10 Dicas de Segurança na Internet em 2020 para PMEs

10 Dicas de Segurança na Internet em 2020 para PMEs

Com o aumento da conectividade das empresas, pessoas e dispositivos, também aumentam os riscos associados a vulnerabilidade dos sistemas e usuários a malware, phishing, ransomware, hackers, vírus e tantas outras ameaças. Para ajudar na gestão da internet das pequenas e médias empresas, trazendo mais segurança na internet e também auxiliando na produtividade dos colaboradores, elencamos 10 dicas atualizadas que podem servir como base para a adoção de uma cultura de segurança da informação na sua empresa em 2020.

  1. Usar senhas seguras para todos usuários e equipamentos
  2. Ativar a autenticação de dois fatores (2FA)
  3. Proteger e controlar o acesso à internet
  4. Usar antivírus em todos computadores
  5. Limitar e registrar o tráfego de rede com um Firewall
  6. Ter cópias de backup dos dados importantes
  7. Manter software sempre atualizado
  8. Restringir permissões em arquivos compartilhados
  9. Educar os colaboradores sobre phishing e engenharia social
  10. Implantar uma política de uso dos recursos de TI

Usar senhas seguras para todos usuários e equipamentos

Ainda hoje a senha é a forma mais importante de autenticação para acesso a informações e recursos computacionais. Computadores cada vez mais velozes permitem quebrar em pouco tempo uma senha que há alguns anos seria impossível de ser quebrada. Portanto, atualmente é necessário utilizar senhas mais longas para aumentar a segurança na internet.

Adote como regra na empresa o uso de senhas fortes:

  • senhas com comprimento mínimo de 8 caracteres (preferencialmente 12 ou mais);
  • que combinem maiúsculas, minúsculas, números e símbolos; e
  • que não contenham informações óbvias ou sequências simples.

Mais informações sobre segurança de senhas você encontra no artigo com recomendações e dicas para criar senhas fortes e seguras e no guia para criação e gerenciamento de contas de usuário e senhas seguras.

Uma pesquisa da PreciseSecurity.com revelou que 30% das infecções por ransomware ocorreram devido ao uso de senhas fracas. Outra pesquisa, feita pelo Google, mostra que 2 em cada 3 pessoas reutilizam a mesma senha em diferentes serviços que acessam na internet, sendo que mais de 50% das pessoas informaram que usam uma mesma senha “favorita” na maior parte dos sites e sistemas que acessam.

Não esqueça também que é extremamente importante alterar a senha padrão de fábrica dos equipamentos conectados à rede. Por exemplo, muitos roteadores Wi-Fi e câmeras de vigilância vêm de fábrica com usuário admin e senha padrão admin. Se você não trocar essa senha, o equipamento estará vulnerável e poderá ser prejudicial à segurança de toda sua rede, incluindo problemas com privacidade e vazamento de informações. Da mesma forma, contas de usuário “administrador” e quaisquer outras não utilizadas também devem permanecer com senha forte ou então bloqueadas.

Ativar a autenticação de dois fatores (2FA)

A autenticação de dois fatores também é chamada de verificação em duas etapas, ou ainda, em inglês, de two-factor authentication – termo de onde deriva a abreviatura 2FA. Essa técnica complementa a senha e adiciona muita segurança no acesso a sistemas e recursos na internet.

Com a autenticação de dois fatores, o acesso irá depender da senha correta e também de mais algum fator, como um código enviado por SMS ou um código gerado em um aplicativo no smartphone. Dessa forma, mesmo que alguém descubra a senha da conta de email, não conseguirá acessar a conta pois dependerá do código que será enviado para o smartphone do proprietário da conta.

É recomendável que seja ativada, pelo menos nos recursos mais importantes. Nesse rol de recursos importantes a serem protegidos com certeza entra a conta de email, pois através do email é possível redefinir a senha de muitos outros serviços, por meio de funções do tipo “Esqueci minha senha”.

Para começar a usar 2FA, recomendamos que seja ativada a autenticação de dois fatores no Gmail e no WhatsApp. A autenticação de dois fatores é chamada de “verificação em duas etapas” pelo Google e aumenta bastante a segurança do Gmail. A mesma funcionalidade também é chamada de “confirmação em duas etapas” pelo WhatsApp, sendo muito recomendável que esteja ativada para tornar mais difícil o roubo ou “clonagem” do WhatsApp.

Verifique também nas demais aplicações importantes em uso na empresa se elas possuem a funcionalidade de 2FA ou autenticação de dois fatores e busque ativar essa proteção.

Proteger e controlar o acesso à internet

É recomendado utilizar ferramentas que evitem o acesso a conteúdo nocivo, como sites suspeitos que muitas vezes contém vírus ou malware. É comum que os colaboradores recebam emails falsos com links que direcionam para sites de fraudes. Além disso, muitas vezes a tentativa de download de músicas em mp3, ou conteúdo adulto e jogos podem terminar com uma instalação de vírus. A maioria dos ataques começa a partir do acesso a um site nocivo ou malicioso, ao ocorrer o acesso esse site instala um vírus de forma oculta no equipamento e com isso abre uma porta na rede para que outros ataques ocorram, prejudicando de forma geral a segurança na internet.

O uso de mecanismos de proteção contra o acesso a sites maliciosos é cada vez mais importante. Através deste tipo de controle, é possível definir quais grupos de usuários terão acesso a quais tipos de sites, evitando assim o uso de sites indevidos ao escopo do trabalho e também o acesso a endereços com conteúdo nocivo. Por meio dessa ferramenta, o gestor protege a rede contra os sites utilizados em ataques de phishing, propagação de malware e ransomware.

Como controlar a navegação e bloquear o acesso a sites nocivos? Veja o artigo sobre gestão e controle de acesso à internet para pequenas e médias empresas. Uma boa solução para proteção e controle do acesso à internet em pequenas e médias empresas é o Lumiun, que protege a navegação contra sites maliciosos e gera relatórios dos acessos, aumentando a segurança das informações e a produtividade dos colaboradores. É uma solução de fácil implementação e gerenciamento, demandando baixo investimento.

 

Usar antivírus em todos computadores

Especialmente nos computadores e servidores com sistema operacional Windows, é imprescindível o uso de um bom software antivírus, atualizado e configurado para realizar varreduras periódicas. Atualmente o antivírus não pode ser deixado de lado ou ser substituído por outras soluções, sendo essencial para a segurança na internet. Na empresa deve-se optar por uma licença paga e não utilizar software pirata ou continuar com versões de avaliação. É importante que o antivírus e/ou antimalware esteja sempre atualizado e ativado para oferecer sua proteção. Um antivírus desatualizado, ou com a proteção em tempo real desativada, perderia a eficiência e deixaria os computadores mais vulneráveis.

Algumas boas opções de antivírus para pequenas e médias empresas:

Limitar e registrar o tráfego de rede com um Firewall

O firewall controla o fluxo de dados, com ele é possível filtrar o tráfego, configurando o que deve passar e o que deve ser descartado. Quando configurado corretamente em uma rede de computadores, o firewall funciona como uma camada adicional de proteção contra ataques externos e aumenta a segurança da empresa na internet, incluindo suas informações, equipamentos e sistemas. Normalmente o firewall é uma das principais defesas no perímetro de uma rede privada, sendo um componente essencial na proteção contra tráfego indesejado e tentativas de invasão.

Verifique se você possui um firewall ativo e bem configurado que esteja fazendo a proteção e o registro das conexões entre a internet e os equipamentos da sua rede local. Se for possível, mantenha bloqueado no firewall os acessos da internet para seus servidores internos, especialmente o serviço de área de trabalho remota, ou remote desktop. Esse serviço é alvo constante de tentativas de invasão para implantação de ransomware com bloqueio e sequestro de dados. Já foi emitido um alerta pelo FBI a respeito da grande onda de ataques ao protocolo de área de trabalho remota (RDP). O alerta cita inclusive a existência no mercado negro de comercialização de listas de servidores vulneráveis a invasão, que possuem acesso irrestrito à porta padrão da área de trabalho remota (3389).

Entre boas soluções de firewall de rede para pequenas e médias empresas podemos citar FortiGate, SonicWall, Lumiun, Sophos e pfSense. Leia mais sobre isso no artigo “Firewall: sua rede precisa dessa proteção?

Ter cópias de backup dos dados importantes

Nunca é demais relembrar a importância de ter um backup confiável, a partir do qual possam ser recuperados os dados importantes após qualquer incidente. Em alguns tipos de ataque, como por exemplo o ransomware, que bloqueia os dados até o pagamento de um resgate, a principal maneira de solucionar o problema passa por restaurar os dados da empresa a partir de uma cópia de backup. O backup é fundamental na segurança das informações da empresa.

A estratégia de backup deve ser implementada de maneira que haja uma cópia de segurança mantida em um local desconectado do local original dos dados. Se a cópia de segurança for feita em um disco adicional constantemente conectado ao servidor ou à rede onde ficam os dados originais, no caso específico do ransomware, é possível que os arquivos do backup também sejam bloqueados no momento do ataque, tornando o backup inútil. É importante ter uma cópia de segurança em local separado do local original em que ficam os dados.

Para entender a importância de fazer cópia de segurança dos dados e documentos da sua empresa, imagine, de repente, a sua empresa perder todas suas planilhas financeiras, controles gerenciais, dados comerciais, informações de clientes, dos produtos e serviços oferecidos e históricos dos seus colaboradores. É muito difícil imaginar a profundidade do impacto de uma situação dessas em uma empresa. O prejuízo será enorme, e haverá comprometimento de todas atividades administrativas e comerciais da empresa.

Para evitar essa situação, é essencial manter uma estratégia de backup bem estruturada. Quanto mais automatizada for a tarefa de realizar o backup, maior a chance de tê-lo em dia quando houver a necessidade de uma restauração de dados. É importante documentar e testar periodicamente o processo de restauração: a real utilidade de um backup não é o backup em si, mas sim a restauração com sucesso.

Para empresas que ainda não possuem backup bem estruturado e desejam começar com uma cópia dos seus dados importantes na nuvem, algumas opções de serviços para backup simples em nuvem são as seguintes:

Manter software sempre atualizado

As empresas que produzem software estão continuamente fazendo correções em seus programas, para corrigir defeitos, melhorar desempenho e adicionar funcionalidades. Entre essas correções também se encontram soluções contra vulnerabilidades e melhorias de segurança nos pacotes de software. É cada vez mais importante manter o sistema operacional e demais pacotes de software com atualizações automáticas ativadas, ao menos para aquelas relacionadas à segurança da informação.

Exemplificando, o ransomware conhecido como WannaCry (ou WannaCrypt) – que se instala em computadores com Windows, criptografa os dados e exige resgate – pode atacar com sucesso computadores que não possuem a atualização MS17-010. De acordo com a Microsoft, “a atualização de segurança MS17-010 resolve várias vulnerabilidades no Windows Server Message Block (SMB) v1. O ransomware WannaCrypt está explorando uma das vulnerabilidades que faz parte da atualização MS17-010. Os computadores que não têm a MS17-010 instalada correm altos riscos devido às diversas variações do malware.Como verificar se a MS17-010 está instalada

Restringir permissões em arquivos compartilhados

Em muitas pequenas e médias empresas, é um item deixado de lado. No entanto, é relevante checar o nível de acesso que cada usuário ou grupo de usuários necessita em relação aos arquivos compartilhados na rede, por exemplo, no sentido de não fornecer acesso além do necessário. Se um grupo de usuários necessita apenas visualizar determinados arquivos, e não modificar, que tenha acesso somente leitura. Essa segregação das permissões de acesso de acordo com a necessidade de cada grupo de usuários é essencial para a segurança da informação. Com isso se evita que usuários não autorizados possam, por exemplo, alterar os arquivos do sistema utilizado pela empresa ou as planilhas do planejamento financeiro.

Também deve-se evitar o uso generalizado de contas de usuário de nível administrativo, como administrador ou root, nos computadores. Da mesma forma que o cuidado em relação às permissões de acesso a arquivos, essa medida limita a extensão do dano que um usuário, mesmo sem intenção, poderia provocar aos dados.

Educar os colaboradores sobre phishing e engenharia social

O phishing é um tipo de crime cibernético que utiliza técnicas de engenharia social com o objetivo de enganar os usuários de internet, por meio de mensagens e sites falsificados. O objetivo é roubar informações sigilosas, como senhas de acesso e dados de cartões de crédito, além de induzir, em alguns casos, ao pagamento de boletos fraudulentos.

O volume de ataques do tipo phishing tendo como alvo pessoas e empresas no Brasil continua muito alto: de cada 5 usuários brasileiros, 1 está suscetível a phishing. O Brasil está na 3ª posição do ranking dos países mais atacados por golpes de phishing. Um relatório publicado pela Cisco em 2019 apontou que 38% dos entrevistados enfrentaram problemas com phishing no último ano.

A empresa deve conscientizar seus colaboradores para um comportamento de segurança na internet.

Treinamento dos colaboradores sobre phishing

A orientação aos colaboradores em relação ao phishing deve contemplar especialmente os seguintes aspectos:

  • Atenção ao que a mensagem está oferecendo ou solicitando: desconfie de e-mails, SMS ou anúncios com ofertas de produtos a preços muito abaixo do normal, não acredite em ofertas enviadas com preço incrivelmente baixo. Não acredite em e-mails que solicitam que você responda com seu usuário e senha do webmail ou do banco, isso é fraude. Mensagens supostamente enviadas pela Receita Federal informando sobre irregularidade no CPF também são fraudulentas. Desconfie de e-mails supostamente enviados pelo banco com link para atualizar o módulo de internet banking. Não acredite em e-mails com orçamentos, faturas ou ordens de serviço que você nunca solicitou. E preste atenção ainda ao texto da mensagem, é muito comum que mensagens de phishing contenham erros de ortografia.
  • Atenção ao remetente e aos links contidos nas mensagens: observe com atenção o endereço de e-mail do remetente e também o endereço de destino dos links contidos na mensagem. Se parecerem estranhos, desconfie imediatamente, não clique.
  • Atenção ao endereço do site: caso tenha clicado em um link e foi direcionado para um site, um arquivo para download ou um formulário solicitando dados, tenha muita atenção ao endereço que aparece na barra de endereços do navegador. Aquela dica de verificar se o site possui o cadeado do HTTPS (criptografia) já não é suficiente, pois os sites de phishing novos também usam HTTPS. No entanto é importante analisar se o endereço do site está correto. Na dúvida, pesquise no Google o nome da empresa que deseja acessar e verifique o endereço real do site dela.

Para mais informações, incluindo exemplos de phishing e técnicas de proteção, veja o artigo Phishing: como se proteger e não cair no golpe.

Implantar uma política de uso dos recursos de TI

O ideal é que a empresa se preocupe em documentar e informar a todos os colaboradores sobre uma política do uso aceitável da internet e dos recursos de tecnologia, visando a segurança da informação e a produtividade dos colaboradores. Essa política deve descrever o que pode ser acessado na rede da empresa e quais as penalidades no caso de não cumprimento das regras. Por questões legais, a empresa pode exigir que o funcionário assine um termo de conhecimento dessa política, informando sua ciência quanto as regras e penalidades.

Os colaboradores devem ser orientados para boas práticas de segurança na internet e devem ter consciência sobre a sua responsabilidade de manter protegidos os dados e informações da empresa.

Disponibilizamos um modelo de documento sobre política de uso da internet nas empresas. Você pode utilizá-lo para informar e dar ciência aos colaboradores sobre a política de uso da internet no ambiente de trabalho da empresa, para assegurar o uso adequado da internet e recursos de tecnologia por parte do colaborador.

Um ponto a ser contemplado nessa política é a utilização de equipamentos pessoais no ambiente de trabalho, especialmente o celular – smartphone – a empresa deve deixar claro qual é a regra. Para facilitar a criação de uma política específica sobre de uso do celular na empresa, visando o uso adequado dos equipamentos sem prejudicar o foco e a produtividade, veja o modelo de documento sobre política de uso do celular nas empresas.

Para finalizar

Acreditamos que o cuidado com a segurança da informação é essencial para o sucesso das empresas em crescimento. Certamente terão uma boa segurança na internet em 2020 aquelas pequenas e médias empresas que implantarem, de forma gradual e consistente, os 10 fatores abordados nesse artigo: senhas seguras para todos usuários e equipamentos; autenticação de dois fatores (2FA); proteção e controle do acesso à internet; antivírus em todos computadores; firewall para limitar e registrar o tráfego de rede; backup dos dados importantes; software sempre atualizado; permissões restritas em arquivos compartilhados; educação dos colaboradores sobre phishing e engenharia social; e uma política de uso dos recursos de TI.

Esse artigo foi útil para você? Ficou com alguma dúvida? Pode escrever um comentário ou entrar em contato diretamente comigo em heini@lumiun.com

Lumiun DNS integração com software pfsense
Teste grátis Lumiun DNS
10 comentários

Comentários fechados

Posts Relacionados