7 maneiras de destruir um negócio com um clique

2024 Autor: Malcolm Clapton | [email protected]. Última modificação: 2024-01-15 16:48

Um e-mail malicioso e um funcionário ingênuo podem custar dinheiro ou reputação à sua empresa. Junto com a Microsoft, informaremos sobre quais regras de higiene cibernética você precisa conversar com sua equipe.

Encontre ainda mais dicas sobre como se proteger contra ameaças digitais.

Novos tipos de ameaças cibernéticas estão surgindo todos os dias. Pode parecer que os hackers e golpistas estão atrás apenas dos gigantes do mercado. Mas este não é o caso. 63% de todos os ataques têm como alvo pequenas empresas e 60% das pequenas empresas fecham após um ataque cibernético. Além disso, as vítimas dos ataques não são necessariamente startups do Vale do Silício. A Procuradoria-Geral da Federação Russa registrou 180.153 crimes cibernéticos nos primeiros seis meses de 2019. E isso é 70% a mais do que em 2018.

Mesmo que você tenha um departamento de TI inteiro e antivírus instalados em todos os computadores, isso não é suficiente para uma proteção confiável. Além disso, sempre há um fator humano: as ações erradas dos funcionários podem levar a um desastre digital. Portanto, é importante conversar com sua equipe sobre ameaças cibernéticas e explicar como se proteger. Reunimos sete situações em que a indiscrição de uma pessoa pode custar caro à sua empresa.

1. Clicar em um link malicioso

Situação: um e-mail é enviado para a correspondência do funcionário, que se parece com uma correspondência normal de um destinatário familiar. A carta contém um botão que leva a um site que não levanta suspeitas em ninguém. O funcionário segue o link e é redirecionado para o site de golpes.

O mecanismo descrito é o chamado ataque de phishing. A pesquisa da Microsoft diz que este é um dos esquemas fraudulentos mais comuns. Em 2018, o número desses ataques aumentou 350%. O phishing é perigoso porque inclui elementos de engenharia social: os invasores enviam emails por email em nome de uma empresa ou de uma pessoa em quem a vítima certamente confia.

Os esquemas fraudulentos estão se tornando cada vez mais complexos: os ataques ocorrem em vários estágios e os e-mails são enviados de diferentes endereços IP. Um e-mail de phishing pode até mesmo ser disfarçado como uma mensagem de um executivo da empresa.

Para não ser pego, você precisa ler atentamente todas as cartas, observar discrepâncias em uma letra ou símbolo no endereço e, em caso de qualquer suspeita, entre em contato com o remetente antes de fazer algo.

2. Baixar um arquivo infectado

Situação: o funcionário precisa de um novo software para trabalhar. Ele decide baixar o programa em domínio público e acaba em um site onde o malware finge ser um software útil.

Os vírus na Internet costumam ser disfarçados como software funcional. Isso é chamado de falsificação - falsificar o propósito de um programa para prejudicar o usuário. Assim que o funcionário abre o arquivo baixado, seu computador cai na zona de risco. Além disso, alguns sites baixam automaticamente códigos maliciosos para o seu computador - mesmo sem você tentar baixar algo. Esses ataques são chamados de downloads drive-by.

Outras consequências dependem do tipo de vírus. O ransomware costumava ser predominante: ele bloqueava o computador e exigia um resgate do usuário para retornar à operação normal. Agora, outra opção é mais comum - os invasores usam os computadores de outras pessoas para minerar criptomoedas. Ao mesmo tempo, outros processos ficam lentos e o desempenho do sistema diminui. Além disso, tendo acesso a um computador, os fraudadores podem obter dados confidenciais a qualquer momento.

Artyom Sinitsyn Diretor de Programas de Segurança da Informação na Europa Central e Oriental, Microsoft.

Os funcionários da empresa devem estar cientes de que o software de trabalho não pode ser baixado da Internet. Pessoas que postam programas na Web não têm qualquer responsabilidade pela segurança de seus dados e dispositivos.

Uma das primeiras regras de segurança cibernética é usar software licenciado. Fornece, por exemplo, todas as soluções de que necessita para o seu negócio, garantindo ao mesmo tempo uma protecção total das suas informações.

Não é apenas seguro, mas também conveniente: com o Microsoft 365, você pode usar todos os aplicativos do Office, sincronizar seu e-mail do Outlook com seu calendário e manter todas as suas informações importantes na nuvem OneDrive de 1 TB.

3. Transferência de arquivos em canais desprotegidos

Situação: o funcionário precisa compartilhar um relatório de trabalho com informações confidenciais com um colega. Para torná-lo mais rápido, ele carrega o arquivo nas redes sociais.

Quando os funcionários acham desconfortável usar bate-papos corporativos ou outro software de escritório, eles procuram soluções alternativas. Não para prejudicar deliberadamente, mas simplesmente porque é mais fácil assim. Esse problema é tão comum que existe até um termo especial para ele - shadow IT. É assim que eles descrevem uma situação em que os funcionários criam seus sistemas de informação contrários aos prescritos pela política de TI da empresa.

É óbvio que a transferência de informações e arquivos confidenciais por meio de redes ou canais sociais sem criptografia acarreta um alto risco de vazamento de dados. Explique aos funcionários porque é importante aderir aos protocolos controlados pelo departamento de TI para que, em caso de problemas, os funcionários não sejam pessoalmente responsáveis pela perda de informações.

Artyom Sinitsyn Diretor de Programas de Segurança da Informação na Europa Central e Oriental, Microsoft.

4. Software desatualizado e falta de atualizações

Situação: o funcionário recebe uma notificação sobre o lançamento de uma nova versão do software, mas a todo momento ele adia a atualização do sistema e trabalha no antigo, pois “não dá tempo” e “dá muito trabalho”.

Novas versões de software não são apenas correções de bugs e lindas interfaces. É também a adaptação do sistema às ameaças surgidas, bem como a sobreposição de canais de vazamento de informações. Flexera relata que é possível reduzir a vulnerabilidade do sistema em 86% simplesmente instalando as atualizações de software mais recentes.

Os cibercriminosos regularmente encontram maneiras mais sofisticadas de invadir os sistemas de outras pessoas. Por exemplo, em 2020, a inteligência artificial é usada para ataques cibernéticos e o número de hackers de armazenamento em nuvem está crescendo. É impossível fornecer proteção contra um risco que não existia quando o programa foi encerrado. Portanto, a única chance de melhorar a segurança é trabalhar com a versão mais recente o tempo todo.

A situação é semelhante com software não licenciado. Esse software pode não ter uma parte importante das funções e ninguém é responsável por seu correto funcionamento. É muito mais fácil pagar por software licenciado e com suporte do que arriscar informações corporativas críticas e comprometer a operação de toda a empresa.

5. Usando redes Wi-Fi públicas para o trabalho

Situação: empregado trabalha com laptop em um café ou aeroporto. Ele se conecta à rede pública.

Se seus funcionários trabalham remotamente, informe-os sobre os perigos do Wi-Fi público. A própria rede pode ser falsa, por meio da qual os golpistas roubam dados de computadores ao tentar se conectar. Mas mesmo que a rede seja real, outros problemas podem surgir.

Andrey Beshkov Chefe de Desenvolvimento de Negócios da Softline.

Como resultado de tal ataque, informações importantes, logins e senhas podem ser roubados. Os golpistas podem começar a enviar mensagens em seu nome e comprometer sua empresa. Conecte-se apenas a redes confiáveis e não trabalhe com informações confidenciais em redes Wi-Fi públicas.

6. Copiar informações importantes para serviços públicos

Situação: o funcionário recebe uma carta de um colega estrangeiro. Para entender tudo exatamente, ele copia a carta para o tradutor no navegador. A carta contém informações confidenciais.

Grandes empresas desenvolvem seus próprios editores e tradutores de texto corporativo e instruem os funcionários a usá-los apenas. A razão é simples: os serviços públicos online têm suas próprias regras para armazenar e processar informações. Eles não são responsáveis pela privacidade dos seus dados e podem transferi-los para terceiros.

Você não deve carregar documentos importantes ou fragmentos de correspondência corporativa para recursos públicos. Isso também se aplica a serviços de teste de alfabetização. Já existem casos de vazamento de informações por meio desses recursos. Não é necessário criar seu próprio software, basta instalar programas confiáveis nos computadores de trabalho e explicar aos funcionários a importância de usá-los apenas.

7. Ignorando a autenticação multifator

Situação: o sistema solicita que o funcionário associe uma senha a um dispositivo e uma impressão digital. O funcionário pula esta etapa e usa apenas a senha.

Se seus funcionários não armazenam senhas em um adesivo colado no monitor, isso é ótimo. Mas não o suficiente para eliminar o risco de perda. Os pacotes "senha - login" não são suficientes para uma proteção confiável, especialmente se uma senha fraca ou insuficientemente longa for usada. De acordo com a Microsoft, se uma conta cair nas mãos de cibercriminosos, em 30% dos casos eles precisarão de cerca de dez tentativas para adivinhar a senha de outras contas humanas.

Use a autenticação multifator, que adiciona outras verificações ao par de login / senha. Por exemplo, uma impressão digital, ID facial ou um dispositivo adicional que confirma o login. A autenticação multifator protege contra 99% dos ataques que visam roubar dados ou usar seu dispositivo para mineração.

Artyom Sinitsyn Diretor de Programas de Segurança da Informação na Europa Central e Oriental, Microsoft.

Para proteger sua empresa contra ataques cibernéticos modernos, incluindo phishing, invasão de contas e infecção de e-mail, você precisa escolher serviços de colaboração confiáveis. Tecnologias e mecanismos para proteção efetiva devem ser integrados ao produto desde o início, a fim de utilizá-lo da forma mais conveniente possível, sem comprometer as questões de segurança digital.

É por isso que o Microsoft 365 inclui uma variedade de recursos de segurança inteligentes. Por exemplo, proteger contas e procedimentos de login contra comprometimento com um modelo de avaliação de risco integrado, autenticação multifator para a qual você não precisa comprar licenças adicionais ou autenticação sem senha. O serviço fornece controle de acesso dinâmico com avaliação de risco e levando em consideração uma ampla gama de condições. O Microsoft 365 também contém automação integrada e análise de dados, e também permite que você controle dispositivos e proteja dados contra vazamento.