Quais são as passwords que os cibercriminosos experimentam em primeiro lugar? Como é possível educar os colaboradores para que se comportem de forma segura? Estarão os colaboradores conscientes dos riscos das redes sociais? A Check Point cobre estes e outros aspetos importantes para a segurança das PMEs. Este artigo abrange as 10 melhores práticas de segurança que as organizações de menor dimensão deveriam considerar na hora de proteger as suas redes.

1. Passwords comuns são uma má opção

As passwords são a primeira linha de proteção quando falamos de segurança. Os cibercriminosos que tentem aceder à rede começarão por aqui, experimentando as senhas mais comuns. A SplashData desvelou as 25 passwords mais comuns, com resultados incríveis.

É, portanto, essencial assegurar-se de que se usa uma password suficientemente longa (com pelo menos 8 caracteres), e complexa (incluindo minúsculas, maiúsculas, números e caracteres não alfanuméricos).

Entre as 25 senhas mais comuns reveladas encontram-se, por exemplo: password, 123456, 12345678, abc123, 123123, 111111, welcome, etc. Se usar alguma destas passwords, deve mudá-la o quanto antes.

 

2. Proteger cada entrada

Tudo o que um cibercriminoso precisa é de uma única porta aberta para ter acesso a toda uma rede. Portanto, do mesmo modo que se tranca a porta de casa e as janelas, não descurando quaisquer acessos à casa, há que pensar do mesmo modo na proteção da rede.

É preciso considerar todas as possíveis formas de aceder à rede e depois assegurar-se de que apenas o pessoal autorizado pode entrar por cada uma delas.

• Ter senhas seguras em portáteis, smartphones, tablets ou pontos de acesso WiFi.
• Utilizar a funcionalidade de prevenção de ameaças (Threat Prevention) do firewall para proteger o acesso à rede (tal e como o permite, por exemplo, a Check Point 600 Appliance).
• Proteger os terminais (endpoints), como portáteis ou PCs desktop com software específico, tal como antivírus, anti-spam ou anti-phishing.
• Proteger dos ataques mais comuns, alertando os colaboradores para que não liguem dispositivos USB desconhecidos aos recursos da empresa.

 

3. Segmentar a rede

Uma forma de proteger a rede é dividindo-a em zonas e protegendo cada uma delas da forma adequada. Uma pode estar delimitada aos trabalhos críticos, enquanto outra pode ser uma zona de convidados na qual se possa navegar na Internet, por exemplo, mas não aceder à rede interna.

Há que segmentar a rede e estabelecer sistemas de proteção mais rígidos onde são mais precisos:

• Os meios públicos, como os servidores Web, não devem ter acesso à rede interna.
• Deve-se estabelecer um acesso para convidados, mas não lhes permitir entrada na zona interna.
• Considerar a separação da rede com base nas diferentes funções de negócio (serviços a clientes, serviços financeiros, colaboradores gerais).

 

4. Definir, educar e reforçar as políticas

Basicamente, CRIAR uma política de segurança (muitas pequenas empresas não a têm) e usar o dispositivo equipado com sistema para prevenção de ameaças na sua máxima capacidade. Do mesmo modo, investir algum tempo em pensar que aplicações se querem permitir na rede e quais se querem restringir, e educar os colaboradores para que façam um uso responsável da rede empresarial. Pôr o plano em marcha e depois reforçá-lo onde for mais necessário. Por último, monitorizar o uso da rede em busca de violações das políticas estabelecidas ou de uso excessivo da largura de banda.

• Estabelecer uma política de uso clara para as páginas ou aplicações permitidas e não permitidas.
• Não permitir aplicações de alto risco, como clientes Bit Torrent ou clientes P2P (Peer-To-Peer), já que são meios muito prolíferos em software malicioso.
• Bloquear TOR e outros sistemas de anonimato que podem ocultar comportamentos inapropriados em segurança.
• Não esquecer as redes sociais quando se estabelecerem as políticas de segurança.

5. Consciencialização em redes sociais

As redes sociais valem seu preço em ouro para os cibercriminosos que querem obter informação das pessoas e graças a elas os seus ataques melhoram significativamente a sua taxa de sucesso. Ameaças como o phishing ou a engenharia social começam com a recolha de dados pessoais a partir destes meios.

• Educar os colaboradores para terem cuidado a partilhar qualquer tipo de informação nas redes sociais, inclusive nas suas próprias contas pessoais.
• Fazê-los entender que os cibercriminosos também criam os seus próprios perfis de empresa para atingir os seus objetivos com maior facilidade.
• Treinar os colaboradores em técnicas de privacidade em redes sociais para proteger a sua informação pessoal.
• Os utilizadores devem ter cuidado com o que partilham, já que os cibercriminosos podem adivinhar as respostas às perguntas de controlo dos serviços web (como qual é o nome do seu cão), e restabelecer as respetivas passwords para obter acesso às suas contas.

6. Encriptar tudo

Uma brecha na segurança pode ser devastadora para uma empresa e sua reputação. É essencial proteger a informação encriptando os dados sensíveis, e dar aos colaboradores a possibilidade de fazê-lo também.

É vital que a encriptação faça parte das políticas se segurança empresariais.

• Se um portátil tiver um sistema de encriptação no seu pré-arranque, as preocupações em caso de roubo ou perda do dispositivo serão menores.
• Adquirir discos duros e chaves USB com capacidade para encriptação incluída.
• Usar sistemas de encriptação fortes nas redes wireless (considerar sistemas como WPA2 com encriptação AES).
• Proteger os dados contra intrusões encriptando as comunicações wireless e usando sistemas como VPN (redes privadas virtuais, ou Virtual Private Network).

7. Manter a rede como se mantém um carro

Tanto a rede da empresa como todos os componentes a ela ligados deveriam funcionar como uma máquina bem oleada. Fazer uma manutenção regular assegura que tudo funciona bem e que serão menores os obstáculos no caminho.

• Assegurar que o sistema operativo dos portáteis e servidores está atualizado (a funcionalidade Windows Update deve estar ativada em todos os sistemas).
• Desinstalar software que não seja estritamente necessário para que não tenha que estar dependente das suas atualizações (por exemplo, Java).
• Atualizar o browser, bem como o componente Flash, ou as aplicações Adobe nos servidores ou portáteis.
• Ativar as atualizações automáticas, sempre que seja possível; Windows, Chrome, Firefox, Adobe…
• Usar dispositivos equipados com sistemas de prevenção de intrusões (IPS, ou Intrusion Prevention System), como a Appliance Check Point 600, para evitar ataques em portáteis desatualizados.

8. Cuidado com a Cloud

É verdade que os sistemas de armazenamento em Cloud estão na moda, mas devemos ser cuidadosos. Qualquer conteúdo que é movido para a nuvem fica fora de controlo, e os cibercriminosos podem beneficiar dos sistemas de segurança mais débeis de alguns serviços cloud.

• Ao usar sistemas cloud, assuma que o conteúdo que lá se põe deixará de ser totalmente privado.
• Encriptar o conteúdo antes de enviá-lo (incluindo as cópias de segurança).
• Comprovar a segurança do fornecedor cloud.
• Não usar a mesma senha em todos os sistemas cloud.

9. Não deixar que qualquer um seja Administrador

Pode-se aceder aos computadores portáteis a partir das contas de utilizador ou das contas administrativas. O acesso Administrador proporciona aos utilizadores uma maior liberdade e privilégios de acesso aos portáteis, mas esses privilégios podem também ser obtidos pelos cibercriminosos, caso tenham conseguido penetrar no sistema.

• Não permitir que os colaboradores utilizem privilégios de administrador para o seu trabalho diário.
  

  Autor : Rui Duro, Sales Manager de Check Point Portugal

• Limitar o número de colaboradores com acesso por conta de utilizador reduz a probabilidade de infeção por software malicioso e que estes possam elevar as suas credenciais de acesso até ao nível privilegiado de Administrador.
• Ter como hábito a mudança da password por defeito de todos os dispositivos, incluindo portáteis, servidores, routers, gateways ou impressoras de rede.

10. Assumir o desafio que o BYOD representa

Comece por criar uma política específica para o BYOD (Bring-Your-Own-Device). Muitas empresas têm evitado fazê-lo, mas é uma tendência que contínua a crescer e que não deve ser ignorada. Não evitar a questão e assumi-lo definitivamente, bem como educar os colaboradores a este respeito.

• Considerar a possibilidade de ativar o modo convidado (só navegação) nos dispositivos dos colaboradores.
• Reforçar o bloqueio de passwords nos dispositivos móveis dos colaboradores.
• Permitir o acesso a informação sensível apenas através de sistemas encriptados, como VPN.
• Não permitir armazenar informação sensível nos dispositivos pessoais dos colaboradores (como um contrato com clientes ou informação de cartões de crédito, por exemplo).
• Desenhar um plano para o caso de um colaborador perder o seu dispositivo.