*Caio Telles, CEO da BugHunt
Já não é nenhuma novidade a necessidade que as empresas têm de realizar investimentos voltados para a proteção de seus sistemas digitais. Com a consolidação do trabalho digital, aumento do trabalho híbrido ou remoto nos últimos dois anos, os ciberataques também evoluíram para métodos mais complexos e frequentes.
Os avanços tecnológicos trouxeram novas formas de trabalho, e dentro delas, o desenvolvimento de muitos serviços no ambiente online, guardado em nuvens, drives, entre outros. Grande parte dos ciberataques realizados atualmente contam com o fator humano como parte fundamental para a facilitação de invasões e roubos.
Mesmo com uma empresa investindo em metodologias de proteção é sempre importante voltar a atenção para a educação dos funcionários sobre o assunto, explicando possíveis políticas de segurança digital que fazem a diferença no dia a dia. São diversas as estratégias e cuidados que podem ser adotados pelos colaboradores e que podem mudar a rotina de uma companhia e fazer com que ela esteja mais protegida contra cibercriminosos.
O uso de senhas fracas é uma das brechas mais comuns em empresas que sofreram algum tipo de ciberataque. Senhas muito simples fazem com que a dificuldade para a invasão a sistemas seja substancialmente menor. Logo, uma saída é utilizar senhas longas, que contenham diversas simbologias, como letras maiúsculas e minúsculas, números e até sinais de pontuação. Além disso, também é indicada fazer atualização de forma rotineira, em períodos de três meses, por exemplo. A elaboração de senhas em plataformas que desenvolvem passes automáticos e com alto grau de complexidade, também é um bom caminho.
Uma das dicas de segurança que andam em conjunto com o grau de dificuldade das senhas são as regras relacionadas ao seu compartilhamento com terceiros. Quanto mais pessoas têm acesso a certos ambientes digitais, mais suscetível o sistema estará a erros e falhas que acarretam na invasão de usuários mal intencionados.É fundamental que as senhas sejam pessoais e intransferíveis, e os acessos sejam concedidos apenas aos colaboradores que realmente necessitam delas para o trabalho. As senhas genéricas e compartilhadas, por exemplo, dificultam a rastreabilidade em um eventual incidente.
Um ponto complexo em relação ao home office é a utilização dos dispositivos de serviço, fornecidos pela empresa, também para uso pessoal. Caso a empresa ofereça equipamento ao funcionário, é recomendado que ele use apenas para funções do trabalho. Assim, evita-se que o sistema esteja exposto a conteúdos não protegidos, além de dificultar as ações de um cibercriminoso.
Em e-mails maliciosos imitando mensagens oficiais de empresas, é comum a presença de links suspeitos, uma forma de phishing muito praticada. Isso pode permitir que cibercriminosos invadam sistemas e tenham acesso a dados particulares e sigilosos. É importante o usuário não clicar em links desconhecidos e ter cuidado com mensagens suspeitas em aplicativos ou em caixa de e-mails. É sempre importante conferir os detalhes, como endereço de e-mail de quem está enviando a mensagem, se o conteúdo possui erros de português e se as imagens com o logo da organização aparecem em baixa resolução.
Além disso, é fundamental que o usuário evite realizar download de arquivos e aplicativos desnecessários ou que sejam suspeitos. Um cibercriminoso pode facilmente acessar o sistema e os dados de uma empresa a partir de um malware instalado por meio de um download suspeito. Podendo resultar em sequestro e roubo de dados, causando perda de dinheiro e venda ilegal de informações.
Apesar de as dicas de segurança para os funcionários em trabalho remoto ou híbrido serem importantes para maior proteção dos dados, é primordial também que as empresas façam investimentos voltados à cibersegurança. Ações básicas, como a atualização dos softwares de antivírus e a regulamentação de políticas sobre o uso de equipamentos da companhia, devem ser realizadas periodicamente e podem mitigar possíveis ciberataques. Além disso, a utilização de métodos como o do Zero Trust – ideia de que todo usuário não é confiável – permite que os acessos a arquivos e informações sejam restritos a funcionários autorizados.
A contratação de uma equipe especializada em segurança da informação é uma forma de garantir que os sistemas estejam protegidos, ou que a empresa saberá lidar com um possível ataque.O investimento em bug bounty, programa de caça de bugs e vulnerabilidades no sistemas em troca de recompensas, é outra tendência entre as grandes corporações. Neste método, especialistas em segurança da informação analisam os sistemas de uma empresa à procura de falhas que podem abrir brechas para os cibercriminosos atuarem naquele ambiente digital. Essa é uma estratégia que, além de trabalhar com a proteção antecipada dos sistemas, também permite que as companhias sejam frequentemente testadas por profissionais capacitados.