10 Boas Práticas de Segurança Informática para Empresas

Introdução

As Tecnologias da Informação são ferramentas poderosas para que, micro e pequenas empresas, consigam atingir novos mercados e aumentar a produtividade e a eficiência.

No entanto, é necessário implementar uma estratégia de segurança informática para a empresa, de forma a proteger o seu negócio, os clientes e os dados contra as crescentes ameaças à segurança da informação corporativa.

A ausência, eficiente, de proteção contra ataques informáticos podem levar ao fim do seu negócio. Leia este artigo e adote estas 10 boas práticas para aumentar a segurança informática na sua empresa.

 

Antes de partirmos para as Boas Práticas é necessário desmistificar este mito:

“PME´s não são alvo de Ataques Informáticos“.

Embora os ataques informáticos em grandes organizações façam as manchetes dos jornais e tenham maior destaque em todos os órgãos de comunicação social (Exemplo: Ataque Informático à Câmara de Vinhais) as pequenas empresas são também alvos dos Hackers.

Com um nível de cibersegurança mais baixo do que as grandes empresas, as Micro e PME´s são constantemente alvos de ataques. Os Hackers sabem que empresas de menor dimensão são menos cuidadosas no ponto de vista da segurança, subestimando em muitos dos casos, o valor da informação de negócio.

 

Quais são os tipos de ataques informáticos mais comuns em empresas?

O objetivo principal destes ataques é explorar informação confidencial.

Malware (Vírus, Worms, Trojans, Ransomware e Spyware)

Roubo de Passwords (3 tipos principais)

• BruteForce, Consiste em tentativa/erro para descobrir a senha.
• Ataques de Dicionário (Utiliza um programa para verificar combinações entre a palavra-chave e dicionário de senhas).
• Keylogging (Verifica as teclas digitadas pelo utilizador incluído Ids de Login e Passwords).

APT

APT é a abreviatura de “advanced persistent threat”, em Português (Ameaça Persistente avançada). Este tipo de ataque é efetuado a longo prazo através de várias fases de invasão da rede. Assim, os hackeres diminuem o risco de deteção do ataque.

Estes ataques não são direcionados, numa primeira fase ao objetivo principal (ex: computador do CEO). Os primeiros ataques são efetuados a computadores de colaboradores com o objetivo de aceder à informação do CEO.

Ransomware

Ransomware é um software malicioso que infecta computadores e servidores, exigindo o pagamento de um resgate para voltar a aceder à informação do sistema.

O Ransomware é um dos tipos de ataque que mais cresce em Portugal e no Mundo de forma generalizada.

Phishing

Este modo de ataque é o mais comum.

O Phishing envolve a recolha de dados confidenciais, através de sites fraudulentos. Este ataque está em constante aperfeiçoamento através de sistemas de engenharia social.

Ataques Internos

O acesso a informação confidencial das empresas, por colaboradores ou ex-colaboradores representam um ameaça real às empresas. Através do privilégios administrativos, como é exemplo, as credenciais de acesso.

 

10 Boas Práticas em Segurança Informática que as Empresas devem implementar e monitorizar com regularidade

 

 

# 1: Palavras-chave comuns, são palavras-chave más

A primeira linha de defesa de segurança são as palavras-chave.

Os hackers, tentam entrar na rede através das palavras-chave mais comuns. Pode consultar em baixo as 25 senhas mais utilizadas. Não as use.

Leia o artigo, como criar uma password segura e adote ainda hoje esta prática na definição da suas passwords.

 

# 2: Bloquei todas as entradas aos cibercriminosos

Da mesma forma que protege a sua casa, ao fechar as portas e janelas, deve agir da mesma forma quando se trata da segurança da rede informática da sua empresa.

É suficiente uma porta aberta para ser alvo de ataques informáticos.

Implemente todas as medidas para proteger a sua rede, permitindo apenas o acesso a ela a utilizadores autorizados, definindo ainda os níveis de acesso.

• Garanta que as passwords são fortes em todos os equipamentos que acedem à rede (computadores, notebooks, smartphones, tablets e pontos de acesso WIFI).
• Utilize uma firewall com prevenção contra ameaças à rede. (como as Firewalls Check Point).
• Proteja os postos de trabalho (computadores, notebooks, POS) com software antivírus, anti-spam e anti-phishing.
• Sensibilize e dote todos os colaboradores de conhecimento em cibersegurança. Um exemplo comum é sensibilização sobre a conexão adequada de dispositivos USB.

 

# 3 Faça cópias de segurança de dados e garanta o restauro no ponto desejado

Leia o artigo sobre backups de dados nas empresas e fique a conhecer a Regra 3,2,1 em Backups Profissionais.

 

# 4: Definir, educar e aplicar políticas de prevenção e de utilização

Tenha uma política de segurança bem definida relativamente à prevenção de ameaças.

Aloque algum tempo, a definir quais as aplicações que não deseja que tenham acesso à sua rede.

Transmita essas diretrizes a todos os utilizadores. Monitorize as violações da política definida e alerta para as irregularidades.

• Configure uma política de uso, definindo permissões para aplicações e websites.
• Não permita acesso a programas de Torrent e outras aplicações de partilha de arquivos que tipicamente utilizados para partilha de software malicioso.
• Bloquei o TOR e outros anonimizadores que promovam o acesso a informação de forma oculta ou contornando a segurança.
• Pense na utilização das Redes Sociais.

 

# 5: Seja socialmente consciente

Os sites de social media são uma fonte de ouro para os cibercriminosos que procuram obter informações sobre as pessoas de forma a melhorar a taxa de sucesso dos seus ataques.

Ataques como phishing, spearphish começam com a recolha de dados pessoais de indivíduos.

• Eduque os funcionários para estarem atentos nos conteúdos que partilham nas redes sociais.ao
• Informe os utilizadores de que os cibercriminosos criam perfis falsos de funcionários da empresa para aumentar o sucesso dos ataques de phishing.
• Ensine os colaboradores a configurar a privacidade em sites e redes sociais para proteger as informações pessoais.

 

# 6: Criptografar tudo (de forma sensata)

A violação de dados pode ser devastadora para a sua empresa e para a sua reputação. Proteja os seus dados com criptografia.

• Fique tranquilo se os portáteis forem perdidos ou roubados, garantindo que os notebooks tem criptografia de pré-inicialização instalada.
• Compre discos rígidos e unidades USB com criptografia incorporada.
• Use criptografia forte na rede wireless da empresa (considere WPA2 com criptografia AES).
• Utilize VPN (Virtual Private Network).

 

# 7: Mantenha a sua rede como mantém o seu carro

A sua rede e todos os dispositivos conectados a ela devem funcionar como uma máquina bem “oleada”.

• Verifique se os sistemas operativos, computadores e servidores estão atualizados (garanta que o Windows Update está ativado para todos os sistemas).
• Desinstale o software que não é necessário. (por exemplo, Java).
• Atualize as aplicações;
• Ative as atualizações automáticas, quando disponíveis: Windows, Chrome, Firefox, Adobe.
• Use um dispositivo IPS (Intrusion Prevention System) para evitar ataques a sistemas não atualizados.

 

# 8: Tenha cuidado com a Cloud, mas utilize-a a seu favor

Os serviços cloud estão em franco crescimento que na utilização de aplicações quer no armazenamento de dados.

Ao mover para a nuvem os seus conteúdos, estes deixam de estar sob o seu controlo. Garanta que o seu provedor de cloud respeita as diretrizes de segurança.

• Antes de enviar informação para a nuvem, avalie a sua criticidade. Suponha sempre que ele deixa de ser privado.

Mediante o grau de importância decida se envia para a nuvem ou não.

• Criptografe o conteúdo antes de enviar (incluindo backups do sistema).
• Verifique a segurança do seu provedor de cloud.
• Não use a mesma password nos dados de acesso.

 

# 9: Contas de Administração vs Contas de Utilizador

Nos postos de trabalho defina contas de administração e contas de utilizador.

• Não permita que os funcionários usem uma conta Windows com privilégios de administração para as suas atividades diárias. Limite a utilização a contas de utilizador de forma a reduzir a capacidade de software malicioso.
• Crie o hábito de alterar passwords padrão em todos os sistemas (computadores, servidores, routers, gateways e impressoras de rede).

 

# 10: Utilização de Equipamentos Pessoais

• Permita apenas o acesso “Guest” (apenas Internet) a dispositivos pertencentes a funcionários.
• Aceder a informações confidenciais apenas através da VPN criptografada.
• Não permita o armazenamento de informações confidenciais em dispositivos pessoais (como contatos de clientes ou informações de cartão de crédito).
• Defina um plano em caso de o funcionário perder o dispositivo.

 

Soluções de Segurança Informática Profissionais para Empresas

Somos especialistas em soluções globais de Segurança Informática. Garanta a continuidade do seu negócio com as nossas soluções de Cibersegurança Profissionais para Empresas:

• Disaster Recovery
• Backup On-site e Offsite
• Firewall
• Alta Disponibilidade
• Virtualização
• Cloud

 
DESCUBRA AS NOSSAS SOLUÇÕES DE CIBERSEGURANÇA

---

Saiba como as nossas soluções contribuem para a continuidade do seu negócio. Consulte agora os nossos Especialistas em Soluções de Segurança Informática.

Contacte-nos através do formulário ou do email: info@nexus-solutions.pt