Mitos sobre cibersegurança em pequenas operações ou pequenos negócios

Algumas dessas crenças podem colocar a segurança do seu negócio em risco

Uma coisa é fato: cibercriminosos não se importam com o tamanho da sua empresa. Sem nada a perder, caso enxerguem que é possível extrair qualquer tipo de benefício da sua empresa, eles irão atacá-la. Algumas pessoas, entretanto, não acreditam nisso e acabam por negligenciar a segurança digital de pequenos negócios por acharem que apenas grandes empresas são alvos de crimes no meio digital.

Em 2018, por exemplo, cerca de 70% das tentativas de ransomware foram direcionadas a pequenas empresas, sendo que no corrente ano temos números semelhantes. E o resgate típico para os proprietários recuperarem seus dados e colocarem seus negócios em funcionamento novamente? Cerca de 116 mil dólares.

Embora muitos tentem aprimorar seu conhecimento, crenças errôneas sobre as melhores práticas de segurança cibernética ainda têm força no meio. Aqui estão alguns dos mitos comuns que os proprietários e funcionários de pequenas organizações precisam estar cientes para proteção de seus negócios, seus clientes e até terceiros:

Mito 1: Sua empresa é muito pequena para ser um alvo

As pequenas empresas são alvos atraentes para os cibercriminosos porque, muitas vezes, não apresentam práticas de segurança cibernética em vigor, o que torna fácil a realização de uma invasão e de obtenção de informações. Para proteger seus clientes e os dados da empresa, você deve adotar uma abordagem proativa de proteção digital.

Mito 2: Você não coleta detalhes de pagamento, então não tem dados que valham a pena roubar

Embora muitos sites de pequenas empresas não coletem detalhes de pagamento, eles ainda coletam outros tipos de informações valiosas do cliente que são interessantes para cibercriminosos. Há muita procura, por exemplo, por informações de identificação pessoal (PII), como nomes, endereços de e-mail e senhas, além de detalhes de pagamento confidenciais, a fim de obter acesso a todos os tipos de contas. Com isso em mãos, os dados podem ser vendidos ou usados para aplicar golpes, além de o vazamento de dados, se forem pessoais, gerar infração direta à LGPD.

Mito 3: Apenas o antivírus (endpoint) e um firewall são suficientes para manter o seu negócio seguro

Os tradicionais softwares de antivírus e os antigos Firewalls hoje estão totalmente ultrapassados e já não protegem mais contra as novas ameaças, que exigiram novas abordagens de proteção, que são as chamadas ferramentas de proteção de próxima geração.

É o caso por exemplo do firewall, que atualmente é chamado de NGFW ou “Next Gerenation Firewall”. Outra proteção que evoluiu foi o tradicional antivírus, agora chamado de “Proteção Endpoint” que além de detectar as ameaças, automaticamente responde a elas, bloqueando tentativas de ataques, roubos de informações, vazamento de dados e protegendo inclusive ameaças como o Ransomware.

Porém, essas não devem ser as únicas proteções, havendo outros pontos que devem ser vigiados dentro da cibersegurança, que são as vulnerabilidades de dispositivos e sistemas, que se renovam a cada dia e, enquanto cada vez mais os ataques têm se tornado sofisticados, é requerida a vigilância contínua dessas brechas que são descobertas a cada dia.

Para combater essas e outras ameaças, as pequenas empresas devem investir em uma abordagem proativa, além das proteções mencionadas acima.

Segue alguns exemplos de abordagens de segurança proativa, algumas temos artigos publicados, que também valem a pena a conferida:

Essas abordagens mencionadas fazem com que sejam cobertos os principais pontos, além da parte tecnológica, a parte de processos e parte de pessoas fazendo com que a força de trabalho também contribuía para a melhoria da segurança como um todo.

Mito 4: Meu site é institucional e não tem problema se alguém “hackeá-lo”.

Um equívoco comum cometido por algumas organizações, é no sentido de que sites institucionais não teriam informações valiosas que interessem possíveis atacantes, e que assim tais sites não serão alvos potenciais destes, ou ainda caso sejam atacados, não existiriam preocupações já que não dispõem de dados de clientes.

Ao contrário do referido entendimento equivocado, na verdade os sites hackeados são utilizados de diferentes formas por atacantes. Os usos mais comuns incluem, mas não se limitam a: Hospedagens de malwares, servidores de e-mails para envios de phishings, botnets para derrubar os acessos a outros sistemas, Proxy/VPN para atacar outros serviços e parecer que o acesso teve origem de sua máquina, sistemas para captura de credenciais de terceiros, e outras diversas situações igualmente graves.

O problema em quaisquer das situações acima citadas, é que o ataque será originado do endereço de IP/DNS pertencente à sua organização, possibilitando em certos casos a desativação do seu domínio por tempo indeterminado. Esta situação pode ocorrer por exemplo, se o CERT.br (divisão brasileira que cuida da segurança da internet no Brasil) notificar sua organização acerca de um incidente desta natureza, e caso não sejam tomadas providências no prazo estipulado, ocorrerá a desativação de seu domínio, gerando um problema de reputação e indisponibilidade de sua marca por tempo indeterminado, geralmente até que seja restaurada a segurança do sistema invadido.

E o que eu devo fazer?

A dica principal é manter o devido cuidado e monitoramento de todos os ativos de tecnologia de informação seu negócio, já que estes estão entre os bens mais valiosos de qualquer organização. Todos os ativos tecnológicos deverão ser protegidos, por isso, é importante saber onde eles estão e aplicar as medidas de segurança para cada um deles conforme sua exposição e grau de risco. Os ativos expostos (que possuem acesso à internet) deverão ter medidas de segurança redobradas.

Em geral, escolha sempre abordagens de segurança proativas e que ajudem a evitar incidentes de segurança antes que aconteçam. A contenção de incidentes é sempre a última via e geralmente geram maiores complicações e maior quantidade de tempo para as soluções.

Por fim, as organizações devem sempre ter mente que seu negócio pode ser sim um alvo a qualquer momento, independentemente de sua natureza ou porte no mercado.

Cuide da segurança de seu negócio de forma proativa. Caso tenha interesse entre em contato conosco que poderemos auxiliá-lo de acordo com a realidade de sua organização.