7 áreas de ação que devem fazer parte da política de cibersegurança da sua empresa

Um estudo publicado no final do ano passado pelo Gabinete de Estratégia e Estudos do Ministério da Economia deixa o alerta: as empresas portuguesas estão pouco protegidas contra ataques informáticos. Ou seja, carecem de uma verdadeira política de cibersegurança e aumentam com isso a exposição a riscos que se têm multiplicado e tornado mais sofisticados e pesados nas consequências.  

Como está a situação na sua empresa? Hoje, deixamos-lhe sete áreas de ação incontornáveis na hora de definir prioridades e alguns conselhos para potenciar a segurança em cada uma delas. Confira se já fazem parte do seu plano de ação.


O que proteger?

Saber o que é preciso proteger deve ser o pontapé de saída de qualquer política de cibersegurança e para isso é preciso listar e classificar todos os ativos digitais da organização. E todos são mesmo todos, desde sistemas a equipamentos no escritório, passando pelos telemóveis ou portáteis pessoais dos colaboradores usados em serviço. É também importante perceber que funções assegura cada um desses ativos e quem lhe acede, para mais à frente decidir quem pode usar o quê e em que condições.


Ter uma proteção avançada contra ameaças

A proteção da rede periférica de última geração (next-gen firewall) e dos sistemas e dispositivos que a ela se ligam com soluções de proteção de endpoint com inteligência artificial e EDR contra malwares, exploits e ransomware representa a mais elementar das regras na política de cibersegurança de qualquer organização. Mas a tarefa é cada vez mais exigente. Implica soluções capazes de se atualizarem permanentemente e de identificar ações suspeitas com técnicas de análise comportamental e com automatismos para bloquear ameaças rotineiras ou massivas. A chamada inteligência em tempo real – apoiada pela inteligência artificial – tornou-se indispensável contra ameaças que também se modificam a cada momento. Outro aspeto importante é a capacidade de responder a ameaças específicas com ferramentas desenhadas para esse propósito. Fica um exemplo: prevenir os cada vez mais comuns ataques de ransomware com soluções que impedem a criptografia espontânea de dados.  


Rigor na gestão de acessos, privilégios e informação em trânsito

Limitar o acesso dos colaboradores à informação que precisam para trabalhar é diminuir riscos. No terreno isso significa proteger cada dispositivo com senhas que respeitam as melhores práticas de segurança, utilizar sistemas de MFA (autenticação multi-factor) que garantam uma camada adicional de proteção e que uma password seja o ponto de acesso à rede, e manter uma gestão eficaz e atualizada a nível central dos privilégios de acesso aos sistemas da empresa, por perfil de colaborador. Protegidos os acessos há que proteger a informação a que dão acesso, encriptando-a e tornando-a indecifrável quando circula por email, quando é enviada para um arquivo, ou logo que é criada. 


Proteção em qualquer lugar 

O PC do escritório deixou de ser a estação de trabalho por excelência. Trabalhamos no portátil, no tablet e no telemóvel e o nível de segurança nestes dispositivos tem de ser igualmente rigoroso, porque a informação sensível da empresa também por lá passa. Uma gestão centralizada de dispositivos móveis com proteções de web filter e anti-spam embutidas, permite configurar, instalar, atualizar e controlar à distância software e conteúdos em cada equipamento, uniformizando regras e harmonizando a política de cibersegurança da empresa.


Atenção ao Wi-Fi 

Qualquer ponto de ligação da rede da sua empresa com o exterior está sujeito a ameaças e as redes Wi-Fi têm-no demonstrado. É importante que a lógica de passwords fortes e a proteção de tráfego se estenda a esta rede e que colaboradores e utilizadores externos “circulem” em vias distintas. A empresa deve ter redes diferentes para estes dois grupos com restrições de tempo e recursos acessíveis bem definidos para quem não pertence à organização. 


Guardar dados e recuperá-los com pouco esforço e investimento

As rotinas de backup são essenciais para agilizar a retoma das operações do exato ponto onde pararam em consequência de uma falha ou ataque. Já imaginou o que seria do seu negócio se de repente deixasse de ter acesso à informação que precisa para funcionar? Há que implementar ações preventivas e aqui o backup e o disaster recovery são críticos (não perca este artigo onde salientamos as diferenças e o que deve fazer em cada um dos casos). A cloud trouxe enormes vantagens neste domínio, no que se refere à disponibilidade da informação e aos custos de armazenamento que, sobretudo em sectores mais regulados, representava uma pesada fatura e uma gestão complexa. Aproveite!  


Nunca esquecer o fator H 

O fator humano continua a ser a ignição para muitos ataques. A maioria, na verdade. Não há tecnologia que resulte sem um esforço consistente e permanente na educação e formação dos colaboradores, que lhes permita reconhecer e identificar potenciais riscos e saber como agir perante ameaças. Promover ações regulares de formação e disponibilizar guias de boas práticas devem ser alicerces de qualquer política de cibersegurança. Mas é possível ir mais longe e apostar em ferramentas interativas, que simulem ataques e testem reações. O phishing é uma das áreas onde podem fazer a diferença.


Os desafios de qualquer política de cibersegurança renovam-se a cada dia, mas ter alicerces sólidos para os enfrentar é indiscutivelmente uma vantagem. Pessoas e tecnologia são as peças-chave nesta equação e também o são na proposta de valor que a INOVFLOW tem para a sua empresa. Aliamos as competências dos nossos consultores, às soluções tecnológicas líderes de mercado da Sophos e da Microsoft, para levar ao seu negócio ferramentas simples, fiáveis e robustas.


Fale connosco e descubra como podemos ajudar a sua empresa a vestir um fato à medida de ameaças que, embora globais, impactam de forma diferente cada realidade de negócio.


Entretanto, subscreva a nossa newsletter para ficar a par de todas as novidades e não perder nenhum artigo do blog da INOVFLOW.

Comments are closed.