0
0
Por Ashvin Kamaraju | Vice President of Engineering, Strategy & Innovation da Thales
O Mês de Conscientização sobre Cibersegurança é uma iniciativa internacional que foca em maneiras simples de nos proteger, assim como nossas famílias e empresas, de ameaças online. O tema de 2025, “Proteja Nosso Mundo”, destaca a onipresença das tecnologias digitais que permitem conexões globais e como medidas diretas, mas eficazes, podem ter um impacto duradouro.
Em um mundo onde nossas vidas digitais estão cada vez mais interligadas, cada vetor de ataque protegido aumenta a segurança de outras pessoas conectadas. E considerando o quanto estamos todos conectados a nossos dispositivos, redes e à internet em geral, isso pode abranger muitos de nós.
Principais Práticas de Cibersegurança para Implementar
1. Proteja suas credenciais – elimine as senhas!
À medida que os criminosos se tornam mais habilidosos em direcionar nossas credenciais de acesso, a indústria está gradualmente abandonando as senhas e avançando para um futuro sem senhas. Isso significa mudar completamente para outras formas de autenticação, que podem utilizar dados biométricos, PINs, padrões e chaves de acesso no lugar das senhas. Com um número crescente de plataformas suportando autenticação por chaves de acesso e sem senha, essa transição está se tornando mais fácil e sem atritos.
Se a opção sem senha não for viável, use senhas fortes com um gerenciador de senhas. Infelizmente, menos de 40% dos usuários online utilizam uma senha diferente para cada conta, segundo o relatório Oh Behave! 2023 da Aliança Nacional de Cibersegurança. Senhas reutilizadas dão aos criminosos acesso adicional a outras áreas da vida digital de uma pessoa quando eles roubaram (ou compraram, ou quebraram) uma única credencial. Além de ter um login diferente para cada site, a recomendação atual sugere que uma senha forte contenha:
- Pelo menos 16 caracteres.
- Randomização, com uma mistura de letras, símbolos e números.
- Potencialmente uma “frase-senha” de 4 a 7 palavras, embora a randomização seja recomendada.
Em ambos os casos – senhas ou chaves de acesso sem senha – um gerenciador de senhas é necessário. Com a média de uma pessoa tendo que gerenciar cerca de 100 credenciais diferentes, não é surpresa que quase um terço da internet use um gerenciador de senhas para organizar (e “lembrar”) todas elas.
2. Reconheça e denuncie phishing
Segundo o Relatório de Ameaças de Dados da Thales 2024, o phishing é o segundo ataque de crescimento mais rápido. Táticas de phishing estão ficando cada vez mais sorrateiras, graças à IA, e é mais importante do que nunca que os funcionários reconheçam seus sinais. Agora, campanhas baseadas em IA conseguem gerar e-mails perfeitos em qualquer idioma, tipicamente:
- Criando uma sensação de urgência (gerando pânico e interferindo no pensamento crítico).
- Incentivando uma ação não solicitada (como “mude sua senha agora” ou “faça o download agora”).
- Pedindo alguma informação pessoal (geralmente dados financeiros, como em golpes de BEC).
A maneira mais eficaz de capacitar as pessoas a identificar e denunciar e-mails de phishing é fortalecer o “firewall humano”. As empresas devem investir em programas de treinamento de conscientização de segurança não apenas para seus funcionários, mas também para suas famílias, criando uma cultura positiva onde todos são incentivados a relatar erros, como clicar em um link malicioso.
3. Ative a Autenticação Multifator (MFA)
A Autenticação Multifator (MFA) é uma camada de segurança exigida por muitos provedores de serviços em nuvem e por muitas organizações do dia a dia. Agências globais de segurança, como CISA e ENISA, recomendam a adoção da MFA, já que ela adiciona camadas extras de defesa além das senhas (um código de verificação por mensagem de texto ou uma impressão digital, por exemplo). Existem várias opções de MFA disponíveis:
- A MFA resistente a phishing é conhecida pela CISA como o “padrão ouro” e abrange a autenticação FIDO/WebAuthn e métodos baseados em Infraestrutura de Chave Pública (PKI).
- Métodos de MFA baseados em aplicativos aumentam a segurança ao enviar uma notificação para o telefone do usuário, gerar uma senha de uso único (OTP) ou usar um token OTP.
- A MFA por SMS ou Voz simplesmente depende de enviar uma chamada telefônica de verificação ou mensagem de texto ao usuário.
Apesar da importância e da variedade de métodos de MFA, o relatório DTR 2024 da Thales mostra que apenas 46% das organizações utilizam autenticação multifator para mais de 40% de seus funcionários. É essencial notar que, embora a MFA resistente a phishing seja mais eficaz contra ataques de engenharia social habilitados por IA, qualquer forma de MFA é muito melhor do que nenhuma.
4. Atualize o software: uma defesa crítica, mas proceda com cautela
É crucial que todos os funcionários saibam aceitar e aplicar atualizações de software sempre que os lembretes aparecerem, pois são essas atualizações que mantêm as vulnerabilidades corrigidas. Um relatório da Ponemon observou que 60% das violações se originaram de vulnerabilidades não corrigidas, tornando essa prática simples ainda mais vital.
Os criminosos rapidamente adotaram a IA para identificar e explorar até mesmo vulnerabilidades de dia zero. No entanto, as empresas, especialmente em configurações de infraestrutura crítica, devem aplicar patches em seus sistemas com cautela e não por medo. Embora as atualizações de segurança oportunas sejam cruciais, é igualmente importante testar essas atualizações em um ambiente controlado antes de aplicá-las para minimizar a possibilidade de afetar sistemas críticos.
Pequenas ações fazem grande diferença
O objetivo geral do Mês de Conscientização sobre Cibersegurança é aprimorar a postura de segurança de identidades, aplicativos, dados e softwares — seja para dados pessoais ou corporativos. Como os métodos destacados acima ilustram, boas medidas de defesa não precisam ser difíceis de usar ou implementar. Na verdade, manter a simplicidade e usar ferramentas e procedimentos práticos e fáceis de usar garantirá uma adoção mais ampla.
Além disso, se você for uma empresa, complemente essas melhores práticas com soluções que ofereçam proteção robusta para aplicativos e dados, a fim de reduzir o potencial de uma violação de dados. Essas soluções protegem aplicativos e APIs, descobrem e classificam dados sensíveis, fornecem inteligência de risco e complementam os esforços de conscientização de segurança dos funcionários. As práticas fáceis de usar mencionadas acima permitem que seus funcionários sejam a primeira linha de defesa, enquanto a implementação de soluções da Imperva oferece o próximo nível de proteção.
Isso sim é uma defesa em profundidade para proteger nosso mundo!
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.