Um dos focos da educação de segurança online para funcionários deve incluir desmascarar equívocos comumente citados sobre cibersegurança. Esta lista – montada pela National Cybersecurity Alliance, em colaboração com parceiros públicos e privados – é baseada nas experiências de líderes empresariais e funcionários de todo os Estados Unidos.

10 Equívocos Comuns

#1: Meus dados (ou os dados aos quais tenho acesso) não são valiosos

Organizações de todos os tamanhos mantêm ou têm acesso a dados valiosos que valem a pena proteger. Tais dados podem incluir, mas não se limitam a, registros de emprego, informações fiscais, correspondência confidencial, sistemas de ponto de venda, contratos comerciais. Todos os dados são valiosos. Tome uma Ação: Avalie os dados que você cria, coleta, armazena, acessa, transmite e classifique esses dados pelo nível de sensibilidade, para que você possa tomar medidas apropriadas para protegê-los. Saiba mais sobre como fazer isso.

#2: Cibersegurança é uma questão de tecnologia

As organizações não podem confiar apenas na tecnologia para proteger seus dados. A cibersegurança é melhor abordada com uma combinação de treinamento de funcionários, políticas e procedimentos claros e aceitos, e implementação de tecnologias atualizadas, como software antivírus e anti-malware. A cibersegurança de uma organização é responsabilidade de toda a equipe, não apenas da equipe de TI. Tome uma Ação: Eduque cada funcionário (em todas as funções e em todos os níveis da organização) sobre sua responsabilidade em ajudar a proteger todas as informações comerciais. Saiba mais sobre como fazer isso com o guia do National Institute for Standards and Technology.

#3: Cibersegurança exige um grande investimento financeiro

Uma estratégia robusta de cibersegurança exige sim um compromisso financeiro se você está sério em proteger sua organização. No entanto, há muitos passos que você pode tomar que exigem pouco ou nenhum investimento financeiro.

Tome uma Ação: Crie e institua políticas e procedimentos de cibersegurança; restrinja privilégios administrativos e de acesso; habilite autenticação multifatorial ou de 2 fatores; treine os funcionários para identificar e-mails maliciosos e crie procedimentos manuais de backup para manter processos críticos de negócios em operação durante um incidente cibernético. Tais procedimentos podem incluir o processamento de pagamentos no caso de um fornecedor ou site de terceiros não estar operacional. Saiba mais sobre como fazer isso usando a folha de dicas "Quick Wins" da NCA.

#4: Terceirizar trabalho para um fornecedor te isenta da responsabilidade de segurança em caso de um incidente cibernético

Faz total sentido terceirizar parte do seu trabalho para outros, mas isso não significa que você abdica da responsabilidade de proteger os dados aos quais um fornecedor tem acesso. Os dados são seus e você tem uma responsabilidade legal e ética de mantê-los seguros e protegidos.

Tome uma Ação: Certifique-se de que você tem acordos abrangentes em vigor com todos os fornecedores, incluindo como os dados da empresa são tratados, quem possui os dados e tem acesso a eles, por quanto tempo os dados são retidos e o que acontece com os dados uma vez que o contrato é encerrado. Você também deve ter um advogado para revisar qualquer acordo com fornecedores. Saiba mais sobre como fazer isso com esta lista da American Bar Association.

#5: Quebras de cibersegurança são cobertas por seguro de responsabilidade geral

Muitas apólices de seguro de responsabilidade comercial padrão não cobrem incidentes cibernéticos ou quebras de dados.

Tome uma Ação: Converse com seu representante de seguros para entender se você possui algum seguro de cibersegurança existente e que tipo de apólice se encaixaria melhor nas necessidades da sua empresa. Saiba mais sobre como fazer isso com o Centro de Pequenas Empresas da Federal Trade Commission (FTC).

#6: Ataques cibernéticos sempre vêm de agentes externos

Resumidamente, ataques cibernéticos nem sempre vêm de agentes externos. Alguns incidentes de cibersegurança são causados acidentalmente por um funcionário – como quando ele copia e cola informações sensíveis em um e-mail e envia para o destinatário errado. Outras vezes, um funcionário insatisfeito (ou ex-funcionário) pode se vingar lançando um ataque à organização.

Tome uma Ação: Ao considerar seu panorama de ameaças, é importante não ignorar potenciais incidentes de cibersegurança que podem vir de dentro da organização e desenvolver estratégias para minimizar essas ameaças. Saiba mais sobre como fazer isso usando este recurso da Cybersecurity and Critical Infrastructure Agency.

#7: Os jovens são melhores em cibersegurança do que os outros

Frequentemente, a pessoa mais jovem na organização se torna a “pessoa de TI” padrão. A idade não está diretamente correlacionada a melhores práticas de cibersegurança.

Tome uma Ação: Antes de dar a alguém a responsabilidade de gerenciar suas redes sociais, site, rede etc., eduque-os sobre suas expectativas de uso e melhores práticas de cibersegurança. Saiba mais sobre como diferentes gerações se comportam online.

#8: Cumprir os padrões da indústria é suficiente para um programa de segurança

Cumprir a Health Insurance Portability & Accountability Act (HIPAA) ou o Payment Card Industry (PCI), por exemplo, é um componente crítico para proteger informações sensíveis, mas cumprir esses padrões não equivale a uma estratégia robusta de cibersegurança para uma organização.

Tome uma Ação: Use uma estrutura robusta, como o NIST Cybersecurity Framework, para gerenciar riscos relacionados à cibersegurança. Saiba mais sobre o NIST Cybersecurity Framework.

#9: Segurança digital e física são separadas

Muitas pessoas associam cibersegurança apenas a software e código. No entanto, ao proteger seus ativos sensíveis, você não deve desprezar a segurança física.

Tome uma Ação: Inclua uma avaliação do layout do seu escritório e quão fácil é obter acesso físico não autorizado a informações e ativos sensíveis (por exemplo, servidores, computadores, registros em papel) em seu planejamento. Uma vez que sua avaliação for concluída, implemente estratégias e políticas para evitar acesso físico não autorizado. As políticas podem incluir o controle de quem pode acessar certas áreas do escritório e a segurança adequada de laptops e telefones durante viagens. Saiba mais sobre segurança física no site da FTC.

#10: Novos softwares e dispositivos são automaticamente seguros quando os compro

Somente porque algo é novo, não significa que seja seguro.

Tome uma Ação: No momento da compra de uma nova tecnologia, certifique-se de que está operando com o software mais atual e altere imediatamente a senha padrão do fabricante para uma senha segura. Ao criar uma nova senha, use uma frase longa e única para a conta ou dispositivo. Inscreveu-se para uma nova conta online? Certifique-se de configurar imediatamente suas configurações de privacidade antes de começar a usar o serviço. Encontre informações sobre como proteger novos dispositivos. Veja e baixe uma versão condensada deste conteúdo que você pode compartilhar em sua empresa e com suas redes. Confira o Podcast sobre Equívocos de Cibersegurança em Pequenas Empresas com ITSP Magazine.