Como proteger sua pequena empresa contra violação de dados

A segurança cibernética tornou-se um problema que afeta empresas de todos os tamanhos em muitos setores no cenário de ameaças cibernéticas de hoje.

Enquanto dez anos atrás, os hackers visavam grandes varejistas e organizações como Target ou Yahoo! esperando capturar grandes quantidades de dados vendáveis ​​com uma única violação de rede, hoje eles geralmente visam pequenos varejistas e provedores de serviços.

O custo total de uma única violação de dados foi em média superior a US$ 4 milhões em 2018, e esses custos provavelmente continuarão a crescer.

Pequenos varejistas e franquias, como postos de gasolina, restaurantes e hotéis, continuam sendo vítimas de violações de dados em números crescentes, indicando que nenhuma empresa é pequena demais para ser um alvo.

Neste artigo, abordaremos como e por que as violações de dados acontecem em pequenas empresas e, em seguida, explicaremos nove práticas recomendadas que elas podem seguir para evitar serem invadidas.

Imagem | Pixabay

O que é uma violação de dados?

Uma violação de dados é qualquer liberação não autorizada de dados privados ou valiosos .

A violação de dados clássica que ouvimos com frequência nas notícias é um ataque de rede.

Hackers externos , às vezes sentados em segurança do outro lado do globo, obtêm acesso à rede de uma empresa e transferem dados roubados para si mesmos pela Internet. Os hackers também podem desabilitar os sistemas de TI de uma empresa por despeito.

Às vezes, as violações de dados acontecem quando os insiders roubam dados e os liberam também.

Os atores mais comuns?

Um funcionário descontente ou demitido recentemente, ou um contratado terceirizado que aceitou um suborno ou não tinha boas medidas de segurança em vigor e se tornou um ponto de entrada de um criminoso externo para roubar dados da empresa.

A terceira maneira de ocorrer uma violação de dados é inadvertidamente . Às vezes, a equipe de TI ou outros funcionários deixam os dados expostos ao público na Internet.

Outro exemplo é quando os funcionários esquecem um laptop da empresa em um local público ou quando ele é roubado.

Essas violações acontecem por falta de atenção e políticas de segurança deficientes .

Como as violações de dados acontecem?

A pergunta na mente de todo profissional de segurança cibernética é “Como pode acontecer uma violação de dados?”

É uma pergunta difícil porque tem muitas respostas, e é difícil adivinhar todas com antecedência.

As violações de dados geralmente acontecem porque as políticas de segurança e o pessoal não veem uma maneira pela qual os criminosos podem violar sua segurança.

Dito isso, existem várias maneiras comuns pelas quais os hackers invadem redes privadas de negócios (ou pessoais):

• Phishing de e-mail : essa é a maneira mais comum pela qual as redes da empresa sofrem uma violação. O principal objetivo dos e-mails de phishing é roubar credenciais de funcionários com sucesso ou induzi-los a baixar malware em seus computadores de trabalho. Os hackers fazem os funcionários acreditarem que um e-mail falso é uma comunicação comercial legítima ou um e-mail de fornecedores. Sempre há uma pequena chance de um funcionário ser vítima desse ataque, então os hackers enviam uma enxurrada constante de e-mails de phishing para seus alvos esperando que isso aconteça. Um único clique geralmente é suficiente para obter acesso.

Imagem | Pixabay

• Explorações de dia zero: Uma exploração de dia zero é uma falha de software que não foi descoberta pelo seu criador. “Zero-day” significa que o dia em que eles começarem a corrigir o bug ainda não chegou.
  Enquanto um exploit for conhecido apenas por hackers, eles podem continuar a usá-lo para invadir redes de computadores sem serem detectados.
• Downloads drive-by : os sites carregam muitos scripts que são executados em segundo plano – principalmente para veicular anúncios em navegadores da web. Quando um script malicioso é injetado em redes de veiculação de anúncios, ele pode usar exploits para instalar malware no computador sem o conhecimento do funcionário.
• Ataques de engenharia social: Engenharia social é um termo chique para con-arte. Esses ataques podem envolver a representação de funcionários da empresa, investigadores da polícia ou clientes durante ligações telefônicas.
  Eles também podem envolver o roubo de crachás de funcionários e usá-los para acessar o local de trabalho.

As consequências de uma violação de dados

Uma violação de dados exporá uma empresa a muitos custos – financeiros, tangíveis e intangíveis.

Os custos financeiros imediatos podem assumir a forma de ações judiciais, multas e penalidades contratuais se uma investigação mostrar que a falta de segurança causou a violação.

Os clientes provavelmente entrarão com ações coletivas e a marca de uma empresa sofrerá por anos após uma violação altamente divulgada.

As empresas que processam transações de cartão de crédito para seus clientes estão expostas a multas regulatórias e penalidades contratuais com os fornecedores de cartão de crédito quando os dados de pagamento do cliente são roubados.

Os bancos que perdem dinheiro com a fraude financeira subsequente podem perseguir a empresa violada por responsabilidade.

As empresas envolvidas nos setores financeiro e de saúde também estão sujeitas a requisitos regulatórios rigorosos para garantir a privacidade dos registros de clientes e pacientes e informações financeiras.

A falha em mantê-los seguros causará penalidades que podem prejudicar ou falir pequenas empresas quando combinadas com outros custos que provavelmente ocorrerão após uma violação de dados.

Uma violação de dados pode prejudicar a marca e as finanças de uma empresa o suficiente para tirar pequenas empresas do mercado, mas as consequências podem ser terríveis quando isso acontece com governos locais e estaduais.

A interrupção causada em seus sistemas de TI pode impedir que agências governamentais forneçam serviços essenciais à comunidade , como aconteceu quando a cidade de Atlanta foi atingida por um ataque de ransomware.

Maneiras de evitar uma violação de dados

A segurança cibernética é difícil de implementar para pequenas empresas que não podem adicionar profissionais de segurança dedicados à sua equipe de TI.

Existem várias regras práticas que podem tornar sua empresa mais segura contra violações de dados , sejam elas resultantes de fraude interna ou de hackers externos.

Imagem | Pixabay

1. Contrate consultores de segurança externos : Se sua empresa não possui um plano de segurança, o primeiro passo é trazer consultores para ajudá-lo a criar um. Essa opção é mais barata do que contratar uma equipe permanente, e você terá uma avaliação de segurança completa e recomendações a serem seguidas.
2. Proteja todos os dados : as violações de dados não são apenas hacks de rede. Você também deve avaliar a segurança física de seus dados. Os criminosos podem se infiltrar no seu negócio? Os funcionários podem acessar registros confidenciais, em papel ou eletrônicos, e roubá-los? Se você encontrar dados inseguros de qualquer forma, encontre maneiras de restringir o acesso a eles.
3. Armazene apenas os dados de que você precisa : uma maneira de minimizar os danos de uma violação de dados é não ter dados de clientes e funcionários à mão quando isso acontecer. Uma boa política a ter é armazenar apenas os dados necessários e descartá-los assim que cumprirem sua finalidade. Um exemplo é não armazenar os detalhes da transação do cliente após a compra.
4. Treine os funcionários sobre as táticas comuns de hackers : o ponto mais fraco da segurança de rede são seus funcionários.
   A maioria das violações de dados começa com um funcionário caindo em uma tentativa de phishing por e-mail clicando em um link que instala malware ou fornecendo suas credenciais de conta. Quando você tem uma força de trabalho competente em segurança, será mais difícil para os hackers terem sucesso.
5. Mantenha seu software atualizado : a segunda maneira mais comum de hackers violarem redes privadas é explorar uma fraqueza de software para obter acesso. Os fornecedores de software lançam patches de segurança com frequência e, na maioria das vezes, você pode configurar seu software para ser atualizado automaticamente pela Internet.
6. Restrinja o uso de dispositivos de armazenamento portáteis : os pendrives são ferramentas convenientes para hackers infectarem computadores em uma rede privada. Às vezes, eles se passam por funcionários ou contratados para obter acesso ao seu local de trabalho e infectar computadores com malware conectando um pendrive.
   Eles podem até deixá-los cair no chão sabendo que alguém irá conectá-los a um computador para verificar seu conteúdo.
7. Proteja sites e redes com um serviço de segurança : os serviços de segurança ajudam as empresas a defender seus sites e redes contra violações. Eles monitoram constantemente suas redes em busca de atividades suspeitas e levantam bandeiras vermelhas imediatamente. A maioria das violações leva semanas ou meses para ser executada, portanto, a detecção rápida de invasores é fundamental para impedir as violações de rede em seu caminho.
8. Criptografe todas as transferências de dados : hoje existe uma criptografia forte que impede que qualquer pessoa acesse dados sem chaves especiais para decodificá-los. Se você implementar uma política de criptografia robusta, os hackers não poderão usar os dados que roubam durante uma violação de dados.
9. Controle os direitos administrativos : os hackers precisam obter privilégios totais de administrador assim que obtêm acesso à sua rede para roubar seus dados. Você pode evitar uma possível violação de dados levando a sério a segurança de suas contas de administrador de rede. Limite o número de contas de administrador, dê a eles apenas os privilégios de que precisam e use senhas fortes para protegê-los.

Pensamentos finais

A frequência das violações de dados e o alto custo de se tornar uma vítima torna imperativo que todas as empresas criem um plano de segurança forte e o sigam .

Embora não haja como evitar uma violação de dados, você pode minimizar qualquer dano causado por ela com a preparação adequada.

Ao consultar empresas de segurança cibernética e seguir um conjunto de políticas de segurança práticas , as pequenas empresas podem manter seus dados seguros. Essas políticas de segurança incluem manter o software atualizado, garantindo que as redes sejam configuradas adequadamente para impedir o acesso não autorizado.

Nunca se esqueça de que sua segurança é tão forte quanto seu elo mais fraco e certifique-se de incluir treinamento de funcionários sobre segurança cibernética como parte de sua estratégia.

Quando seus funcionários sabem como evitar e-mails suspeitos e conhecem as boas práticas para manter seus laptops de negócios seguros ao ar livre, você reduz a probabilidade de ser uma vítima.

Um plano de segurança sólido e a vontade de implementá-lo são a chave para proteger os negócios, grandes ou pequenos.