Um dos focos da educação sobre segurança online de funcionários deve incluir desmascarar equívocos comumente citados sobre cibersegurança. Esta lista – montada pela National Cybersecurity Alliance, em colaboração com parceiros públicos e privados – é baseada nas experiências de líderes empresariais e funcionários de todos os Estados Unidos.

10 Equívocos Comuns

#1: Meus dados (ou os dados aos quais tenho acesso) não são valiosos

Organizações de todos os tamanhos mantêm ou têm acesso a dados valiosos que valem a pena proteger. Tais dados podem incluir, mas não estão limitados a registros de emprego, informações fiscais, correspondência confidencial, sistemas de ponto de venda, contratos comerciais. Todos os dados são valiosos. Tomar Ação: Avalie os dados que você cria, coleta, armazena, acessa, transmite e depois classifique esses dados por seu nível de sensibilidade para que você possa tomar medidas apropriadas para protegê-los. Saiba mais sobre como fazer isso.

#2: A cibersegurança é um problema de tecnologia

As organizações não podem depender apenas da tecnologia para proteger seus dados. A cibersegurança é melhor abordada com uma combinação de treinamento de funcionários, políticas e procedimentos claros e aceitos, e implementação de tecnologias atualizadas, como software antivírus e antimalware.  Proteger ciberneticamente uma organização é responsabilidade de toda a equipe, não apenas do pessoal de TI. Tomar Ação: Educar cada funcionário (em cada função e em cada nível da organização) sobre sua responsabilidade em ajudar a proteger todas as informações comerciais. Saiba mais sobre como fazer isso com o guia do Instituto Nacional de Padrões e Tecnologia.

#3: A cibersegurança requer um grande investimento financeiro

Uma estratégia robusta de cibersegurança realmente requer um compromisso financeiro se você está sério sobre proteger sua organização. No entanto, há muitos passos que você pode tomar que requerem pouco ou nenhum investimento financeiro.

Tomar Ação: Crie e institua políticas e procedimentos de cibersegurança; restrinja privilégios administrativos e de acesso; habilite autenticação multifatorial ou de dois fatores; treine funcionários para identificar e-mails mal-intencionados e crie procedimentos manuais de backup para manter processos críticos de negócios em operação durante um incidente cibernético. Tais procedimentos podem incluir o processamento de pagamentos no caso de um fornecedor ou site de terceiros não estar operacional. Saiba mais sobre como fazer isso usando o folheto de dicas "Quick Wins" da NCA.

#4: Terceirizar trabalho para um fornecedor limpa suas mãos da responsabilidade de segurança em caso de um incidente cibernético

Faz total sentido terceirizar parte do seu trabalho para outros, mas isso não significa que você abdica da responsabilidade de proteger os dados aos quais um fornecedor tem acesso. Os dados são seus e você tem uma responsabilidade legal e ética de mantê-los seguros.

Tomar Ação: Certifique-se de ter acordos completos com todos os fornecedores, incluindo como os dados da empresa são manuseados, quem possui os dados e tem acesso a eles, por quanto tempo os dados são retidos e o que acontece com os dados uma vez que um contrato é rescindido. Você também deve ter um advogado para revisar quaisquer acordos com fornecedores.

#5: As violações cibernéticas são cobertas por seguros de responsabilidade geral

Muitas apólices de seguro de responsabilidade empresarial padrão não cobrem incidentes cibernéticos ou violações de dados.

Tomar Ação: Converse com seu representante de seguros para entender se você tem algum seguro de cibersegurança existente e que tipo de apólice seria mais adequada às necessidades da sua empresa. Saiba mais sobre como fazer isso com o Centro de Pequenos Negócios da Comissão Federal de Comércio (FTC).

#6: Ataques cibernéticos sempre vêm de atores externos

Resumidamente, os ataques cibernéticos nem sempre vêm de atores externos. Alguns incidentes de cibersegurança são causados acidentalmente por um funcionário – como quando eles copiam e colam informações sensíveis em um e-mail e o enviam para o destinatário errado. Outras vezes, um funcionário descontente (ou ex-funcionário) pode se vingar lançando um ataque à organização.

Tomar Ação: Ao considerar seu panorama de ameaças, é importante não negligenciar possíveis incidentes de cibersegurança que podem vir de dentro da organização e desenvolver estratégias para minimizar essas ameaças. Saiba mais sobre como fazer isso usando este recurso da Agência de Cibersegurança e Infraestrutura Crítica.

#7: Jovens são melhores em cibersegurança do que outros

Muitas vezes, a pessoa mais jovem na organização se torna a “TI” por padrão. A idade não tem correlação direta com melhores práticas de cibersegurança.

Tomar Ação: Antes de dar a alguém a responsabilidade de gerenciar sua mídia social, site, rede, etc., eduque-o sobre suas expectativas de uso e melhores práticas de cibersegurança. Saiba mais sobre como diferentes gerações se comportam online.

#8: A conformidade com os padrões da indústria é suficiente para um programa de segurança

Estar em conformidade com o Ato de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA) ou a Indústria de Cartões de Pagamento (PCI), por exemplo, é um componente crítico para proteger informações sensíveis, mas apenas cumprir esses padrões não equivale a uma robusta estratégia de cibersegurança para a organização.

Tomar Ação: Use um quadro robusto, como o Framework de Cibersegurança NIST, para gerenciar o risco relacionado à cibersegurança. Saiba mais sobre o Framework de Cibersegurança NIST.

#9: Segurança digital e física são separadas

Muitas pessoas associam de forma restrita a cibersegurança apenas a software e codificação. No entanto, ao proteger seus ativos sensíveis, você não deve desconsiderar a segurança física.

Tomar Ação: Inclua uma avaliação do layout do seu escritório e da facilidade de acesso físico não autorizado a informações e ativos sensíveis (por exemplo, servidores, computadores, registros em papel) em seu planejamento. Uma vez concluída sua avaliação, implemente estratégias e políticas para prevenir o acesso físico não autorizado. As políticas podem incluir controlar quem pode acessar certas áreas do escritório e proteger adequadamente laptops e telefones durante viagens. Saiba mais sobre segurança física no site da FTC.

#10: Novos softwares e dispositivos são automaticamente seguros quando os compro

Somente porque algo é novo, não significa que seja seguro.

Tomar Ação: No momento em que você compra uma nova tecnologia, certifique-se de que ela esteja operando com o software mais atual e altere imediatamente a senha padrão do fabricante para uma frase de segurança. Ao criar uma nova frase de segurança, use uma frase longa e única para a conta ou dispositivo. Inscreveu-se para uma nova conta online? Não se esqueça de configurar imediatamente suas configurações de privacidade antes de começar a usar o serviço. Encontre informações sobre como proteger novos dispositivos. Visualize e baixe uma versão condensada deste conteúdo que você pode compartilhar em seus negócios e com suas redes.