Naturalmente, os casos de invasões hacker mais noticiados nos últimos anos têm sido os de grandes empresas, como Target, United Airlines, JP Morgan, Sony e Itaú. No entanto, apesar da cobertura dada a esse tipo de ataque, os donos de pequenas empresas ainda esquecem-se de dar atenção aos seus dados e são negligentes ao achar que estão imunes. Eles não poderiam estar mais enganados!
O rackeamento da Target, pro exemplo, foi feito a partir de uma empresa de manutenção terceirizada que trabalhou nos edifícios da rede varejista. A prática de pequenas empresas infiltradas nas grandes tem crescido nos últimos anos, e é cada vez mais investigada.
É um equívoco comum entre os micro e pequenos empresários acreditar que os dados de suas empresas não têm importância para os hackers. O que eles esquecem é que as pequenas empresas reúnem e mantém exatamente os mesmos tipos de informações que as empresas maiores: dados de consumidores, de empregados, financeiros, de propriedade intelectual – todos igualmente valiosos e ainda mais atrativos por serem, teoricamente, mais fáceis de acessar, uma vez que essas empresas possuem menos equipes internas de TI e menor orçamento para gestão de segurança de tecnologia.
Mas como as pequenas empresas podem efetivamente cuidar das brechas e minimizar o perigo de expor seus dados? Os gastos dessas empresas com segurança virtual continuam variando bastante e mudam muito de país para país. A maior parte das empresas deste porte foca seus investimentos na melhoria das atividades de core business, como atendimento ao cliente, prospecção e área administrativa, tendo a segurança digital, muitas vezes, fornecida por terceirizadas.
Mas apesar do baixo investimento em segurança, o mesmo não pode ser dito sobre os investimentos de TI em geral, e essa incompatibilidade é a razão da vulnerabilidade.
A indústria está se tornando cada vez mais ‘mobilecêntrica’ – reconhecendo os claros benefícios dos dispositivos móveis em termos de produtividade, redução de custos, satisfação dos empregados, dentre outros – e a demanda por equipamentos móveis deve crescer ainda mais em 2015.
De fato, o estudo sobre Soluções Mobile SMB Group’s 2014 revelou que ano após ano, o gasto com soluções mobile, comparando com o gasto total em tecnologia, cresceu 10% ao ano nas microempresas e 7% nas pequenas.
Mas, ao mesmo tempo em que vemos aumentar a implementação de soluções móveis, um grande número de pequenas empresas ainda não possui sistemas de segurança compatíveis, políticas corporativas e treinamentos que garantam que seus empregados estejam seguros e protegidos dos riscos que seu comportamento no uso de mobiles pode gerar.
Infelizmente, existe uma clara evidência de que o comportamento inapropriado dos empregados no uso mobile é o maior problema de segurança digital nas empresas. Por exemplo, uma pesquisa recente de uma parceira da AVG, a Centrify, descobriu que um em cada três usuários corporativos é negligente com a segurança de seu smartphone, e que muitos desses usam senhas simples e fáceis de adivinhar, o que coloca os dados de seus empregadores em risco.
Esse é um problema bem real. No Reino Unido, por exemplo, o roubo de dados pode custar às pequenas e medias empresas entre US$ 100 mil e US$ 170 mil ao ano, com uma média de seis invasões por ano. Somado a isso, há o fato de que os cibercriminosos estão cada vez mais sofisticados em sua abordagem, usando técnicas de engenharia social para enganar empregados com e-mails fraudulentos muito bem feitos ou usando falsos sites redirecionados para páginas maliciosas.
Até agora, um caminho comum para qualquer empresa preocupada com vazamento de dados, era investir no Gerenciamento de Dispositivo Móvel. Essa ferramenta funciona garantindo que todos os dispositivos móveis dos empregados estejam autorizados pela empresa e solicita aos empregados o ingresso em uma série de Políticas de TI pré-definidas para que possam ter acesso a dados e recursos da companhia. Em troca, os administradores de TI recebem os privilégios que precisam para desempenhar procedimentos de segurança, tais como acesso e comandos remotos para ‘localização, bloqueio e eliminação’, checagem de redes e VPNs e outras questões de segurança alinhadas com a empresa.
Um dos problemas com a gestão Mobile é alguns empregados podem se sentir cerceados e acabar buscando soluções alternativas para esses mesmos usos.
Uma solução alternativa, que prevê tanto a mobilidade dos empregados quanto a produtividade via BYOD (sigla que reflete a política de uso de devices próprios dos empregados nas empresas), assim como políticas de segurança rigorosas, é a tecnologia de Segurança única (SSO) com dois fatores de autenticação. Ela permite aos gestores de TI implantar a segurança, o acesso móvel e autenticação multifator para seus clientes de pequenos negócios de maneira simples, baseada na nuvem, com um serviço que amplia a usabilidade, segurança e compliance para todos os recursos móveis disponíveis, além dos tradicionais laptops e desktops Windows e OSX.
Essa abordagem ajuda os proprietários de pequenas empresas e gestores de IT a garantir que os dados confidenciais da empresa ficarão seguros, privados e sob controle, mesmo que sejam compartilhados com dispositivos móveis de propriedade dos empregados e em serviços na nuvem.
Para os proprietários de pequenas empresas que não estão prontos para integrar uma solução completa de TI como segurança SSO, há ainda uma série de práticas recomendadas que podem ajudar na proteção de dados dos seus negócios:
- Eduque seus funcionários por meio de treinamentos presenciais e forneça recursos regularmente atualizados;
- Certifique-se de que os dados de seus clientes estejam armazenados em um banco de dados criptografado;
- Exija vários níveis de senhas para acessar qualquer banco de dados ou armazenamento de informações do cliente;
- Altere essas senhas frequentemente;
- Regularmente execute verificações com os empregados que tem contato direto com dados de clientes;
- Tenha um software de detecção de malware em execução em ambos os servidores (hospedados ou não) e nas estações de trabalho e garanta que ele e seus sistemas operacionais estejam regularmente atualizados;
- Garanta que seu sistema de gestão de Crise ou “Disaster Plan” (que, obviamente, você deve ter) inclui um plano de violação de dados.
Se você não tem um técnico qualificado que possa atender internamente a gestão de defesas de seus dados, seria bom considerar a contratação de um prestador de serviços de TI.
Com o volume e o escopo das ameaças à segurança de pequenas empresas em ascensão, elas não podem mais se dar ao luxo de esperar e correr o risco de se tornar a próxima vítima nas páginas dos jornais. Além das perdas monetárias com tais infracções, o dano à reputação pode ser incalculável e afetar gravemente a credibilidade, erodindo a confiança dos seus clientes.
Mike Foreman, general manager da AVG Business, divisão da AVG Technologies.