Um dos focos da educação dos funcionários sobre segurança online deve incluir a desmistificação de equívocos de cibersegurança frequentemente repetidos. Esta lista – elaborada pela National Cybersecurity Alliance, em colaboração com parceiros públicos e privados – baseia-se nas experiências de líderes empresariais e funcionários de todas as regiões dos Estados Unidos.

10 Equívocos Comuns

#1: Os meus dados (ou os dados a que tenho acesso) não têm valor

Organizações de todas as dimensões mantêm, ou têm acesso, a dados valiosos que vale a pena proteger. Esses dados podem incluir, entre outros, registos de emprego, informações fiscais, correspondência confidencial, sistemas de ponto de venda, contratos comerciais. Todos os dados são valiosos. Tome Medidas: Avalie os dados que cria, recolhe, armazena, acede e transmite e, depois, classifique esses dados pelo seu nível de sensibilidade para que possa tomar as medidas adequadas para os proteger. Saiba mais sobre como fazer isto.

#2: A cibersegurança é uma questão tecnológica

As organizações não podem depender da tecnologia para proteger os seus dados. A cibersegurança é melhor abordada com uma combinação de formação dos funcionários, políticas e procedimentos claros e aceites, e implementação de tecnologias atualizadas, como software antivírus e antimalware.  A proteção cibernética de uma organização é responsabilidade de toda a força de trabalho, não apenas da equipa de TI. Tome Medidas: Eduque todos os funcionários (em todas as funções e em todos os níveis da organização) sobre a sua responsabilidade em ajudar a proteger todas as informações da empresa. Saiba mais sobre como fazer isto com o guia do National Institute for Standards and Technology.

#3: A cibersegurança requer um grande investimento financeiro

Uma estratégia robusta de cibersegurança exige, de facto, um compromisso financeiro se estiver realmente empenhado em proteger a sua organização. No entanto, há muitas medidas que pode adotar que requerem pouco ou nenhum investimento financeiro.

Tome Medidas: Crie e implemente políticas e procedimentos de cibersegurança; restrinja privilégios administrativos e de acesso; ative a autenticação multifator ou de 2 fatores; forme os funcionários para identificar emails maliciosos e crie procedimentos manuais de reserva para manter os processos críticos do negócio em funcionamento durante um incidente cibernético. Tais procedimentos podem incluir o processamento de pagamentos caso o fornecedor terceirizado ou o website não esteja operacional. Saiba mais sobre como fazer isto usando a folha de dicas da NCA “Quick Wins”.

#4: Subcontratar trabalho a um fornecedor não o isenta de responsabilidade pela segurança no caso de um incidente cibernético

Faz todo o sentido subcontratar parte do seu trabalho a terceiros, mas isso não significa que abdique da responsabilidade de proteger os dados a que um fornecedor tem acesso. Os dados são seus e tem a responsabilidade legal e ética de os manter seguros.

Tome Medidas: Certifique-se de que tem acordos completos em vigor com todos os fornecedores, incluindo a forma como os dados da empresa são tratados, quem é o proprietário dos dados e tem acesso a eles, durante quanto tempo os dados são retidos e o que acontece aos dados quando um contrato termina. Deve também pedir a um advogado que reveja quaisquer acordos com fornecedores.

#5: As violações cibernéticas estão cobertas pelo seguro de responsabilidade civil geral

Muitas apólices de seguro de responsabilidade civil empresarial padrão não cobrem incidentes cibernéticos nem violações de dados.

Tome Medidas: Fale com o seu representante de seguros para perceber se já dispõe de seguro de cibersegurança e que tipo de apólice melhor se adequa às necessidades da sua empresa. Saiba mais sobre como fazer isto com o Centro para Pequenas Empresas da Federal Trade Commission (FTC).

#6: Os ciberataques vêm sempre de agentes externos

Em suma, os ciberataques nem sempre provêm de agentes externos. Alguns incidentes de cibersegurança são causados acidentalmente por um funcionário – por exemplo, quando copia e cola informações sensíveis num email e o envia para o destinatário errado. Outras vezes, um funcionário descontente (ou antigo) pode vingar-se lançando um ataque contra a organização.

Tome Medidas: Ao considerar o seu panorama de ameaças, é importante não ignorar potenciais incidentes de cibersegurança que possam surgir no interior da organização e desenvolver estratégias para minimizar essas ameaças. Saiba mais sobre como fazer isto usando este recurso da Cybersecurity and Critical Infrastructure Agency.

#7: Os jovens são melhores na cibersegurança do que os outros

Muitas vezes, a pessoa mais jovem da organização torna-se a pessoa “de TI” por defeito. A idade não está diretamente correlacionada com melhores práticas de cibersegurança.

Tome Medidas: Antes de atribuir a alguém a responsabilidade de gerir as suas redes sociais, website, rede, etc., esclareça as suas expectativas de utilização e as melhores práticas de cibersegurança. Saiba mais sobre como as diferentes gerações se comportam online.

#8: O cumprimento das normas do setor é suficiente para um programa de segurança

Cumprir, por exemplo, a Health Insurance Portability & Accountability Act (HIPAA) ou a Payment Card Industry (PCI) é um componente crítico para proteger informações sensíveis, mas o simples cumprimento destas normas não equivale a uma estratégia robusta de cibersegurança para uma organização.

Tome Medidas: Utilize uma estrutura robusta, como o NIST Cybersecurity Framework, para gerir o risco relacionado com a cibersegurança. Saiba mais sobre o NIST Cybersecurity Framework.

#9: A segurança digital e física são separadas

Muitas pessoas associam a cibersegurança apenas a software e código. No entanto, ao proteger os seus ativos sensíveis, não deve descurar a segurança física.

Tome Medidas: Inclua no seu planeamento uma avaliação da disposição do seu escritório e de quão fácil é obter acesso físico não autorizado a informações e ativos sensíveis (por exemplo, servidores, computadores, registos em papel). Depois de concluir a avaliação, implemente estratégias e políticas para impedir o acesso físico não autorizado. As políticas podem incluir controlar quem pode aceder a determinadas áreas do escritório e guardar adequadamente computadores portáteis e telemóveis durante as deslocações. Saiba mais sobre segurança física no website da FTC.

#10: O novo software e os novos dispositivos são automaticamente seguros quando os compro

Só porque algo é novo não significa que seja seguro.

Tome Medidas: No momento em que adquirir nova tecnologia, certifique-se de que está a funcionar com o software mais recente e altere imediatamente a palavra-passe predefinida do fabricante para uma frase-passe segura. Ao criar uma nova frase-passe, use uma frase longa e única para a conta ou dispositivo. Criou uma nova conta online? Certifique-se de configurar imediatamente as suas definições de privacidade antes de começar a utilizar o serviço. Encontre informações sobre como proteger novos dispositivos. Ver e transferir uma versão resumida deste conteúdo que pode partilhar na sua empresa e com as suas redes.