Guia Pratico de segurança para pequenas e medias empresas
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Guia</strong> Prático <strong>de</strong> Segurança<br />
<strong>de</strong> TI <strong>para</strong> Pequenas Empresas<br />
Como garantir que seu negócio tenha proteção<br />
expressiva em <strong>segurança</strong> <strong>de</strong> TI
$86,500<br />
Impacto total médio <strong>de</strong><br />
um vazamento <strong>de</strong> dados<br />
em SMBs.¹<br />
Ciber<strong>segurança</strong> provavelmente soa como um problema exclusivo <strong>de</strong> gran<strong>de</strong>s <strong>empresas</strong>. Por que um<br />
cibercriminoso atacaria uma empresa <strong>de</strong> pequeno ou médio porte (SMB, na sigla em inglês)? A resposta<br />
é: por diversas razões.<br />
Se sua empresa atua como distribuidor <strong>de</strong> uma organização maior, as vulnerabilida<strong>de</strong>s <strong>de</strong> <strong>segurança</strong><br />
no seu negócio são oportunida<strong>de</strong>s <strong>para</strong> cibercriminosos. Você envia notas fiscais <strong>para</strong> uma gran<strong>de</strong><br />
empresa? Seus colaboradores enviam e-mails <strong>para</strong> ela? Possui informações confi<strong>de</strong>nciais na sua base<br />
<strong>de</strong> dados? Provavelmente, todas as anteriores, não é? Isso significa que ciber<strong>segurança</strong> <strong>de</strong>ve figurar<br />
entre suas priorida<strong>de</strong>s no que diz respeito a proteção dos dados da sua empresa, a privacida<strong>de</strong> <strong>de</strong> seus<br />
colaboradores e a relação com seu cliente.<br />
Muitas <strong>empresas</strong> menores não enten<strong>de</strong>m o custo enorme que po<strong>de</strong> advir <strong>de</strong> um vazamento <strong>de</strong> dados.<br />
Como pontuamos acima, esse tipo <strong>de</strong> invasão custa a uma SMB em média 86.500 dólares. Isso cabe<br />
no seu orçamento? E se ocorrer várias vezes? Ainda no seu orçamento? E no caso <strong>de</strong> um ataque<br />
direcionado, quando o custo se eleva <strong>para</strong> em média 143.000 dólares?²<br />
Em pesquisa recente, mostramos que 86% dos pequenos negócios se preocupam com perdas <strong>de</strong><br />
dados, especificamente como resultado <strong>de</strong> colaboradores per<strong>de</strong>ndo dispositivos no sentido físico.<br />
A preocupação não está errada. Se um vazamento <strong>de</strong> dados não é <strong>de</strong>tectado por mais <strong>de</strong> uma semana<br />
em uma SMB, uma média <strong>de</strong> 70.000 registros sensíveis <strong>de</strong> clientes ou parceiros são comprometidos.³<br />
Quando a política em vigor é <strong>de</strong> que colaboradores usem seus dispositivos na empresa (BYOD), 54%<br />
das organizações passaram por exposições em função <strong>de</strong> aparelhos perdidos. Na verda<strong>de</strong>, falta <strong>de</strong><br />
cuidado por parte <strong>de</strong> funcionário contribuiu diretamente <strong>para</strong> 48% dos inci<strong>de</strong>ntes <strong>de</strong> ciber<strong>segurança</strong>,<br />
mais do que roubo <strong>de</strong> dispositivos.<br />
Claramente, ciber<strong>segurança</strong> <strong>de</strong>ve estar entre as priorida<strong>de</strong>s, caso você seja uma SMB que possua<br />
<strong>empresas</strong> maiores como clientes, tenha informações sensíveis na sua base <strong>de</strong> dados, ou tenha<br />
funcionários com acesso a informações sensíveis. Em outras palavras, algo que <strong>de</strong>ve preocupar<br />
qualquer empresa, in<strong>de</strong>pen<strong>de</strong>ntemente <strong>de</strong> seu porte.<br />
Agora que você enten<strong>de</strong> a importância, o que po<strong>de</strong> fazer sobre?<br />
1, 2, 3. Pesquisa <strong>de</strong> riscos em <strong>segurança</strong> <strong>de</strong> TI Corporativa 2016 da Kaspersky Lab e B2B International
Seu checklist <strong>de</strong> <strong>segurança</strong><br />
Existem medidas específicas <strong>para</strong> proteger sua empresa e você não<br />
precisa ser graduado em TI ou ter experiência em ciber<strong>segurança</strong><br />
<strong>para</strong> implementá-las.<br />
Solução <strong>de</strong> <strong>segurança</strong> multicamadas<br />
Nenhum <strong>de</strong>partamento <strong>de</strong> TI é uma ilha. Ter a tecnologia certa ao seu lado irá garantir quesua<br />
empresa seja protegida <strong>de</strong> todas as ameaças, incluindo aquelas resultantes <strong>de</strong> erro humano.<br />
Uma solução robusta e multicamadas que prevê, <strong>de</strong>tecta e respon<strong>de</strong> a ameaças é essencial<br />
<strong>para</strong> qualquer pequeno negócio.<br />
Educação <strong>de</strong> funcionários<br />
Com 48% dos inci<strong>de</strong>ntes <strong>de</strong> ciber<strong>segurança</strong> atribuídos diretamente a falta <strong>de</strong> cuidados <strong>de</strong><br />
funcionários, você não po<strong>de</strong> se dar ao luxo <strong>de</strong> ignorar a formação em ciber<strong>segurança</strong>. Na<br />
verda<strong>de</strong>, seus colaboradores são sua primeira linha <strong>de</strong> <strong>de</strong>fesa, entretanto, esses por vezes não<br />
enten<strong>de</strong>m o papel que precisam cumprir. Ao <strong>de</strong>ixarem <strong>de</strong> abrir um anexo suspeito ou saber<br />
quando alertar o <strong>de</strong>partamento <strong>de</strong> TI, sua empresa estará muito mais segura.<br />
Em muitas <strong>empresas</strong>, políticas <strong>de</strong> TI são pensadas <strong>de</strong> modo que dificilmente são absorvidas por<br />
seus colaboradores. Inclusive, a maioria fornece a funcionários documentos gigantescos que<br />
muitos assinam, porém poucos leem e enten<strong>de</strong>m. Programas <strong>de</strong> treinamento <strong>de</strong> colaboradores<br />
po<strong>de</strong>m ser divertidos e informativos. Lunch and learns, gamificações e prêmios, são formas<br />
interessantes <strong>de</strong> engajar as pessoas nesse tópico fundamental.<br />
O que é phishing?<br />
Phishing representa ataques <strong>de</strong> engenharia social que envolvem envio <strong>de</strong> e-mails ou<br />
mensagens disfarçadas como legítimas. Po<strong>de</strong>m parecer <strong>de</strong> uma empresa verda<strong>de</strong>ira ou<br />
<strong>de</strong> autorida<strong>de</strong>s policiais, mas no fim, carregam malware. Essas mensagens são pensadas<br />
especificamente <strong>para</strong> compelir a vítima a abrir o e-mail por meio do medo e intimidação.<br />
Uma vez aberto, o software malicioso é baixado no computador, e o cibercriminoso está<br />
no sistema.<br />
Veja nosso eBook Os Perigos do Phishing <strong>para</strong> mais informações sobre essa tática<br />
perigosa.
Senhas<br />
Diretores também precisam assegurar-se do uso <strong>de</strong> senhas fortes, únicas que misturam<br />
símbolos, números e letras maiúsculas e minúsculas. Palavras comuns po<strong>de</strong>m ser <strong>de</strong>scobertas<br />
por programas pautados em dicionários. Mesmo que uma senha forte, caso seja <strong>de</strong>svendada e<br />
tenha sido usada <strong>para</strong> propósitos múltiplos, o estrago po<strong>de</strong> ser ainda maior.<br />
Patches e atualizações<br />
Cibercriminosos ten<strong>de</strong>m a explorar vulnerabilida<strong>de</strong>s em softwares <strong>para</strong> comprometer sistemas.<br />
Por essa razão, é essencial se<strong>para</strong>r um tempo <strong>para</strong> instalar patches e atualizações<br />
regularmente emitidas por <strong>empresas</strong> <strong>de</strong> software.<br />
xxxxx<br />
Com as ferramentas automatizadas <strong>de</strong> gestão <strong>de</strong> patches e avaliação <strong>de</strong> vulnerabilida<strong>de</strong>s da<br />
Kaspersky Lab, você elimina uma preocupação, já que seu sistema passará por verificações e<br />
atualizações quando necessário <strong>para</strong> mantê-lo atualizado.<br />
Não cometa os erros <strong>de</strong> sempre<br />
na hora <strong>de</strong> escolher sua senha:<br />
1<br />
Usar opções fáceis <strong>de</strong> lembrar e adivinhar como “senha” ou “123456”.<br />
1 2 3 4 5 6<br />
2<br />
3<br />
4<br />
5<br />
Usar seu e-mail, nome ou informações obtiveis facilmente como senha.<br />
Definir uma pergunta <strong>de</strong> <strong>segurança</strong> que um hacker possa <strong>de</strong>scobrir com um pouco<br />
<strong>de</strong> pesquisa como o nome <strong>de</strong> solteira da sua mãe.<br />
Fazer modificações óbvias em palavras normais, como colocar um “1” no fim.<br />
Usar frases comuns. Mesmo sentenças <strong>pequenas</strong> como “teamo”.
54%<br />
das <strong>empresas</strong> passaram por vazamentos<br />
por colaboradores que per<strong>de</strong>ram dispositivos. 4<br />
Use o seu dispositivo (BYOD)<br />
Cada vez mais <strong>empresas</strong> <strong>de</strong> pequeno e médio porte estão adotando políticas <strong>de</strong> BYOD (da sigla em<br />
inglês Bring Your Own Device) como conveniência <strong>para</strong> empregados e medida <strong>de</strong> corte <strong>de</strong> custo.<br />
Mas muitos problemas po<strong>de</strong>m aparecer, caso isso não seja feito corretamente. No fim, o sucesso da<br />
implementação <strong>de</strong>ssa prática está atrelado aos colaboradores seguirem as regras, especialmente no<br />
que diz respeito a perda <strong>de</strong> dispositivos que po<strong>de</strong> levar a vazamentos <strong>de</strong> dados.<br />
Com 40% das <strong>empresas</strong> 4 ao redor do mundo alegando que colaboradores escon<strong>de</strong>m inci<strong>de</strong>ntes <strong>de</strong><br />
<strong>segurança</strong>. Assegure que sua equipe esteja confortável em reportar qualquer inci<strong>de</strong>nte que venha<br />
ocorrer com seus dispositivos, inclusive perda ou roubo.⁴<br />
Criptografia<br />
Cada vez mais <strong>empresas</strong> <strong>de</strong> pequeno e médio porte estão adotando políticas <strong>de</strong> BYOD (da sigla em<br />
inglês Bring Your Own Device) como conveniência <strong>para</strong> empregados e medida <strong>de</strong> corte <strong>de</strong> custo.<br />
Mas muitos problemas po<strong>de</strong>m aparecer, caso isso não seja feito corretamente. No fim, o sucesso da<br />
implementação <strong>de</strong>ssa prática está atrelado aos colaboradores seguirem as regras, especialmente no<br />
que diz respeito a perda <strong>de</strong> dispositivos que po<strong>de</strong> levar a vazamentos <strong>de</strong> dados.<br />
4. O fator humano na <strong>segurança</strong> <strong>de</strong> TI: como os funcionários estão <strong>de</strong>ixando os negócios vulneráveis <strong>de</strong> <strong>de</strong>ntro
Enten<strong>de</strong>ndo os riscos<br />
Algumas histórias em ciber<strong>segurança</strong> são lendárias. Fique ligado<br />
nesses casos, tome-os como avisos e assegure-se que sua empresa<br />
não entre nesse hall da fama.<br />
Um café bem caro<br />
Depois <strong>de</strong> dar tchau ao último cliente do dia, Thomas trancou tudo e saiu do escritório. Do<br />
outro lado da rua ficava um café on<strong>de</strong> marcara <strong>de</strong> encontrar um amigo. Ao se lembrar que o<br />
pagamento <strong>de</strong> um fornecedor venceria no dia seguinte, <strong>de</strong>cidiu tomar providência antes <strong>de</strong><br />
esquecer-se.<br />
Thomas usou seu computador <strong>para</strong> se conectar à re<strong>de</strong> <strong>de</strong> WiFi do café e fazer a transferência<br />
no site do banco. Feliz por não ter esquecido, retorna ao seu encontro.<br />
Ao ver sua conta outro dia, estava vazia. Enquanto ficou atônito sem saber o que aconteceu,<br />
seus colaboradores esperavam pelo pagamento.<br />
Como aconteceu?<br />
Infelizmente, Thomas não possuía qualquer anti-malware instalado e <strong>de</strong>u <strong>de</strong> cara com um<br />
keylogger malicioso. Os responsáveis pelo programa tiveram acesso a toda informação<br />
digitada. E por estar usando WiFi público <strong>de</strong>sprotegido, há também o risco da transação ter<br />
sido interceptada.<br />
O que po<strong>de</strong>ria ter sido feito diferente?<br />
Transações bancárias <strong>de</strong>vem ser feitas apenas em dispositivos com anti-malware, e sempre<br />
por um navegador seguro.
Aumento <strong>de</strong> e-mails in<strong>de</strong>sejados<br />
Maria é psicóloga. Todas as manhãs, ela abre seu e-mail e verifica se sua próxima consulta<br />
está confirmada. No topo <strong>de</strong> sua caixa <strong>de</strong> entrada, nota uma mensagem <strong>de</strong> uma mídia social<br />
que usa, requerendo que atualize sua senha <strong>para</strong> uma mais forte. Ao clicar no link fornecido,<br />
confirma a senha existente, e substitui por uma nova que nada mais é que antiga com as<br />
letras substituídas por asteriscos.<br />
Feliz que sua conta será mais difícil <strong>de</strong> hackear, volta <strong>para</strong> sua caixa e esquece o ocorrido.<br />
Mais tar<strong>de</strong>, recebe uma mensagem <strong>de</strong> um cibercriminoso, ameaçando publicar <strong>de</strong>talhes <strong>de</strong><br />
pacientes.<br />
Como aconteceu?<br />
Maria foi vítima <strong>de</strong> phishing. Embora o site fosse idêntico ao visitado milhares <strong>de</strong> vezes,<br />
nada mais era que uma cópia. Depois <strong>de</strong> ganhar acesso ao seu perfil, os bandidos também<br />
alcançaram <strong>de</strong>talhes <strong>de</strong> sua clínica. Tentaram usar a mesma senha <strong>para</strong> entrar no e-mail<br />
<strong>de</strong> trabalho, e como ela usava a mesma senha, conseguiram. Por isso, os cibercriminosos<br />
conseguiram ler todas as mensagens e arquivos associados – um <strong>de</strong>les continha os<br />
pacientes e seus contatos.<br />
O que po<strong>de</strong>ria ter sido feito diferente?<br />
Primeiro, ela <strong>de</strong>via estar ciente que sites legítimos e organizações nunca pe<strong>de</strong>m por<br />
<strong>de</strong>talhes por e-mail. Com um bom software <strong>de</strong> <strong>segurança</strong>, ela teria sido aletrada sobre a<br />
farsa.<br />
Segundo, Maria usava a mesma senha em suas contas pessoais e profissionais. Variar sua<br />
senha é crucial <strong>para</strong> assegurar sua ciber<strong>segurança</strong>.
True Cybersecurity for Business<br />
A abordagem <strong>de</strong> ciber<strong>segurança</strong> <strong>de</strong> verda<strong>de</strong> da Kaspersky Lab combina <strong>segurança</strong><br />
multicamadas com inteligência <strong>de</strong> ameaças assistida por nuvem e aprendizado <strong>de</strong> máquina<br />
com objetivo <strong>de</strong> proteger seu negócio <strong>de</strong> ameaças. Visamos não apenas prevenir ataques, mas<br />
também os antecipar, <strong>de</strong>tectar e respon<strong>de</strong>r rapidamente, tudo isso, enquanto garantimos a<br />
continuida<strong>de</strong> do funcionamento <strong>de</strong> sua organização.<br />
Sobre a Kaspersky Lab<br />
A Kaspersky Lab é uma das <strong>empresas</strong> <strong>de</strong> cibersegruança <strong>de</strong> crescimento mais rápido e a maior<br />
privada. Está ranqueada entre as quarto principais distribuidoras <strong>de</strong> soluções <strong>de</strong> <strong>segurança</strong><br />
<strong>para</strong> terminais (IDC, 2014). Des<strong>de</strong> 1997, a Kaspersky Lab inova em ciber<strong>segurança</strong> e fornece<br />
soluções <strong>de</strong> <strong>segurança</strong> digitais e inteligências <strong>de</strong> ameaças <strong>para</strong> gran<strong>de</strong>s <strong>empresas</strong>, SMBs<br />
e consumidores. A Kaspersky Lab é uma empresa internacional. Opera em quase 200 países<br />
e territórios ao redor do mundo, protegendo mais <strong>de</strong> 400 milhões <strong>de</strong> usuários pelo mundo.<br />
Para saber mais sobre o Kaspersky Endpoint Security for Business,<br />
acesse: www.kaspersky.com.br/business<br />
Assista no<br />
YouTube<br />
Curta no<br />
Facebook<br />
Acesse o<br />
blog<br />
Siga no<br />
on Twitter<br />
Siga no<br />
LinkedIn<br />
Experimente grátis<br />
Saiba mais<br />
www.kaspersky.com.br/business<br />
© 2017 AO Kaspersky Lab. Todos os direitos reservados.<br />
As marcas registradas e marcas <strong>de</strong> serviço são proprieda<strong>de</strong> <strong>de</strong> seus respectivos propietários.