PMEs: não sejam reféns de ciber sequestradores

Ser alvo de ataque não significa apenas ser banido dos grandes negócios. Confira as dicas do especialista para impedir que cibercriminosos sequestrem seus dados e outros ativos corporativos

Por que hackers sofisticados desperdiçam tempo com peixes pequenos enquanto sabem como capturar um troféu e gerar manchetes? Simples: eles seguem o dinheiro. “O que não gera notícia e é um tanto problemático são os assaltos, os crimes motivados pelas oportunidades”, comparou Jeff Schmidt, fundador e CEO da Jas Global Advisor. “Na visão dos criminosos, as PMEs são alvos fáceis.”

Isso faz com que pequenas e médias empresas (PME), particularmente aquelas que ignoram até mesmo as práticas básicas de segurança, chamem a atenção dos bandidos. De acordo com Schmidt, antigamente, os velhos alvos da internet eram números de seguro social e senhas de banco, mas, atualmente, os bandidos procuram bens sensíveis como informações de clientes e fornecedores, bancos de dados de marketing, dados de geolocalização e outros documentos profissionais que gerem valor para os criminosos. “Os dados nunca foram tão fáceis para bandidos monetizarem”, explicou Schmidt.

A principal lição: não seja uma presa fácil. Os fundamentos de segurança mínima continuam sendo aplicados: mantenha as correções críticas e softwares como Windows, Adobe, entre outros, sempre atualizados. Use senhas complexas – e, não as reutilize em outros sistemas. A perda de laptops, dispositivos móveis e drives externos continuam sendo um problema; por isso, é importante entender os riscos, especialmente, se o seu gerente financeiro for o PC.

Schmidt também observou que, embora algumas empresas têm problemas com as aplicações em nuvem, essas plataformas têm ganhado força, e PMEs poderão oferecer mais segurança e melhores práticas para seus clientes internamente. “Não existe compensação para tudo, mas quando essas empresas de menor porte terceirizam partes da sua infraestrutura conseguem vantagens de segurança sem ter que investir os recursos de TI”, concluiu Schmidt.

Ainda assim, os ambientes de segurança começam internamente. Seja cuidadoso com informações pessoais e corporativas nas mídias sociais ou outros domínios.

Schmidt notou que existe um número crescente de ataques contra PMEs que começam com informações individuais sobre funcionários, que bandidos roubam da internet, na esperança de encontrar alguma informação lucrativa. Isso pode incluir, por exemplo, nomes de funcionários que tenham autorização financeira ou de bancos, com acesso às credenciais e outros dados. Essas informações podem ser usadas para lançar ataques de social phishing e diversos outros com a intenção de roubar dinheiro, sequestrar sistemas ou outras condutas de espionagem corporativa. Em alguns casos, os ataques podem comprometer certos sistemas ou dados que demandem resgate.

Executivos e profissionais de finanças continuam escaneando os sistemas financeiros, mas, segundo Schmidt, outros cargos podem tornar-se alvos. Isso é verdade, principalmente, em indústrias onde as tecnologias são roteiros de desenvolvimento de produtos, códigos fonte e outros dados prioritários que têm valor externo. Para PMEs que já praticam segurança inteligente, o próximo passo é a mudança de filosofia: “em muitos casos, mesmo que PMEs tenham técnicas sofisticadas, devem proteger tudo mentalmente”, ensinou, adicionando que essa mentalidade trata estritamente da segurança como um problema técnico que deve ser mitigado com soluções técnicas como firewalls, encriptação, software de antivírus, entre outros.

Schmidth aconselhou também a adoção de uma abordagem diferente para PMEs: trate a segurança como um problema de gestão de risco. Isso envolve determinar o valor dos diferentes tipos de dados e outros ativos dentro da companhia, considerando quem pode estar interessado e qual pessoa interna tem acesso a alvos em potencial. Então, será capaz de desenvolver políticas e procedimentos mais fortes para minimizar os riscos de violação à segurança.

Isso poderia incluir funções e recursos humanos, tais como verificação de antecedentes, “regra dos dois homens”, que previne uma simples pessoa de ter acesso exclusivo aos sistemas críticos, e outras políticas de prevenção.

“Quando começa observar a fundo, a segurança torna-se tanto um problemas de política como um problema técnico, disse Schmidt. “Você começa a olhar para ele como gestão de risco e toma todas as medidas disponíveis, não apenas as medidas técnicas”.

 

fonte: PMEs: não sejam reféns de ciber sequestradores