À medida em que grandes organizações reforçam sua segurança cibernética contra possíveis ataques, cibercriminosos procuram oportunidades e voltam suas atenções para organizações menores. Para os eles, é simplesmente um jogo de números: quanto mais vítimas, mais dinheiro. Infelizmente, devido a restrições de recursos e outros fatores, muitas pequenas e médias empresas (PMEs) ficam para trás em investimentos em segurança.
Para uma PME, o impacto de um incidente de segurança cibernética pode ser devastador. A boa notícia é que existem algumas etapas simples que as PMEs podem seguir para ajudar a melhorar sua postura de segurança e manter os cibercriminosos afastados.
• Abordagem: as PMEs devem enxergar a segurança cibernética como um facilitador de negócios e não como um fardo. Isso requer alinhamento de seu investimento em segurança cibernética com as principais iniciativas de negócios e a garantia de que você conduz seus negócios de maneira responsável.
• Gestão de riscos: a gestão de riscos é a chave para a sobrevivência do negócio. É preciso entender que a gestão de risco financeiro, a gestão de risco legal e o gerenciamento de riscos de segurança cibernética não são diferentes. Vale descobrir o risco cibernético e a exposição da sua organização e planejar adequadamente sua proteção.
• Conheça o seu inimigo: É importante saber quem está te atacando e como. E isso não precisa ser sofisticado. Organizações maiores investem em inteligência de ameaças. Organizações menores podem simplesmente fazer sua própria pesquisa para entender isso. Phishing e comprometimento de e-mail comercial são os principais problemas que afetam as empresas hoje. Entenda o que são e veja se está protegido.
Abaixo, você pode considerar os quatro tipos de controles ou abordagens que podem ser usados em um contexto de segurança cibernética:
• Prever: sistemas, ferramentas, políticas e procedimentos que ajudam a detectar vulnerabilidades em sistemas e prever possíveis vias de ataque.
• Prevenir: sistemas, ferramentas, políticas e procedimentos que evitam ameaças que afetam seus sistemas. Um exemplo seria o firewall corporativo.
• Detectar: sistemas, ferramentas, políticas e procedimentos que fornecem a capacidade de detectar ameaças que podem estar afetando seu sistema. Um exemplo aqui seria um sistema de detecção de intrusão.
• Responder: sistemas, ferramentas, políticas e procedimentos que permitem responder às ameaças e contê-las ou erradicá-las. Um exemplo de política seria o Plano de Resposta a Incidentes Corporativos e ferramentas associadas, como um Sistema de Gerenciamento de Informações e Eventos de Segurança (SIEM).
Como em muitos contextos, a regra 80/20 também se aplica à segurança cibernética. Com isso, quero dizer que 20% do esforço pode mitigar 80% dos riscos – se você se concentrar nas coisas certas. Aqui estão três etapas para começar:
• Inteligência de ameaças: conduza uma pesquisa básica e descubra o que e como os cibercriminosos atacam as PMEs. Em seguida, pergunte a si mesmo: estamos com todas as medidas adequadas de segurança cibernética em vigor?
• Conscientização do usuário e mudança de cultura: Seus maiores ativos de segurança e vulnerabilidade são sua equipe. Certifique-se de que eles entendam os fundamentos da segurança cibernética e possam identificar ameaças à segurança cibernética, como um e-mail com aparência não confiável ou uma solicitação de pagamento imediato de uma conta que parece incorreta.
• Análise de risco: entenda sua postura de risco com base nas atividades de negócios e certifique-se de fazer o básico.
Pensar que investimentos em segurança são coisa só dos grandes é pensar pequeno. E mesmo que sua empresa não seja gigante, isso não significa que sua estratégia não possa ser.
Por Alexis Aguirre, Diretor de Segurança da Unisys na América Latina.
