Quando se abordam as ameaças à cibersegurança, as ameaças internas passaram para primeiro plano e são uma das principais causas de violações. No entanto, uma ameaça interna não significa que o utilizador tenha intenções maliciosas. Na maioria das vezes, a ameaça é o utilizador involuntário que comete um erro, como agir com base num e-mail de phishing, o que, por sua vez, conduz a uma violação. De acordo com o Insider Data Breach Survey 2021, 94% das organizações sofreram uma violação de dados internos no ano passado e 84% sofreram uma violação diretamente devido a erro humano. As ameaças internas vão além de cair em ataques de phishing. O IBM X-Force Threats Intelligence Index de 2019 lista sistemas, servidores e ambientes de nuvem mal configurados como uma das duas maneiras mais comuns pelas quais os insiders inadvertidos deixam as organizações abertas a ataques. Não é possível eliminar o erro humano, mas ao fornecer directrizes claras de cibersegurança e formação regular dos funcionários, a frequência e a gravidade dos incidentes podem ser reduzidas.
O primeiro passo para reduzir o papel do erro humano nos incidentes de cibersegurança é definir uma política de cibersegurança e dar formação aos funcionários para lhes ensinar o que fazer e o que não fazer em matéria de cibersegurança. Segue-se uma lista de dez pontos a incluir na sua política para o ajudar a começar.
1. Salientar a importância da cibersegurança
Comece por explicar por que razão a cibersegurança é importante e quais são os riscos potenciais. O roubo de dados de clientes ou funcionários pode afetar gravemente as pessoas envolvidas, bem como pôr em risco a empresa. É essencial que os funcionários possam encontrar rapidamente onde comunicar um incidente de segurança. Não confie que um utilizador se lembre do sítio interno onde deve procurar as informações de contacto; certifique-se de que estas se encontram numa localização intuitiva. Talvez seja possível substituir a palavra-passe escrita na nota adesiva pela informação necessária para comunicar um incidente!
2. Ensinar a gestão eficaz da palavra-passe
As palavras-passe podem fazer ou desfazer o sistema de cibersegurança de uma empresa. Inclua directrizes sobre requisitos de palavra-passe. A Publicação Especial 800-63 Revisão 3 do NIST contém alterações significativas às directrizes de palavras-passe sugeridas. Enfatize aos funcionários que eles não devem usar as mesmas senhas em sites diferentes. Faça o que está escrito. Se se espera que os funcionários se lembrem de várias palavras-passe, forneça as ferramentas necessárias para o tornar menos doloroso. Um gestor de palavras-passe tem um valor significativo. A autenticação multi-fator diminui o impacto de uma palavra-passe comprometida, mesmo que seja a palavra-passe mestra do gestor de palavras-passe.
3. Ensinar os funcionários a identificar fraudes e a adotar as melhores práticas
Informe os funcionários sobre os vários tipos de e-mails e fraudes de phishing e como detetar algo suspeito. Se os funcionários receberem um e-mail que pareça fora do normal, mesmo que pareça um e-mail interno enviado por outro funcionário, devem verificar primeiro com o remetente antes de abrir anexos ou clicar em hiperligações. É preferível confirmar com o remetente por telefone ou pessoalmente. Quando as contas de correio eletrónico são desviadas, é o atacante que responde a um inquérito sobre a validade das informações contidas no correio eletrónico. Sempre que possível, aceda ao sítio Web da empresa em vez de clicar numa ligação numa mensagem de correio eletrónico. Por exemplo, se um e-mail do LinkedIn tiver uma hiperligação, escreva www.linkedin.com e inicie sessão na sua conta para ver a mensagem.
Além disso, fornecer conhecimentos gerais de cibersegurança sobre as melhores práticas para proteger ficheiros e dispositivos pode ajudar a reforçar as defesas de uma organização. OPSWAT A Academy oferece cursos gratuitos sobre estas melhores práticas e está disponível para todos os que desejem saber mais sobre tecnologias específicas de OPSWAT.
4. Aplicar actualizações e patches
Os sistemas operativos modernos, os programas anti-malware, os navegadores Web e outras aplicações actualizam-se regularmente, mas nem todos os programas o fazem. Quando os funcionários instalam software não aprovado, o departamento de IT pode não ter conhecimento de aplicações vulneráveis não corrigidas nos seus activos. A verificação de que os sistemas operativos e as aplicações estão nos níveis actuais de patches e versões é da responsabilidade do departamento IT . O facto de não se garantir o estado dos terminais e dos servidores insere-se no âmbito das ameaças internas não intencionais provocadas por uma má configuração do sistema, etc. Deve ser efectuada uma análise regular das vulnerabilidades e uma auditoria do sistema.
5. Proteger as informações pessoais
Os atacantes procuram frequentemente dados confidenciais, tais como dados de cartões de crédito, nomes de clientes, endereços de correio eletrónico e números da segurança social. Ao enviar estas informações para fora da organização, é importante que os funcionários compreendam que não podem simplesmente enviar as informações por correio eletrónico. Deve ser utilizado um sistema seguro de transferência de ficheiros que encripte as informações e permita que apenas o destinatário autorizado aceda às mesmas. Ainda mais segura, a tecnologia como o DLP daOPSWAT pode ajudar a evitar potenciais violações de dados e violações de conformidade regulamentar, detectando e bloqueando dados sensíveis e confidenciais em ficheiros e e-mails, incluindo números de cartões de crédito e números de segurança social.
6. Bloquear computadores e dispositivos
Quando os funcionários saem das suas secretárias, devem bloquear os seus ecrãs ou terminar a sessão para evitar qualquer acesso não autorizado. Os funcionários são responsáveis por bloquear os seus computadores; no entanto, o departamento IT deve configurar tempos limite de inatividade como medida de segurança. Os computadores portáteis também devem ser fisicamente bloqueados quando não estão a ser utilizados.
7. Secure Portátil Media
Os telemóveis mobile perdidos ou roubados representam uma ameaça significativa para o proprietário e para os seus contactos. A utilização de bloqueios de ecrã para estes dispositivos é essencial. O armazenamento, como os cartões MicroSD externos e os discos rígidos dos computadores portáteis, deve ser encriptado. Ao trazer suportes portáteis, como unidadesUSB e DVDs, é importante analisar estes dispositivos em busca de malware antes de aceder a recursos como computadores de trabalho e a rede. OPSWATO MetaDefender Kiosk oferece uma solução fácil para verificar a segurança de suportes portáteis.
8. Comunicar a perda ou o roubo de dispositivos
Informe os funcionários de que os dispositivos roubados podem ser um ponto de entrada para os atacantes terem acesso a dados confidenciais e que os funcionários devem comunicar imediatamente a perda ou roubo de dispositivos. Muitas vezes, o departamento IT pode apagar remotamente os dispositivos, pelo que uma descoberta atempada pode fazer toda a diferença.
9. Assumir um papel ativo
Explique que os funcionários devem usar o senso comum e ter um papel ativo na segurança. Se virem atividade suspeita, devem comunicá-la ao administrador do IT . Se os funcionários se aperceberem de um erro, mesmo depois de este ter ocorrido, comunicá-lo a IT significa que ainda podem ser tomadas medidas para mitigar os danos. A cibersegurança é um assunto que diz respeito a todos na empresa e cada funcionário tem de ter um papel ativo na contribuição para a segurança da empresa. Se um funcionário temer perder o emprego por comunicar um erro, é pouco provável que o faça. Certifique-se de que os funcionários se sentem à vontade para comunicar incidentes.
10. Aplicar definições de privacidade
Informe os empregados de que é altamente recomendável aplicar o máximo de definições de privacidade nas suas contas de redes sociais, como o Facebook e o Twitter. Peça-lhes que se certifiquem de que apenas os seus contactos podem ver as suas informações pessoais, como a data de nascimento, a localização, etc. Limitar a quantidade de informações pessoais disponíveis online reduzirá a eficácia dos ataques de spear phishing. Esteja especialmente atento ao notar qualquer coisa, mesmo que ligeiramente suspeita, vinda de um contacto do LinkedIn. Uma conta de contacto do LinkedIn comprometida pode permitir alguns dos mais sofisticados ataques de engenharia social.
A orientação dos novos contratados deve incluir documentação e instruções sobre a política de cibersegurança. Fornecer formação regular sobre cibersegurança para garantir que os funcionários compreendem e recordam as políticas de segurança. Uma forma divertida de garantir que os funcionários compreendem a política é fazer um questionário que teste as suas acções em situações exemplificativas.
Para além de informar e formar os funcionários, as empresas têm de garantir a existência de um sistema de monitorização e gestão de computadores e dispositivos, a utilização de um sistema antimalware multiscanning para garantir a segurança dos servidores, anexos de correio eletrónico, tráfego Web e suportes portáteis, e que os funcionários podem transferir ficheiros confidenciais de forma segura. Leia mais sobre outras medidas que as empresas podem adotar para garantir um acesso seguro no escritório e em casa.
Para saber mais sobre como OPSWAT pode ajudar a proteger a sua infraestrutura crítica, agende uma reunião com um dos nossos especialistas em cibersegurança.
