Enquanto o mundo assistia aos detalhes da violação de dados da Equifax ocorrida no último ano, um dos maiores escândalos de hackeamento dos EUA da história se desenrolava. Recentemente soubemos que o ex-CEO da empresa, Richard Smith, colocou a culpa de todo o fiasco nos ombros de apenas um técnico de TI que não conseguiu informar os funcionários da Equifax para instalar um patch projetado para eliminar uma vulnerabilidade no sistema Apache Struts.
Na verdade, essa situação mostra como a segurança de TI pode ser tênue e como é importante que todas as pessoas na organização participem ativamente de um programa de gerenciamento de riscos de TI. Afinal, os ataques cibernéticos não vão desaparecer tão cedo. Na verdade, espera-se que custem às empresas US$ 6 trilhões por ano até 2021, o que, para colocar em perspectiva, “representa a maior transferência de riqueza econômica da história”.
É óbvio que a grande maioria das perdas decorrentes de um lapso na segurança cibernética virá de grandes organizações empresariais, mas isso não significa que as pequenas e médias empresas não devam fazer tudo o que puderem para proteger seus negócios. Na realidade, como você trabalha em um nível tão pessoal com sua equipe e com seus clientes, pode ter ainda mais a perder do que qualquer um, como sua condição de vida, relacionamentos pessoais, reputação etc. Felizmente, há algumas coisas que empresas de todos os tamanhos podem fazer para melhorar a segurança em todos os níveis e enfrentar essas ameaças de frente:
- Treine sua equipe: É uma coisa simples, mas, conforme ilustrado pela violação da Equifax, o treinamento em segurança online e a instituição de práticas recomendadas em toda a empresa podem ajudar bastante na mitigação de ameaças virtuais. Procure por aulas (online ou presenciais) que abordem tópicos sobre como reconhecer e tratar de emails forjados, manter seu sistema de segurança atualizado, comportamentos seguros online etc., e sensibilize todos os membros da equipe.
- Escolha o cliente de email correto: é fundamental ter acesso aos emails em praticamente qualquer lugar e dispositivo, mas sacrificar a praticidade pela segurança nunca deverá ser uma opção. Portanto, procure um serviço de email que tenha a capacidade de diferenciar spam e phishing de mensagens legítimas e filtrá-las adequadamente. Além disso, se seus filtros de email permitirem que você desative hiperlinks e elimine a capacidade da sua equipe de responder a mensagens nocivas, melhor ainda. Se possível, procure programas com filtros de email que possam ser definidos no nível pessoal ou de grupo para determinar o que é melhor para sua empresa.
- Mantenha a política do dispositivo atualizada: Priorize a segurança física criando políticas da empresa que descrevem as práticas recomendadas para manter os dispositivos seguros. Crie protocolos que devem ser seguidos caso um dispositivo falhar, informe sua equipe sobre quem chamar e deixe claro o que precisa acontecer do ponto de vista técnico, caso um dispositivo falhar. Como uma camada adicional de proteção, exija que todos os funcionários habilitem a autenticação de dois fatores nos próprios dispositivos. Dessa forma, mesmo que um dispositivo seja roubado, um método de contato será necessário para que o ladrão possa acessar o que está por trás da tela de login.
- Atualize seu software: se a violação da Equifax serviu para nos ensinar alguma coisa, é essencial que todos os funcionários, de cima para baixo na hierarquia empresarial, mantenham os softwares atualizados. Se você usa software baseado em nuvem, as atualizações de segurança de TI geralmente são feitas automaticamente, mas se você possui ou gerencia uma empresa que ainda não fez a transição para o uso de software baseado na nuvem, ainda poderá automatizar as atualizações e enviá-las a sua equipe. Se isso não for uma opção, ou for uma opção que você simplesmente não gostaria de assumir, delegue a cada membro da equipe a responsabilidade de instalar as atualizações nas próprias máquinas. Você só precisa configurar seu software para solicitar aos usuários que instalem atualizações quando elas estiverem disponíveis.
Embora já tenhamos abordado o treinamento da equipe, vale a pena continuar enfatizando-o. Independentemente de quantas salvaguardas você tenha, sua equipe precisa ser treinada para usá-las adequadamente. Além disso, os materiais e os lembretes da atualização sobre a importância de tomar essas precauções devem ser enviados à sua equipe regularmente. Dessa forma, além de ajudar a reconhecer ataques cibernéticos, você também oferece a eles as informações necessárias para evitar riscos desnecessários.