O guia sobre e-mail seguro para pequenas empresas

Para a maioria dos empresários, talvez não seja surpresa que o e-mail é a principal forma de os hackers obterem acesso a dados e informações empresariais confidenciais. Mas poderá ser alarmante saber que as pequenas empresas são particularmente vulneráveis. Em concreto, o total de ciberataques dirigidos a empresas com 250 ou menos colaboradores duplicou nos primeiros seis meses do ano passado e, em média, as perdas por ataque cifraram-se em mais de 188 mil USD. De acordo com o CSIS (Center for Strategic and International Studies), o efeito dos ciberataques na globalidade da economia norte-americana tem o elevado custo de 100 mil milhões USD anuais.

Foi esse um dos motivos pelos quais o acesso ilícito ao e-mail da Sony , em 2014, foi tão significativo e deu tanto que falar: deixou todas empresas a pensar como poderiam evitar o mesmo desfecho. É de supor que, se uma grande empresa como a Sony, com várias camadas de segurança, pode ser acedida de modo ilícito, as pequenas empresas, com menos recursos, não poderão ter grandes esperanças, certo?

Talvez não. Existem muitas formas de garantir que a empresa está protegida através de e-mail seguro. Uma vez que a segurança da sua empresa é tão forte quanto o seu elo mais fraco, o segredo é envolver os colaboradores e torná-los empenhados no êxito da sua segurança. Seguem-se sete sugestões para o ajudar a começar.

  1. Dê prioridade máxima à criação e implementação de um plano de cibersegurança: é claro que isto envolve mais do que apenas considerar a forma como pode garantir um serviço de e-mail seguro. Deverá incluir também estratégias para manter o seu site, informações de pagamento e outros dados protegidos, embora abordar a segurança do email deva ser um ponto importante do seu plano. A FCC (Federal Communications Commission) criou o Small Biz Cyber Planner 2.0, uma ferramenta prática que o ajuda a criar um plano personalizado.
  2. Considere a encriptação de e-mail: a encriptação de e-mail ajuda a proteger informações pessoais contra hackers ao permitir o acesso e a leitura dos seus e-mails apenas a determinados utilizadores. Existem vários métodos de encriptação de e-mail, dependendo do nível de segurança e da conveniência que pretender. Por exemplo, poderá transferir ou adquirir software adicional que estabelecerá ligação ao seu Microsoft Outlook. Em alternativa, poderá instalar um certificado de e-mail, como o PGP (Pretty Good Privacy), que permite que os seus colaboradores partilhem uma chave pública com as pessoas que pretendam enviar-lhes um e-mail e utilizem uma chave privada para desencriptar os e-mails recebidos. Outra solução simples é utilizar um serviço de e-mail encriptado de terceiros. O Office 365 fornece opções de encriptação prontas a utilizar, como os serviços S/MIME e Encriptação de Mensagens do Office 365, para o ajudar a atender a essas necessidades com pouco esforço inicial.
  1. Certifique-se de que as palavras-passe são seguras: todos os colaboradores deverão ter as suas próprias palavras-passe para o computador de trabalho e para o sistema de e-mail. Estas palavras-passe deverão ser repostas de três em três meses. Pondere também exigir a autenticação multifator quando os colaboradores alterarem as respetivas palavras-passe. As palavras-passe mais seguras consistem em, pelo menos, 12 carateres e numa combinação de números, símbolos, letras minúsculas e letras maiúsculas. As palavras-passe não deverão ser algo óbvio (por exemplo, datas de aniversário, nomes de filhos, etc.), mas devem ser fáceis de memorizar. Por outras palavras, os colaboradores deverão evitar as duas piores e mais comuns palavras-passe de 2014: "palavra-passe" e "123456". Além disso, os colaboradores não deverão utilizar a mesma palavra-passe para várias contas ou sites. Considere permitir a utilização de um gestor de palavras-passe ou de uma função de início de sessão único. Algumas boas soluções para pequenas empresas à procura de ferramentas para armazenar códigos, contas bancárias, contas de e-mail, números PIN e outras informações de contas num único local incluem o CommonKey, LastPass e Password Genie. Como pode saber se a sua palavra-passe foi comprometida? Subscreva serviços watchdog, como o PwnedList ou o Breach Alarm, que monitorizam fugas de palavras-passe e irão informá-lo automaticamente se algum dos seus endereços de e-mail estiver vulnerável.
  2. Desenvolva uma política de retenção de e-mail racional: peça aos colaboradores que removam e-mails que não justifiquem os esforços da empresa e implemente uma política para garantir conformidade. Muitas empresas instituem um padrão de 60 a 90 dias, com passos para o arquivo automático e a remoção permanente após um período de tempo definido. Para alguns colaboradores, lembrar-se de eliminar e-mails não conformes com este padrão pode ser difícil, pelo que poderão ser necessários lembretes frequentes.
  3. Dê formação aos colaboradores sobre segurança de e-mail: os colaboradores desempenham um papel essencial na manutenção da segurança de dados por e-mail. Devem receber formação sobre os tipos de comportamentos e de e-mails a evitar. Infelizmente, de acordo com a InfoSight, cerca de metade das empresas gasta menos de 1% do seu orçamento de segurança em programas para dar formação aos colaboradores sobre como podem estar atentos a ameaças à segurança. No entanto, 64% das organizações tiveram algum tipo de perda financeira devido a falhas de segurança informática e 85% detetaram vírus informáticos. O baixo custo da formação para mitigar os potenciais custos elevados de um acesso ilícito não seria mais compensador?

    Mais especificamente, os colaboradores deveriam receber formação para cumprirem as seguintes regras:

    • Nunca abra ligações ou anexos de pessoas desconhecidas.
    • Nunca responda a e-mails que peçam uma alteração da palavra-passe e que exijam que divulgue informações pessoais, mesmo que a origem pareça ser oficial.
    • Certifique-se de que possui software antivírus e anti-spyware atualizado no computador.
    • Encripte os e-mails que contenham dados confidenciais antes de os enviar.
    • Não utilize o endereço de e-mail da sua empresa para enviar e receber e-mails pessoais.
    • Não reencaminhe e-mails da empresa automaticamente para um sistema de e-mail de terceiros.

    Além disso, algumas empresas foram bem-sucedidas na implementação de programas que testam os colaboradores com campanhas de phishing, e-mails de spear-phishing e outras ameaças à cibersegurança, recompensando-os posteriormente quando passam nestes testes.

    O Office 365 disponibiliza funcionalidades para ajudar a educar contextualmente os utilizadores, para que se mantenham em segurança e produtivos, por exemplo, com as Sugestões de Políticas de Prevenção de Perda de Dados que informam os utilizadores quando estes tentam partilhar dados de uma forma insegura. Além disso, a Proteção Avançada Contra Ameaças do Exchange Online acrescenta mais proteção para tipos específicos de ameaças avançadas.

  4. Mantenha normas rigorosas para a utilização de dispositivos móveis relacionados com a empresa: ao utilizarem um dispositivo móvel concedido pela empresa ou um dispositivo móvel pessoal com o qual enviam e recebem e-mails da empresa, os colaboradores deverão encriptar os dados, manter o dispositivo protegido por palavra-passe e instalar aplicações de segurança aprovadas, de forma a que os hackers não consigam aceder aos dispositivos através de redes Wi-Fi partilhadas. O Office 365 disponibiliza funcionalidades de gestão de dispositivos móveis incorporadas, fornecendo opções para o ajudar a manter os seus dados seguros com acesso condicional, gestão de dispositivos e eliminação seletiva de dados empresariais.
  5. Evite alguns perigos comuns ao proteger e-mail: além de todos os aspetos já analisados, o e-mail pode permanecer inseguro também de outras formas. Certifique-se de que tem em conta o seguinte:
    • Todos os computadores (e não apenas alguns) devem utilizar a encriptação de e-mail. De nada servirá encriptar e-mails se esse mesmo padrão não for aplicado transversalmente.
    • Os computadores desbloqueados nunca devem ser deixados sem supervisão. Faça com que a política da empresa exija que os colaboradores bloqueiem os seus computadores (que devem ser protegidos por palavra-passe no início de sessão) antes de abandonarem as secretárias. Ao ser objetivo ao criar políticas que envolvem os e-mails da sua pequena empresa, irá antecipar e evitar muitos problemas. Envolva os colaboradores e recompense-os por ajudarem a desenvolver um ambiente em que as informações estão seguras. Em conjunto, é possível manter os dados dos colaboradores, dos clientes e da empresa seguros em cada e-mail.

Acerca do autor

The Microsoft 365 team is focused on sharing resources to help you start, run, and grow your business.

Introdução ao Microsoft 365

É o Office que já conhece com as ferramentas que o ajudam a trabalhar melhor em equipa, para poder ser mais produtivo em qualquer altura e em qualquer lugar.

Comprar Agora
Conteúdos relacionados
Business Tech

O que acontece quando as empresas não protegem corretamente a propriedade intelectual

Ler mais
Business Tech

Dados do cliente: a linha que separa a inovação útil da invasão de privacidade

Ler mais
Business Tech

Esteja sempre um passo à frente com o Microsoft 365

Ler mais
Business Tech

O ciclo de vida de um ficheiro confidencial

Ler mais

O Centro de Crescimento não fornece pareceres profissionais em relação a assuntos relacionados com finanças ou impostos. Deverá contactar o seu profissional de assuntos relacionados com finanças ou impostos para falar sobre a sua situação.