Introdução

Quando se trata de segurança cibernética para pequenas empresas, não podemos deixar de destacar a importância dessa área e os riscos que essas empresas enfrentam.

“De uma forma geral,  as pequenas empresas são alvos fáceis para abusadores cibernéticos, pois muitas vezes não possuem os mesmos recursos de segurança que as grandes empresas, além de não buscarem o assessoramento correto para as melhores práticas dentro dos limitados orçamentos que dispõem.”

Recapitulando, os ataques cibernéticos podem causar danos financeiros, perda de dados e danos à reputação. Portanto, a segurança cibernética é essencial para proteger indivíduos e empresas contra ataques cibernéticos.

Prevenção

As empresas precisam ter um plano em vigor para responder a ataques cibernéticos. O chamado plano de prevenção, tratamento e resposta a incidentes cibernéticos deve incluir etapas para identificar o tipo de ataque, conter o dano e se recuperar do ataque. A prevenção é a melhor ação contra ataques cibernéticos. As empresas podem tomar medidas para se proteger, educando os funcionários, usando senhas fortes e mantendo o software atualizado.

“Os principais vetores de ataques ainda são o phishing e a engenharia social, além de outras táticas de ataque. Portanto, as empresas devem promover ações para educar os funcionários sobre segurança cibernética, enfatizando os riscos cibernéticos e como se proteger contra eles.”

Algumas dicas óbvias de prevenção, que não devem ser esquecidas:

1. Usar senhas fortes e exclusivas para todo acesso empresarial.
2. Manter o software atualizado para corrigir vulnerabilidades de segurança.
3. Fazer backup de dados regularmente e sempre testa-los, para que possam ser restaurados em caso de ataque cibernético.
4. Manter-se informado sobre as últimas ameaças cibernéticas que afetam o setor da entidade, tomando medidas para se proteger contra elas.
5. Não clicar em links em emails ou mensagens de remetentes que você não conhece. Esses links podem levar a sites maliciosos que podem infectar o dispositivo com malware e comprometer a rede como um todo.

Proteção de Dados

O Guia de Orientação para Agentes de Tratamento de Dados Pessoais de Pequeno Porte, disponível no site da ANPD, tem como objetivo auxiliar pequenas empresas no cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD). Falhas de tratamento de dados pessoais e sensíveis, particularmente relacionados a incidentes cibernéticos, são um dos principais problemas que podem resultar em danos à reputação, além de multas que podem vir a indicar prejuízos financeiros significativos. 

O supracitado guia esclarece as obrigações dos agentes de tratamento de dados, que devem ser observados por uma pequena empresa, como a necessidade de obter o consentimento do titular dos dados, a adoção de medidas de segurança para proteger os dados, a disponibilização de canais de comunicação para que os titulares dos dados possam exercer seus direitos, etc.

O guia apresenta as medidas de segurança mínimas que devem ser implementadas pelos agentes de tratamento de dados, como a emissão de uma política de segurança da informação, a realização de treinamentos e conscientização para os funcionários, a implementação de medidas técnicas para proteger os dados, etc. Além disso, cabe observar os direitos dos titulares dos dados.

A partir do guia citado e das boas práticas, recomenda-se que as pequenas empresas adotem as seguintes medidas:

1. Criar uma política de segurança da informação.
2. Elabore um Plano de Prevenção, Tratamento e Resposta para que saiba o que fazer em caso de violação de dados ou outro incidente de segurança.
3. Implementar um programa de conscientização de segurança sobre os riscos de segurança cibernética e como se proteger, para treinar os colaboradores.
4. Implementar medidas técnicas, investimento em ativos de segurança, para proteger os dados.
5. Designar um encarregado de proteção de dados.
6. Registrar os tratamentos de dados.
7. Notificar a ANPD sobre incidentes de segurança com violação de dados.

Consciência Situacional e Riscos

O cenário de risco da empresa deve ser levantado e tratado, os ataques cibernéticos estão se tornando mais sofisticados e os criminosos estão visando uma gama mais ampla de vítimas. Um inventário dos ativos, particularmente os ligados diretamente à cadeia de valor, deve ser preparado e estar sempre atualizado, ou seja, identifique seus ativos de informação mais valiosos para tratar os riscos que eles enfrentam. Com este inventário a empresa deverá avaliar os diferentes tipos de ataques cibernéticos que podem afetar a entidade. Existem muitos tipos diferentes de ataques cibernéticos, incluindo malware, phishing e ataques DDoS. A partir desta consciência situacional, caberá à entidade elaborar o relatório de análise de riscos.

As novas ameaças e tendências em segurança cibernética ditam as estratégias das pequenas empresas quanto à segurança cibernética. Para tanto, alguns desafios devem ser pensados e enfrentados:

1. Criar uma cultura de segurança cibernética: Isso envolve ir além de conscientizar os colaboradores sobre os riscos cibernéticos, pois deve treiná-los sobre como se proteger, para que as medidas protetivas e preventivas sejam realizadas naturalmente sem prejuízo da atividade-fim de cada um.
2. Planejamento formalizado: Isso significa ter um plano em vigor para responder a incidentes de segurança cibernética, como ataques de malware ou violações de dados.
3. Implementar medidas preventivas: Isso inclui adquirir e configurar, em conformidade com a política de segurança da informação estabelecida, ativos de segurança, como software antivírus e firewall, além do uso de criptografia para dados confidenciais e o controle de acesso privilegiado para que apenas usuários autorizados tenham acesso aos dados e sistemas da empresa, de acordo com a necessidade para seu trabalho, ou seja, aplicação da técnica do mínimo privilégio. Não esquecer o básico, que é usar a autenticação multifator, além de outras medidas de controle de acesso.
4. Procedimentos de Monitoramento:observar seus ativos em busca de atividades suspeitas e procurar por vulnerabilidades que possam ser exploradas, as corrigindo ou mitigando seus efeitos oportunamente.
5. Mesmo em pequenas empresas o uso de soluções em nuvem é comum. Desta forma, estabelecer procedimentos de segurança na nuvem, incluindo Proteger os dados e sistemas armazenados na nuvem, controlar o acesso e monitorar a atividade na nuvem.
6. Caso a entidade permita o acesso em sua rede ou possua em seu inventário dispositivos móveis ou IoT, devem ser previstos critérios de segurança para acessar dados e sistemas da empresa. Isso pode ser feito usando software de segurança móvel ou compatível com o IoT, criptografar dados em dispositivos móveis e controlar o acesso para estes dispositivos na rede.
7. Os riscos na cadeia de suprimento são uma realidade para os negócios de todos os portes, cabe, portanto, realizar o gerenciamento de riscos de terceiros, observando quais e como promovem a segurança, os fornecedores terceirizados que têm acesso aos dados e sistemas da empresa, propondo que boas práticas de segurança sejam observadas.

Conclusão

“A segurança da informação é importantíssima para as empresas de todos os tamanhos. As empresas que não possuem um plano de segurança correm o risco de sofrer violações de dados e ataques cibernéticos. Os benefícios de ter um programa de segurança pode dar vantagem competitiva à entidade, pois permite prevenir vazamentos de dados, reduzir o risco de ataques cibernéticos e melhorar a confiança do cliente.”

Um programa de segurança pode ajudar a prevenir vazamentos de dados, que podem custar caro às empresas em termos de multas, perda de reputação e perda de clientes. Além de colaborar com a redução do risco de ataques cibernéticos, que podem interromper as operações da empresa e causar perdas financeiras. Uma entidade resiliente permite que o cliente adquira mais confiança, pois mostra que a empresa leva a sério a proteção de seus dados.

Fontes:

• Guia orientativo de segurança da informação, direcionado aos agentes de tratamento de pequeno porte – https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf
• Cibersegurança para pequenas empresas – https://www.kaspersky.com.br/resource-center/preemptive-safety/small-business-cyber-security
• Cibersegurança nas empresas: tendências e estratégias essenciais para a proteção digital – https://brasil.emeritus.org/conteudo/ciberseguranca-nas-empresas/
• Segurança digital & produtividade empresarial: as estratégias de proteção que irão potencializar os seus negócios – https://iptrust.com.br/seguranca-digital/
• Como se prevenir contra ciberataques – https://www.kaspersky.com.br/resource-center/preemptive-safety/how-to-prevent-cyberattacks
• Segurança cibernética: saiba como proteger sua empresa – https://www.sebrae-sc.com.br/blog/seguranca-cibernetica-como-proteger-sua-empresa
• Importância da Segurança da Informação para seu negócio – https://www.contacta.com.br/a-importancia-da-seguranca-da-informacao-para-o-seu-negocio/
• Importância da segurança da informação nas empresas – https://hsbs.com.br/importancia-da-seguranca-da-informacao-nas-empresas/