Como proteger sua pequena empresa de ataques cibernéticos prejudiciais
Publicados: 2021-10-26Protegendo sua pequena empresa
Outubro foi designado Mês Nacional de Conscientização sobre Segurança Cibernética pelo Departamento de Segurança Interna. E embora você possa pensar que sua empresa é pequena demais para se preocupar com a segurança cibernética, você está errado.
Recentemente, conversei com Stephanie Benoit-Kurtz, chefe do corpo docente de segurança cibernética da Universidade de Phoenix e consultora principal de segurança da Trace3, sobre como os proprietários de pequenas empresas podem proteger melhor suas empresas contra ataques cibernéticos.
Muitos proprietários de pequenas empresas e startups acham que seus negócios são pequenos demais para que os cibercriminosos se preocupem em hackear. Eu sei que isso está errado. Qual o perigo que as pequenas empresas enfrentam?
Stephanie Benoit-Kurtz: As pequenas empresas são um alvo por várias razões. Os maus atores estão cientes de que podem não ter grandes equipes ou sistemas de TI para responder ou evitar um incidente. De acordo com o FBI, o cibercrime custou às empresas mais de US$ 2,7 bilhões em 2020. Com mais de 791.000 reclamações, os maus atores estão indo para onde podem monetizar o esforço.
Quais riscos de segurança cibernética as pequenas empresas devem procurar?
Benoit-Kurtz: À medida que organizações grandes e pequenas são atacadas, os ataques SMB estão crescendo em frequência, agora diminuindo a distância com organizações maiores. De acordo com a Verizon, no Relatório DBIR , as violações de organizações menores aumentaram em frequência ano após ano. A intrusão do sistema ainda é um dos principais contribuintes para incidentes. É quando os maus atores obtêm acesso a dados e sistemas.
Quais são as ameaças cibernéticas mais comuns para pequenas empresas? Eles diferem se você opera um negócio virtual/remoto?
Benoit-Kurtz: Golpes de e-mail e engenharia social continuam a causar estragos em todas as empresas. A PWC executou uma simulação de phishing em várias instituições financeiras e 70% dos e-mails foram entregues com uma taxa de cliques do usuário final de 7%. Basta um clique para expor sua organização a um mau ator. Um grande número de cargas úteis ainda vem por e-mail. A CISA tem ótimas dicas sobre como evitar ser vítima de phishing e engenharia social.
Esses problemas não diferem significativamente entre negócios virtuais ou remotos e negócios no local. As organizações precisam fornecer treinamento regular de phishing e engenharia social para reduzir incidentes. Vários especialistas compartilham que cerca de 70% do risco pode ser reduzido por organizações que treinam funcionários para identificar situações de phishing e engenharia social. Esse problema só aumentou exponencialmente durante a pandemia do COVID-19. No Relatório de Phishing e Fraude de 2020 , a F5 relata que os ataques de phishing cresceram 220% durante a pandemia.
A melhor defesa é um bom ataque, e as pequenas empresas devem investir em phishing de funcionários e treinamento em engenharia social. Os serviços são relativamente baratos e podem fornecer uma camada extra de proteção para uma pequena empresa.
Existe uma política de senha que você recomenda?
Benoit-Kurtz: A outra ameaça principal é o roubo de credenciais. Logins e senhas são expostos por meio de uma conexão insegura ou porque foram usados em uma organização anterior que foi violada. Suponha que todas as suas mídias sociais, e-mails pessoais e outros logins e senhas tenham sido divulgados em algum lugar. Para suas contas de trabalho, não reutilize logins ou senhas.
Muitas vezes, quando uma organização é invadida, os logins e senhas são vendidos na Darkweb, onde os hackers compram as listas e depois procuram as vítimas em uma abordagem do tipo spearphishing. A segunda recomendação é tornar sua senha um pouco mais complexa. Por exemplo, não use o nome do seu filho ou animal de estimação, mas uma senha que contenha caracteres e números especiais. Às vezes, os funcionários sofrem de fadiga de senha. Um cofre de senhas pode ser uma solução melhor. Isso cria senhas exclusivas e oferece aos funcionários uma ferramenta para ajudá-los a gerenciar suas contas. A PC Magazine publicou um ótimo artigo sobre os “Melhores gerenciadores de senhas para 2021”, onde eles detalham os benefícios de diferentes soluções.
Benoit-Kurtz: Como você mantém os dados seguros se os funcionários trabalham em cafés, aeroportos, quartos de hotel etc.?
Redes gratuitas em cafés, hotéis, restaurantes e aeroportos são inseguras. Esses serviços convenientes e fáceis de conectar não são gerenciados e atacam hackers que atacam usuários desavisados. Mesmo que você precise inserir o número do seu quarto de hotel ou algum tipo de senha, é provável que seja uma rede desprotegida onde seus dados pessoais e da empresa possam estar em risco. Procure fornecer aos funcionários planos de dados em seus telefones celulares ou hotspots que permitam acesso seguro à rede. É aqui que você conecta seu computador a uma conexão de rede segura a um telefone celular ou outro dispositivo LTE. Esse tipo de conectividade também funciona para equipes que precisam colaborar. ComputerWorld, no artigo “Como usar seu telefone inteligente como um ponto de acesso móvel”, fornece detalhes sobre como essa prática simples pode melhorar a postura de segurança de pequenas empresas.
O que é uma VPN e como uma pequena empresa configura uma?
Benoit-Kurtz: Se você precisar usar a Internet de acesso público enquanto trabalha remotamente ou trabalha remotamente, uma Rede Privada Virtual (VPN) é uma excelente solução para criar uma camada adicional de segurança. Pense em uma VPN como um invólucro em torno de um doce. A embalagem mantém o doce dentro e outros contaminantes fora. O software VPN fornece proteção de criptografia em torno de sua conexão com a Internet, tornando muito mais difícil para os hackers interceptarem a comunicação. Além disso, o software/serviço é relativamente barato e as pequenas empresas não precisam construir sua própria VPN. Em vez disso, eles podem adquirir um produto no mercado que forneça segurança sem grandes custos.
Como você consegue que os funcionários sigam essas diretrizes?
Benoit-Kurtz: Parte de um sólido programa de segurança inclui treinamento de conscientização, ferramentas e métricas de uso. Pequenos negócios devem estar atentos. O gerenciamento de configuração pode ser implementado para forçar as máquinas dos funcionários a ter proteção de endpoint. Os clientes VPN devem ser usados quando você estiver remoto e não permitir conexões com redes aleatórias. Você também pode torná-lo divertido, como recompensar os funcionários com cartões-presente e brindes da empresa por permanecerem em conformidade. Reconheça os usuários que fazem um esforço.
Qual é o custo de uma violação?
Benoit-Kurtz: Simplificando, as violações são caras. Como uma pequena empresa, sua reputação e confiança de seus clientes podem estar em risco. A Small Business Trends estima que o custo médio de uma violação de pequena empresa é de US$ 25.000. E a IBM, em seu relatório anual Cost of a Data Breach Report , diz que nos últimos dois anos esses custos aumentaram mais de 10%. No entanto, esse custo não inclui a perda de confiança do cliente e a perda de negócios associada quando os clientes saem para a concorrência.
É caro tornar a segurança cibernética da sua pequena empresa?
Benoit-Kurtz: Não, ter uma forte proteção de segurança cibernética não precisa ser caro. Pense nisso como cobertores em uma cama. A segurança cibernética fornece camadas de diferentes tecnologias e processos que protegem os usuários. Treinamento, software VPN, proteção de endpoint e hotspots reduzem muito o risco e podem ser implementados sem uma grande equipe de TI. Como uma pequena empresa, procure um parceiro de segurança para ajudá-lo com soluções e dimensionamento que funcionem dentro do seu orçamento.
Existem muitos recursos excelentes para ajudar as pequenas empresas em sua jornada de segurança. A SBA publica vários materiais excelentes e existem organizações de segurança especializadas em ajudar as empresas em sua jornada de segurança. Uma ótima maneira de começar é convidar um parceiro de segurança para fornecer uma avaliação de risco de segurança e ajudá-lo a começar. Um ótimo parceiro de segurança não apenas o ajudará a encontrar seus pontos fracos, mas também a aumentar seu programa de segurança à medida que o cenário de ameaças muda. Se você não tiver um parceiro de segurança, faça sua lição de casa e entreviste várias organizações para encontrar um bom ajuste.
Claro, seu mentor SCORE pode ajudá-lo a fazer a escolha certa. Encontre um hoje.