0
0
Você pode encontrar cerca de um milhão de dicas sobre como manter uma startup à tona na Internet. Geralmente, os consultores chamam a atenção para as questões de planejamento de negócios, estratégia de marketing, atração de investimentos adicionais e assim por diante, mas artigos raramente falam sobre o problema de construir um sistema sólido de cibersegurança. No entanto, a falta de uma compreensão clara das ameaças pode custar a uma startup um negócio potencialmente bem sucedido. Decidimos falar sobre os erros típicos de cibersegurança e, mais importante, como evitá-los.
Fonte do problema
Aqui está uma história típica de start-up: você e seu amigo vêm com uma ideia brilhante, discutem com seu círculo íntimo, reúnem um grupo de entusiastas, e o time dos sonhos está pronto. Foi assim que começaram as histórias do Airbnb, Pinterest, Twitter, Uber e muitos outros projetos famosos.
No entanto, os problemas surgem quando uma startup passa de uma ideia inicial para construir fluxos de trabalho reais e contratar funcionários adicionais. Neste ponto, o pequeno grupo de pessoas com mentes semelhantes se expande e se torna uma equipe de pessoas aleatórias com diferentes visões sobre a vida e diferentes experiências de vida. Em tal equipe, os funcionários podem ter entendimentos muito diferentes de quais informações devem ser consideradas confidenciais e como mantê-la segura.
Aqui está um exemplo: um funcionário decide que seria conveniente escrever a senha de um serviço online em um quadro-negro — seu pensamento é, todos que precisam dela podem encontrá-la de forma rápida e fácil. Outro membro da equipe posta uma selfie no escritório em uma rede social, escrevendo “quem escreveria algo confidencial no quadro-negro, onde todos podem vê-lo”? Esse tipo de mal-entendido é uma das razões pelas quais as jovens startups podem se desar bem com problemas de segurança cibernética. O problema só pode ser resolvido desenvolvendo uma cultura de cibersegurança corporativa.
Ao mesmo tempo, as pessoas que vêm trabalhar em startups são muitas vezes entusiastas e aventureiros – eles rapidamente se apaixonam pela ideia, e muitas vezes podem mudar rapidamente seus interesses e sair. Além disso, muitas vezes as startups modernas dependem de especialistas em TI que geralmente tendem a passar de negócios para negócios ao longo de vários anos.
A combinação desses dois fatos pode criar alta rotatividade de funcionários. Nessas condições, vários erros podem se multiplicar facilmente, especialmente os relacionados à segurança cibernética. Portanto, é fácil ignorar uma ameaça cibernética que pode ser facilmente evitada.
Erros típicos de cibersegurança
Vamos imaginar: você não tinha notado como sua pequena startup se tornou um negócio completo. Que erros de segurança cibernética você poderia ter cometido até agora?
Direitos de acesso excessivos
Muitas vezes, quando um funcionário de startup precisa de acesso a recursos ou serviços corporativos, ele imediatamente obtém direitos de administrador. A pessoa que compartilha esses direitos de acesso geralmente acha que é mais fácil dar acesso a tudo uma vez, sem entender as reais necessidades de um determinado funcionário e suas responsabilidades, do que obter novos pedidos de acesso a cada semana. Mas quanto mais direitos de acesso um funcionário tem, a chance de um erro cresce. Se você quiser minimizar o número de incidentes cibernéticos, cada participante do fluxo de trabalho deve ter apenas os direitos de acesso necessários para suas tarefas.
Falta de regras do sistema de armazenamento de informações
Em geral, isso é ruim para qualquer negócio. Mas em uma startup, devido à rotatividade de funcionários acima mencionada, um dia você pode simplesmente não ser capaz de encontrar arquivos de trabalho importantes. Provavelmente eles existem em algum lugar, mas onde exatamente é o mistério. Um desenvolvedor ou estagiário de marketing sabia disso uma vez, mas deixou a empresa recentemente sem contar a ninguém.
Senhas esquecidas
Another common problem is forgotten passwords for corporate social networks or other rarely used services. Perhaps a new staff member sets up a Facebook or LinkedIn account to help promote the business, but fails to share the account details with other members of staff, then promptly leaves for another role – the login credentials have gone, with little chance of recovery.
Shared passwords
Some people may think that with high turnover it may be a good idea to use shared accounts. But the more people know a password, the more likely it leaks due to phishing, negligence or malicious intent. In addition, it greatly complicates the investigation of an incident, when it happens. Let’s say it turns out that someone has gained access to an account – the experts suspect that the password was intercepted by malware and wants to check the computer of an employee who had access. Only to find that everyone had!
Senhas em serviços em nuvem
Outro erro relacionado à senha é armazená-los em algum arquivo no Google Docs, pois a configuração incorreta significa que geralmente é acessível por qualquer pessoa com o link. A vantagem óbvia é que é muito conveniente transferir as informações necessárias para todos os funcionários, basta colocar todas as senhas necessárias em um documento e enviar um link. No entanto, tais documentos do Google podem ser indexado por mecanismos de busca. Em outras palavras, o arquivo com todas as suas senhas pode potencialmente cair em mãos erradas.
Falta de autenticação de dois fatores
Alguns dos problemas associados a senhas seriam menos perigosos se as startups não negligenciassem autenticação de dois fatores em contas de trabalho. Isso permite proteger dados importantes de vários métodos de roubo, como phishing. Em primeiro lugar, a proteção em duas etapas deve ser colocada em todos os serviços financeiros, como o Upwork.
Dicas universais de prevenção de ameaças cibernéticas
Para evitar os erros ‘típicos’ que muitas pequenas empresas e start-ups cometem, tente seguir essas dicas:
- Quando se trata de conceder acesso a recursos ou serviços, você deve seguir o princípio de menor privilégio. Ou seja, um funcionário deve ter o mínimo de direitos de acesso — o suficiente apenas para executar suas tarefas.
- Saiba exatamente onde as informações importantes da sua startup estão armazenadas e quem tem acesso a ela. A partir disso, desenvolva diretrizes na contratação de novos funcionários, incluindo a definição clara de quais contas são necessárias para cada funcionário, e quais devem ser limitadas apenas para determinadas funções.
- A cultura madura de cibersegurança corporativa ajuda a prevenir muitas ameaças cibernéticas. Você pode, por exemplo, começar com a criação de um manual de segurança cibernética para os funcionários para que todos estejam na mesma página. Aqui está um bom exemplo para novos funcionários.
- Todas as senhas devem ser armazenadas em um gerenciador de senhas seguro. Isso ajudará seus funcionários a não esquecê-los ou perdê-los e também minimizar a chance de um estranho ter acesso às suas contas. Também use mecanismos de autenticação de dois fatores sempre que possível.
- Aconselho seus funcionários a trancarem o computador quando eles se afastarem da mesa. Eles devem ter em mente que um escritório pode ser visitado por todos os tipos de terceiros, incluindo mensageiros, clientes, subcontratados ou candidatos a emprego.
- Considere a instalação software antivírus, a fim de proteger dispositivos de vírus, trojans e outros programas maliciosos
Um grande número de ameaças pode ser evitado com Segurança do Pequeno Escritório Kaspersky. Essa solução não só protege os dispositivos de seus funcionários contra ransomware e outras ameaças cibernéticas comuns, como também inclui um gerenciador de senhas.
FONTE: KASPERSKY