Conheça etapas básicas de segurança de tecnologia de informação para PMEs

Conheça etapas básicas de segurança de tecnologia de informação para PMEs

Dados da consultoria Price Waterhouse indicam que as pequenas e médias empresas são responsáveis por 30% do PIB brasileiro. A Eset, empresa de detecção proativa de ameaças em tecnologia, compartilha seis dicas de segurança de TI para PMEs.

“Os riscos resultantes de crimes cibernéticos, como o roubo de informações pessoais que são vendidas no mercado negro, são mais difíceis de gerenciar. Mesmo as menores empresas lidam com dados pessoais de clientes ou fornecedores que podem ser do interesse de um cibercriminoso. Isso implica que, apesar de uma companhia ser pequena, ela deve adotar uma abordagem sistemática para proteger os dados que lhe são confiados”, explica Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da Eset na América Latina.

Veja alguns conselhos:

1.Analise ativos, riscos e recursos: faça uma lista de todos os sistemas e serviços de computador que são usados. Certifique-se de incluir dispositivos móveis que eles possam usar para acessar informações corporativas ou de clientes. Em seguida, analise os riscos relacionados a cada elemento e os recursos disponíveis para solucionar problemas de segurança de TI.

2.Crie políticas: deixe a equipe saber que você leva a segurança a sério e que a empresa está comprometida em proteger a privacidade e a segurança de todos os dados que gerencia. Além disso, detalhe as políticas que você deseja aplicar, por exemplo, que o acesso não autorizado a sistemas e dados corporativos não é permitido e que os funcionários não devem desativar as configurações de segurança em seus dispositivos móveis. Defina quem tem acesso a quais dados dentro da organização, para qual finalidade e o que está autorizado a fazer com eles. Também é importante ter políticas para acesso remoto, BYOD e software autorizado.

3.Escolha controles: use controles para impor políticas. Por exemplo, se você deseja impor uma política para impedir o acesso não autorizado a sistemas e dados corporativos, pode optar por controlar todo o acesso aos sistemas da empresa exigindo um nome de usuário e senha e uma autenticação de segundo fator (2FA). Para controlar quais programas podem ser executados nos computadores da empresa, você pode decidir não conceder direitos de administrador a todos. Para evitar violações causadas por dispositivos móveis perdidos ou roubados, os funcionários podem ser obrigados a relatar esses incidentes no mesmo dia e bloquear o dispositivo afetado para limpeza remota imediata. Você deve usar as seguintes tecnologias de segurança: Proteção de endpoint para evitar que códigos maliciosos sejam baixados para dispositivos; Criptografia para proteger dados de dispositivos roubados (também sugerida no regulamento GDPR); 2FA para exigir mais do que apenas um nome de usuário e senha ao acessar sistemas e dados; Solução VPN para proteção adicional.

4.Implementar controles: ao implementar controles, você precisa garantir que eles funcionem corretamente. Por exemplo, você deve ter uma política que proíba o uso de software não autorizado nos sistemas da empresa. Portanto, uma das verificações será um software antimalware que procura por código malicioso. Não apenas ele deve ser instalado e testado para que não interfira nas operações normais de negócios, mas os procedimentos que os funcionários devem seguir no caso de o software detectar malware também devem ser documentados.

5.Treinar funcionários, gestores e fornecedores: além de conhecer as políticas e procedimentos de segurança da empresa, a equipe deve entender por que eles são necessários. Isso significa investir em treinamento e conscientização de segurança – a medida mais importante e eficaz que uma empresa pode implementar. Por exemplo, trabalhando com funcionários, aumentando a conscientização sobre problemas como e-mails de phishing. Prepare treinamentos regulares, torne a conscientização sobre segurança cibernética parte do processo de integração de novos funcionários e forneça dicas de segurança em uma página da intranet. Certifique-se de treinar aqueles que usam os sistemas, incluindo gerentes, fornecedores e parceiros.

6.Continue avaliando, auditando e testando: a segurança de TI é um processo contínuo, não um projeto único. As políticas e controles de segurança precisam ser atualizados dependendo das mudanças na empresa, como novos relacionamentos com fornecedores, novos projetos, adições e desligamentos de funcionários. Considere contratar um consultor externo para realizar uma auditoria de segurança para identificar pontos fracos para que possam ser solucionados.

“Pelo que podemos ver, a onda de crimes cibernéticos não vai parar tão cedo, então um esforço contínuo deve ser feito para proteger dados e sistemas, que são a força vital das pequenas empresas”, concluí o especialista da Eset.