10 Boas Práticas de Segurança Informática para Empresas

seguranca-informatica-empresas-boas-praticas

Introdução

As Tecnologias da Informação são ferramentas poderosas para que, micro e pequenas empresas, consigam atingir novos mercados e aumentar a produtividade e a eficiência.

No entanto, é necessário implementar uma estratégia de segurança informática para a empresa, de forma a proteger o seu negócio, os clientes e os dados contra as crescentes ameaças à segurança da informação corporativa.

A ausência, eficiente, de proteção contra ataques informáticos podem levar ao fim do seu negócio. Leia este artigo e adote estas 10 boas práticas para aumentar a segurança informática na sua empresa.

 

Antes de partirmos para as Boas Práticas é necessário desmistificar este mito:

PME´s não são alvo de Ataques Informáticos“.

Embora os ataques informáticos em grandes organizações façam as manchetes dos jornais e tenham maior destaque em todos os órgãos de comunicação social (Exemplo: Ataque Informático à Câmara de Vinhais) as pequenas empresas são também alvos dos Hackers.

Com um nível de cibersegurança mais baixo do que as grandes empresas, as Micro e PME´s são constantemente alvos de ataques. Os Hackers sabem que empresas de menor dimensão são menos cuidadosas no ponto de vista da segurança, subestimando em muitos dos casos, o valor da informação de negócio.

 

Quais são os tipos de ataques informáticos mais comuns em empresas?

tipos-comuns-ataques-informaticos

O objetivo principal destes ataques é explorar informação confidencial.

Malware (Vírus, Worms, Trojans, Ransomware e Spyware)

Roubo de Passwords (3 tipos principais)

  • BruteForce, Consiste em tentativa/erro para descobrir a senha.
  • Ataques de Dicionário (Utiliza um programa para verificar combinações entre a palavra-chave e dicionário de senhas).
  • Keylogging (Verifica as teclas digitadas pelo utilizador incluído Ids de Login e Passwords).

APT

APT é a abreviatura de “advanced persistent threat”, em Português (Ameaça Persistente avançada). Este tipo de ataque é efetuado a longo prazo através de várias fases de invasão da rede. Assim, os hackeres diminuem o risco de deteção do ataque.

Estes ataques não são direcionados, numa primeira fase ao objetivo principal (ex: computador do CEO). Os primeiros ataques são efetuados a computadores de colaboradores com o objetivo de aceder à informação do CEO.

Ransomware

Ransomware é um software malicioso que infecta computadores e servidores, exigindo o pagamento de um resgate para voltar a aceder à informação do sistema.

O Ransomware é um dos tipos de ataque que mais cresce em Portugal e no Mundo de forma generalizada.

Phishing

Este modo de ataque é o mais comum.

O Phishing envolve a recolha de dados confidenciais, através de sites fraudulentos. Este ataque está em constante aperfeiçoamento através de sistemas de engenharia social.

Ataques Internos

O acesso a informação confidencial das empresas, por colaboradores ou ex-colaboradores representam um ameaça real às empresas. Através do privilégios administrativos, como é exemplo, as credenciais de acesso.

 

10 Boas Práticas em Segurança Informática que as Empresas devem implementar e monitorizar com regularidade

 

10-boas-praticas-segurança-informática

 

# 1: Palavras-chave comuns, são palavras-chave más

A primeira linha de defesa de segurança são as palavras-chave.

Os hackers, tentam entrar na rede através das palavras-chave mais comuns. Pode consultar em baixo as 25 senhas mais utilizadas. Não as use.

Leia o artigo, como criar uma password segura e adote ainda hoje esta prática na definição da suas passwords.

 

# 2: Bloquei todas as entradas aos cibercriminosos

Da mesma forma que protege a sua casa, ao fechar as portas e janelas, deve agir da mesma forma quando se trata da segurança da rede informática da sua empresa.

É suficiente uma porta aberta para ser alvo de ataques informáticos.

Implemente todas as medidas para proteger a sua rede, permitindo apenas o acesso a ela a utilizadores autorizados, definindo ainda os níveis de acesso.

  • Garanta que as passwords são fortes em todos os equipamentos que acedem à rede (computadores, notebooks, smartphones, tablets e pontos de acesso WIFI).
  • Utilize uma firewall com prevenção contra ameaças à rede. (como as Firewalls Check Point).
  • Proteja os postos de trabalho (computadores, notebooks, POS) com software antivírus, anti-spam e anti-phishing.
  • Sensibilize e dote todos os colaboradores de conhecimento em cibersegurança. Um exemplo comum é sensibilização sobre a conexão adequada de dispositivos USB.

 

# 3 Faça cópias de segurança de dados e garanta o restauro no ponto desejado

Leia o artigo sobre backups de dados nas empresas e fique a conhecer a Regra 3,2,1 em Backups Profissionais.

 

# 4: Definir, educar e aplicar políticas de prevenção e de utilização

Tenha uma política de segurança bem definida relativamente à prevenção de ameaças.

Aloque algum tempo, a definir quais as aplicações que não deseja que tenham acesso à sua rede.

Transmita essas diretrizes a todos os utilizadores. Monitorize as violações da política definida e alerta para as irregularidades.

  • Configure uma política de uso, definindo permissões para aplicações e websites.
  • Não permita acesso a programas de Torrent e outras aplicações de partilha de arquivos que tipicamente utilizados para partilha de software malicioso.
  • Bloquei o TOR e outros anonimizadores que promovam o acesso a informação de forma oculta ou contornando a segurança.
  • Pense na utilização das Redes Sociais.

 

# 5: Seja socialmente consciente

Os sites de social media são uma fonte de ouro para os cibercriminosos que procuram obter informações sobre as pessoas de forma a melhorar a taxa de sucesso dos seus ataques.

Ataques como phishing, spearphish começam com a recolha de dados pessoais de indivíduos.

  • Eduque os funcionários para estarem atentos nos conteúdos que partilham nas redes sociais.ao
  • Informe os utilizadores de que os cibercriminosos criam perfis falsos de funcionários da empresa para aumentar o sucesso dos ataques de phishing.
  • Ensine os colaboradores a configurar a privacidade em sites e redes sociais para proteger as informações pessoais.

 

# 6: Criptografar tudo (de forma sensata)

A violação de dados pode ser devastadora para a sua empresa e para a sua reputação. Proteja os seus dados com criptografia.

  • Fique tranquilo se os portáteis forem perdidos ou roubados, garantindo que os notebooks tem criptografia de pré-inicialização instalada.
  • Compre discos rígidos e unidades USB com criptografia incorporada.
  • Use criptografia forte na rede wireless da empresa (considere WPA2 com criptografia AES).
  • Utilize VPN (Virtual Private Network).

 

# 7: Mantenha a sua rede como mantém o seu carro

A sua rede e todos os dispositivos conectados a ela devem funcionar como uma máquina bem “oleada”.

  • Verifique se os sistemas operativos, computadores e servidores estão atualizados (garanta que o Windows Update está ativado para todos os sistemas).
  • Desinstale o software que não é necessário. (por exemplo, Java).
  • Atualize as aplicações;
  • Ative as atualizações automáticas, quando disponíveis: Windows, Chrome, Firefox, Adobe.
  • Use um dispositivo IPS (Intrusion Prevention System) para evitar ataques a sistemas não atualizados.

 

# 8: Tenha cuidado com a Cloud, mas utilize-a a seu favor

Os serviços cloud estão em franco crescimento que na utilização de aplicações quer no armazenamento de dados.

Ao mover para a nuvem os seus conteúdos, estes deixam de estar sob o seu controlo. Garanta que o seu provedor de cloud respeita as diretrizes de segurança.

  • Antes de enviar informação para a nuvem, avalie a sua criticidade. Suponha sempre que ele deixa de ser privado.

Mediante o grau de importância decida se envia para a nuvem ou não.

  • Criptografe o conteúdo antes de enviar (incluindo backups do sistema).
  • Verifique a segurança do seu provedor de cloud.
  • Não use a mesma password nos dados de acesso.

 

# 9: Contas de Administração vs Contas de Utilizador

Nos postos de trabalho defina contas de administração e contas de utilizador.

  • Não permita que os funcionários usem uma conta Windows com privilégios de administração para as suas atividades diárias. Limite a utilização a contas de utilizador de forma a reduzir a capacidade de software malicioso.
  • Crie o hábito de alterar passwords padrão em todos os sistemas (computadores, servidores, routers, gateways e impressoras de rede).

 

# 10: Utilização de Equipamentos Pessoais

  • Permita apenas o acesso “Guest” (apenas Internet) a dispositivos pertencentes a funcionários.
  • Aceder a informações confidenciais apenas através da VPN criptografada.
  • Não permita o armazenamento de informações confidenciais em dispositivos pessoais (como contatos de clientes ou informações de cartão de crédito).
  • Defina um plano em caso de o funcionário perder o dispositivo.

 

Soluções de Segurança Informática Profissionais para Empresas

Somos especialistas em soluções globais de Segurança Informática. Garanta a continuidade do seu negócio com as nossas soluções de Cibersegurança Profissionais para Empresas:

 


Saiba como as nossas soluções contribuem para a continuidade do seu negócio. Consulte agora os nossos Especialistas em Soluções de Segurança Informática.

Contacte-nos através do formulário ou do email: info@nexus-solutions.pt

Nome*
Email*
Telefone*
Localidade*
Em que podemos ajudar?*

 

 


Comments are closed.