Mês de conscientização sobre segurança cibernética de 2024

Mês de conscientização sobre segurança cibernética de 2024: as quatro principais maneiras de proteger nosso mundo

O Mês de Conscientização sobre Segurança Cibernética é uma iniciativa internacional que se concentra em maneiras simples de proteger a nós mesmos, nossas famílias e nossos negócios contra ameaças online. O tema de 2025 “Proteger o nosso mundo” destaca a penetração das tecnologias digitais que permitem ligações em todo o mundo e como medidas simples, mas eficazes, podem ter um impacto duradouro.

Em um mundo onde as nossas vidas digitais estão cada vez mais interligadas, cada vetor de ataque protegido aumenta a segurança de outras pessoas conectadas. E considerando o quão conectados somos atualmente aos nossos dispositivos, redes e à Internet em geral, muitos de nós estamos incluídos.

Principais práticas de segurança cibernética a serem implementadas

Proteja suas credenciais – sem senha!

À medida que os cyber atacantes se tornam mais habilidosos na violação das das nossas credenciais de acesso, a indústria está gradualmente se afastando das senhas em sua totalidade e migrando para um futuro passwordless. Isso significa utilizar outras formas de autenticação, como por exemplo dados biométricos, PINs, padrões e passkeys ao invés de senhas. Com mais e mais plataformas suportando passkeys e autenticação sem senha, afastar-se das senhas está se tornando mais fácil e sem atrito.

Se as opções sem senha não forem viáveis, use senhas fortes com um gerenciador de senhas. Infelizmente, menos de 40% de todos os usuários online usam uma senha distinta para cada conta, de acordo com a National Cybersecurity Alliance 2023 Oh Behave! relatório. As senhas reutilizadas dão aos cibercriminosos acesso bônus a outras áreas da vida digital de uma pessoa quando eles apenas fizeram o trabalho de roubar (ou comprar, ou quebrar) uma única credencial. Além de ter um login diferente para cada site, uma das recomendacões internacionais ( CISA ) sugere que uma senha forte contenha:

  • Pelo menos 16 caracteres.
  • Randomização, com mistura de letras, maiúsculas e minúsculas, números e caracteres especiais
  • Potencialmente uma “frase secreta” de 4 a 7 palavras, embora a randomização seja recomendada.

Em ambos os casos – senhas ou passkeys sem senha – é necessário um gerenciador de senhas (veja o motivo aqui). Uma pessoa média precisa manter o controle de aproximadamente 100 credenciais distintas, portanto não é de admirar que quase um terço da Internet use um gerenciador de senhas para organizar (e “lembrar”) todas elas.

Reconhecer e denunciar phishing

De acordo com o Relatório de Ameaças de Dados de 2024 da Thales, o phishing é o segundo ataque que mais cresce. As táticas de phishing estão se tornando mais sorrateiras, graças à IA, e é mais importante do que nunca que os funcionários sejam capazes de reconhecer seus sinais reveladores. Agora, as campanhas baseadas em IA podem produzir e-mails perfeitos em qualquer idioma, normalmente:

  • Criando um senso de urgência (gerando pânico e causando um curto-circuito no seu pensamento crítico)
  • Incentivar alguma ação não solicitada (como “alterar sua senha agora” ou “faça o download agora”)
  • Solicitar algum tipo de informação pessoal (geralmente dados financeiros)

No entanto, a maneira mais eficaz de permitir que as pessoas detectem e denunciem e-mails de phishing é fortalecer o “firewall humano”. As empresas devem investir em programas de formação de sensibilização para a segurança, não só para os seus funcionários, mas também para as suas famílias, para estabelecer uma cultura positiva onde todos sejam convidados a denunciar erros, como clicar em um link malévolo.

Ative a autenticação multifator

A autenticação multifator (MFA) é uma camada de segurança exigida por muitos provedores de serviços em nuvem e ainda mais organizações comuns. CISA, ENISA e outras agências de segurança globais aconselham que todos o adotem, pois fornece camadas adicionais de defesa além de apenas senhas (um código de verificação ou uma impressão digital, por exemplo). Existem várias opções de MFA disponíveis:

  • A MFA resistente a phishing é conhecida pela CISA como o “padrão ouro” e abrange métodos de autenticação FIDO/WebAuthn e infraestrutura de chave pública (PKI).
  • MFA baseados em aplicativos aumentam a segurança enviando uma notificação pop-up ou um “push” para o telefone do usuário, gerando uma token one-time-password (OTP).
  • SMS ou Voice MFA simplesmente enviam ao usuário uma chamada telefônica ou mensagem de texto de verificação.

Apesar da importância e da variedade dos métodos de MFA, o relatório Thales 2024 DTR mostra que apenas 46% das organizações utilizam autenticação multifator para mais de 40% dos seus funcionários. É essencial observar que, embora a MFA resistente ao phishing seja mais eficaz contra ataques de engenharia social habilitados por IA, qualquer forma de MFA é muito melhor do que nenhum tipo de MFA. Além disso, há um grande valor comercial por trás da adoção da MFA. O Thales 2024 Digital Trust Index indica que 81% dos clientes esperam que as marcas ofereçam MFA, o que serve como um meio para maior lealdade e confiança.

Atualizar software: uma defesa crítica, mas proceda com cautela

É crucial que todos os funcionários saibam que devem aceitar e aplicar atualizações de software sempre receberem uma notificação na tela, porque é assim que as vulnerabilidades são corrigidas. Um relatório do Ponemon observou que 60% das violações tiveram origem em vulnerabilidades não corrigidas, tornando esta prática simples ainda mais vital.

Os criminosos adotaram rapidamente a IA para detectar e explorar até mesmo vulnerabilidades de dia zero. Curiosamente, essas lacunas não corrigidas abrem caminho para a propagação de ataques disruptivos de ransomware. No entanto, as empresas, especialmente em ambientes de infraestruturas críticas, devem corrigir os seus sistemas com cautela e não por medo. Embora as atualizações de segurança oportunas sejam cruciais, é igualmente importante testar essas atualizações em um ambiente controlado antes de lançá-las para minimizar a possibilidade de quebrar sistemas críticos.

Um pouco faz toda a diferença

O objetivo geral do Mês de Conscientização sobre Segurança Cibernética é melhorar a sua estratégia de segurança de identidades, aplicativos, dados e software – sejam dados pessoais ou corporativos. Como ilustram os métodos destacados acima, boas medidas defensivas não precisam ser difíceis de usar ou implementar. Na verdade, mantê-lo simples e usar ferramentas e procedimentos práticos e amigáveis terá uma adoção mais ampla.

Além disso, se você for uma empresa, complemente as práticas recomendadas acima com soluções que ofereçam aplicativos robustos e proteção de dados para reduzir o potencial de violação de dados. Essas soluções protegem aplicações e APIs, descobrem e classificam dados confidenciais, fornecem inteligência sobre riscos e complementam os esforços de conscientização sobre segurança dos funcionários, permitindo que você saiba onde seus dados residem, quem os acessa e quando estão em risco. Os métodos amigáveis anteriormente mencionados permitem que seus funcionários sejam a primeira linha de defesa e a implantação de soluções Imperva o seu próximo nível de defesa.

Agora sim, isso é uma estratégia de defesa para proteger nosso mundo!

Por: Sérgio Muniz é vice-presidente de Vendas para Gestão de Identidade e Acesso de Thales para América Latina

Veja também:

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. National Public Data pede falência após ser Hackeada
  2. 10 Melhor Firewall de Aplicativos Web (WAF) – 2024
  3. Segurança de dados sólida: a base de um mundo digital seguro.

Deixe sua opinião!