencial. Processos rígidos de liberação, manutenção e desativação de contas de acesso devem sem implementados. Bloqueie o acesso de dispositivos removíveis na USB das estações de trabalho, o acesso a e-mails e drivers particulares.

Cada dia mais as equipes de TI estão levantando junto a alta direção a implementação de um programa de zero-trust (confiança zero) no ambiente cibernético. Quatro passos são essenciais para melhor proteção:

  1. Identificar dispositivos e usuários que tentam se conectar à rede internamente;
  2. Implementar controles de acesso para sistemas, arquivos, sites e aplicativos;
  3. Implantar ferramentas de monitoração da infraestrutura e dos serviços de TI; e
  4. Estabelecer níveis de segurança e autenticação adequados aos acessos externos e de terceiros.

O trabalho em Cybersegurança não tem fim e sem o apoio de todas as áreas da empresa é impossível de ser realizado. E você o que tem feito para melhorar a Cybersegurança da sua empresa?


Renata V. Lopes

Atua há mais de 25 anos na área de Tecnologia da Informação com gerenciamento de projetos e equipes multidisciplinares, em grandes empresas como Grupo Gerdau, Lojas Renner, Hewlett-Packard, Rio2016 e Grupo Guanabara. Master coach, leitora compulsiva, blogueira, apaixonada por redes sociais e estudante em constante desenvolvimento, acredita na cooperação, colaboração e compartilhamento do conhecimento como forma de aprendizado.

error: Conteúdo Protegido!