As 8 coisas que você precisa incluir na política de segurança cibernética de seus funcionários

As 8 coisas que você precisa incluir na política de segurança cibernética de seus funcionários, para você a começar a usar sua política de segurança cibernética de forma mais eficaz junto a seus funcionários.

1# Manipulando dados

A maioria dos funcionários da sua empresa terá acesso a algum tipo de dados. Com dados confidenciais, é melhor limitar o acesso ao funcionário na base do “need to know“.

Lembre-se : “nem todo funcionário precisará acessar dados confidenciais para realizar suas tarefas diárias.

Há algumas etapas a serem seguidas ao lidar com dados confidenciais:

  • Documentos confidenciais devem ser armazenados de maneira segura
  • Use lixo confidencial e trituradores
  • Uso de senhas fortes
  • Limitar o acesso a documentos

Criminosos buscam dados confidenciais, como detalhes de cartão de crédito, senhas, dados de clientes e outras informações que possam ser utilizadas para fraudes, no entanto com as novas legislações, principalmente a LGPD, mesmo que não seja pelas mãos de criminosos, os dados privados devem ser protegidos e controlados.

Quando esta informação está sendo enviada para fora das organizações, é importante que seus funcionários entendam que não podem simplesmente enviar informações por e-mail.

Um sistema seguro de transferência de arquivos precisa estar em vigor, o sistema criptografará as informações e permitirá que apenas os destinatários autorizados tenham acesso a elas.

Os dados são uma parte importante de todas as empresas, garantindo que seus funcionários entendam como manipular e processar os dados é extremamente importante e deve ser uma prioridade na política de segurança cibernética de seus funcionários.

2 # senha de segurança

As senhas podem proteger ou quebrar um sistema de segurança das empresas. Sua política precisa incluir diretrizes sobre as melhores práticas de senha, como manter as senhas seguras, ter senhas fortes e atualizá-las regularmente. Outra boa prática é fornecer meios do usuário guardar suas senhas de forma segura para evitar os famosos bilhetes, cadernetas e planilhas Excel.

Aqui estão algumas dicas de senha para implementar na sua política de segurança cibernética:

    • As senhas devem atender a política de requisitos de complexidade, o que permitirá que você vá além das políticas básicas de conta de senha.
    • Certifique-se de que os funcionários redefinam suas senhas a cada 2 a 3 meses
    • Permitir uma política de auditoria de senha, isso permitirá que você rastreie todas as alterações de senha.
    • Crie uma notificação por e-mail antes da expiração da senha, lembrando seus usuários finais quando for hora de atualizar suas senhas (em todas as suas contas, não apenas em seus e-mails).
  • Sua política também deve enfatizar o ponto de nunca anotar as senhas, o que abre a oportunidade para que ocorram ataques internos de funcionários mal-intencionados, e, como citei acima, de preferência forneça uma ferramenta de guarda segura de senhas.
  • Sempre que possível implemente dois fatores de autenticação.

Lembre-se : “Uma vez que um criminoso consiga sua senha, ela pode ter acesso instantâneo. Mas, habilitar a autenticação de dois fatores pode impedir o acesso, simplesmente porque a segunda forma de autenticação é geralmente algo que eles precisam de você, como uma impressão digital, um token, comando de voz ou SMS.”

A autenticação de dois fatores já provou fortalecer a segurança das empresas, mesmo usá-la em dispositivos pessoais, para fins pessoais,  é muito benéfico, afinal, todos nós temos dados privados que não queremos que todos acessem.

Para uma boa estratégia de senhas, lembre-se que existem três tipos diferentes de autenticação:

  • Algo que você tem: um telefone, um cartão de crédito, uma chave token.
  • Algo que você conhece: um código PIN, uma senha, um nome de usuário.
  • Algo que você é: uma biométrica, como uma impressão digital, um exame de retina, um comando de voz.

A combinação de pelo menos dois destes fatores é sempre uma boa prática a ser adotada.

3 # Treinamento de conscientização sobre segurança cibernética

Independentemente de você já ter algum tipo de treinamento de conscientização de segurança, é crucial que os funcionários sejam educados de forma consistente. A maioria das empresas faz o mínimo quando se trata de conscientização de segurança. Uma sessão de sala de aula por ano ou pôster, banners e fundo de tela nos computadores do escritório simplesmente não são suficientes.

Os criminosos cibernéticos mudaram seus métodos e agora estão atacando funcionários. Você não precisa mais ser capaz de invadir um dispositivo para acessar os dados almejados

Usando métodos de engenharia social, os criminosos podem agora manipular emocionalmente as pessoas para acessar seus dados e dinheiro.

Cada funcionário tem diferentes pontos fortes e fracos quando se trata de identificar e prevenir ataques cibernéticos. Um bom programa de conscientização de segurança adaptará o treinamento de cada funcionário e localizará quaisquer lacunas de conhecimento no processo, além de educá-las usando módulos pequenos para manter uma taxa de retenção mais alta.

A plataforma ideal de conscientização de segurança deve:

  • Desenvolver uma cultura focada em segurança
  • Capacite seus funcionários
  • Proteger ativos
  • Evitar o tempo de inatividade
  • Aumentar a adoção
  • Instituir práticas proativas
  • Coletar dados de riscos por meio da conscientização
  • Colocar todos os funcionários na mesma página (incluindo, e principalmente os exxecutivos)

4 # backups e atualizações contínuas

A perda de dados pode acontecer com qualquer empresa ou pessoa. Ter um plano de backup pode ajudá-lo a evitar a perda de dados. O backup de seus dados deve ser uma parte crucial de sua política de segurança cibernética, depois que todos os dados forem o coração de qualquer empresa.

  • Por que é tão importante fazer backup de seus arquivos?

Sem um plano de backup, sua empresa pode sofrer perda permanente de dados, além de uma reputação destruída. Lembre-se de que todos os dados são um alvo, independentemente de sua função ou da empresa em que você trabalha, seus dados sempre estarão vulneráveis ​​a criminosos cibernéticos.

“43% de todos os ataques cibernéticos visam especificamente pequenas empresas”

Mais frequentemente do que não erro humano e mau funcionamento do hardware pode ser a causa da perda de dados, ambos são difíceis de prevenir e gerenciar. Se você perder seus dados sem uma opção de recuperação, será forçado a começar tudo de novo com seus dados. No entanto, tenha em mente que alguns dados não podem ser recuperados… de jeito nenhum.

Outra motivo muito comum de perda de dados, são os ataques de ransomwares, onde o criminoso encripta os seus dados e pede um resgate para devolvê-lo, mas mesmo que você pague o resgate, não é garantido que seja possível restaurar o estado original das informações.

  • Onde você deveria fazer backup de seus dados?

Existem muitas formas de mídia de armazenamento nas quais você pode fazer backup de seus dados. A escolha da mídia correta pode depender de vários fatores, como o tamanho do backup, a complexidade, o orçamento e a portabilidade. No entanto, devido ao aumento da capacidade e baixa nos custos por giga de hard disks, muitas empresas estão adotando backups em HDs e não mais em fitas, veja o que melhor se adapte a sua empresa.

  • Testar o backup

Um erro muito comum é fazer o backup mas não testar sua recuperação. Devido aos diversos fatores envolvidos no processo de backup de dados, incluindo a versão dos softwares utilizados das bases de dados, é muito importante que você tenha rotinas de testes de restauração de backups, tanto dos “backups full ” como dos “incrementais”.

Aqui estão alguns tipos de mídia de armazenamento para usar ao fazer backup de seus dados:

  • Discos rígidos externos
  • Discos (CD, DVD, Blu-ray)
  • Drives flash USB
  • Backup de nuvem

Além de fazer backup de seus dados e testar a restauração, manter seu software atualizado é igualmente importante. Seu software não é a única coisa que é atualizada com o tempo. É importante atualizar seu software regularmente porque cada nova versão vem com atualizações de segurança que prepararão seu sistema para um encontro com novas ameaças cibernéticas.

Há uma conexão especial entre hardware e software e atualizando o software cada vez que você tem uma chance é a melhor forma de se proteger. O hardware do seu dispositivo não será executado da maneira mais suave ou eficiente quando estiver operando em um software antigo.

5 # Phishing Awareness

O phishing é a forma mais comum de um ataque cibernético, tem como alvo usuários finais todos os dias e tem uma taxa de sucesso muito alta.

“76,7% das empresas sofreram um ataque de phishing em 2018”

O email é uma parte essencial das comunicações diárias de um funcionário. Também é um método favorito dos hackers para obter acesso a dados confidenciais. A conscientização utilizando emails de phishing é crucial para qualquer empresa, pois é a ameaça mais bem-sucedida, por isto seus funcionários precisam entender:

  • Os tipos comuns de e-mails de phishing
  • Como identificá-los
  • Como mitigar o risco de phishing
  • Como denunciar um email de phishing

Phishing vem em muitas formas e tem uma variedade de alvos, seus funcionários precisam entender os tipos comuns de phishing, como smishing, vishing e spear phishing, existem 27 tipos diferentes de phishing, alguns são mais comuns do que outros.

Além de conhecer os tipos comuns de e-mails de phishing, e ainda mais importante para o usuário final, é crucial saber como identificá-los. Existem alguns sinais de alerta em um email  a serem observados:

  • Senso de urgência
  • impessoal
  • erros de gramática e ortografia
  • endereço de email falso
  • empresa falsa
  • fora do contexto ou realidade da empresa

Não há uma maneira simples de controlar a ameaça de phishing. Afinal, o phishing vem em muitas formas e tem como alvo uma variedade de pessoas. O melhor lugar para começar é garantir que seus usuários finais sejam instruídos. Isso pode ser feito com uma boa plataforma de conscientização de segurança. Encontrar a plataforma de conscientização de segurança certa pode ser difícil, mas é crucial para o sucesso da conscientização dos funcionários.

“71% dos ataques direcionados envolveram o uso de e-mails de spear phishing.”

Assim como o treinamento de segurança, as simulações de phishing devem ser executadas regularmente em seus negócios, a execução de simulações trará realidade para seus funcionários e criará uma forte mentalidade para lidar com e-mails de phishing.

As simulações de phishing permitem controlar o tipo de campanha que é enviada aos usuários finais. Você também pode acompanhar as taxas de abertura e de cliques de cada campanha. Com o tempo, você verá uma diminuição nos cliques e engajamento nas campanhas de phishing e aumentará os funcionários que denunciarem os e-mails de phishing.

6 # BYOD

BYOD está se tornando muito comum para as empresas, não há como negar que traz muitos benefícios para o negócio e para o indivíduo. Se você optar por implementá-lo em sua empresa, você e seus funcionários precisam entender os possíveis riscos que podem ocorrer.

A segurança é a preocupação mais comum do BYOD. Quando os dados de uma empresa circulam pela organização, fica mais difícil gerenciar e proteger. Se você quiser recuperar o controle sobre a segurança de BYOD em sua empresa, sua política de segurança cibernética precisa abordar todos os aspectos do BYOD e seus efeitos em seus negócios.

Veja algumas ótimas dicas sobre o que incluir em sua política de BYOD:

  • Todos devem estar envolvidos na política – certificar-se de que todos compreendam os requisitos e estejam felizes com eles
  • Ajuste a política para atender a empresa e os funcionários
  • O que funciona para uma empresa pode não funcionar para outro. Sua política deve ser adaptada às necessidades de seus funcionários, sem comprometer a segurança de seus dados.
  • Crie uma lista de dispositivos que podem ser usados ​​para BYOD. Lembre-se de que nem todos os dispositivos disponíveis são adequados para fins de trabalho.

Além dos dispositivos BYOD recomendados para uso, é importante que sua política cubra os requisitos de segurança que os funcionários precisam usar em todos os dispositivos, como:

  • Atualizações de software
  • Mudanças de senha regulares
  • Backups regulares
  • Evite WiFi público

7 # Uso Seguro de Mídias Sociais

O uso mídia social tem crescido drasticamente em um curto espaço de tempo. As empresas e os consumidores usam constantemente, seja para trabalho ou uso pessoal, e seus usuários ainda continuam a crescer diariamente. No entanto, com o aumento de usuários, isso só abre mais oportunidades para ataques cibernéticos. É o que temos visto nas constantes notícias de vazamentos envolvendo os provedores de mídia social e seus “agregados” que coletam dados e acumulam dados de forma supostamente legal.

“73% das empresas não têm uma política oficial de mídia social.”

Os engenheiros sociais adoram as mídias sociais, simplesmente por causa de quão impacientes e curiosas as pessoas podem ser. Muitas pessoas irão compartilhar cada detalhe que ocorre em sua vida diária, independentemente das pessoas estarem interessadas ou não.

Isso só abre oportunidades para um engenheiro social usar essas informações sobre o indivíduo. Os funcionários precisam ter cuidado com as informações que estão divulgando para que todos vejam. Se é um local, e-mail comercial ou informações financeiras.

  • Minha empresa realmente precisa de uma política de mídia social?

Em suma, sim.

No mínimo, sua política de segurança cibernética deve informar seus funcionários sobre as melhores práticas e precauções a serem tomadas ao usar as mídias sociais no local de trabalho. É bastante comum que as organizações esperem até que tenham enfrentado um desastre de reputação antes de decidirem implementar uma política.

Aqui estão algumas coisas para incluir na sua política:

    • Quais informações devem e não devem ser publicadas on-line
    • Qual segurança deve ser usada em contas de mídia social
    • Normas e regulamentos do setor
  • Expectativas de comportamento online

8 # Manuseio de dados Privados

Como falamos acima, as leis nacionais e internacionais, como a LGPD e GDPR, tem fechado o cerco nos quesitos de proteção de dados pessoais. Não sem motivo !

“Com a LGPD e GDPR em vigor é muito importante que seus funcionários saibam identificar e manusear informações privadas.”

Segundo o “Risk Based Security’s Year End 2018 Data Breach” houve 6,515 eventos de violações de dados divulgados publicamente, expondo mais de 5 bilhões de registros sensíveis até 31 de dezembro de 2018.

Isto por si só, é motivo suficiente para nos preocuparmos com violações de dados privados, agregando-se a estes vazamentos as penalidade impostas pelos reguladores, é mais do que justificável a preocupação com a orientação de seus funcionários no manuseio de dados pessoais.

É muito comum as empresas se preocuparem com a divulgação de uma “Política de Privacidade de Dados” a seus clientes, informando qual a sua preocupação e controles sobre os dados pessoais armazenados. Até mesmo porque isto é um requisito mandatórios das leis de proteção de dados.

O que não tenho visto ser feito é uma Política de Privacidade que se aplique as funcionários da empresa.

Considero igualmente importante que sua política cibernética inclua as definições, requisitos e orientações de proteção que os funcionários devem cumprir no manuseio de informações privadas.

O primeiro passo é saber identificar o que informação privada !

Segundo Lei de Privacidade de Dados, n. 13.709 de 14 de agosto de 2018, refere-se como informação privada o conjunto de informações privadas de pessoais natural que possa ser utilizada para identificar determinada pessoa.

Dentro dos critérios da lei, considera-se:

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável, como:
    • Nome;
    • Data de nascimento;
    • CPF;
    • RG;
    • Endereço físico ou eletrônico;
    • Dados bancários;
    • ou qualquer outra forma de identificação pessoal de seu proprietário.
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Conclusão

Criar a política ideal de conscientização sobre segurança cibernética pode ser difícil. Sua política deve ser adaptada ao seu negócio e aos seus funcionários. Antes de escrever sua política de segurança cibernética, é uma boa ideia comunicar a seus funcionários que a política está sendo implementada e certificar-se de que eles estejam todos na mesma página e entendam os requisitos da política.

Uma política de segurança cibernética é tão eficaz quanto o grau em que é praticada pelos profissionais que atuam em sus empresa. Portanto, uma boa política é aquela que é entendida e aceita por todos os funcionários. Incluir tudo da lista acima ajudará você a acompanhar os regulamentos e ter uma forte cultura de segurança em seus negócios.

Fonte: Peerlyst by Emma Wods - Security Awareness Training at Unsecure  
& Hel Net Security

Veja também:

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. NETSCOUT mostra o início da era TerrorBit
  2. Os desafios da diversidade de gênero na Segurança da Informação

Deixe sua opinião!