TO blog a seguir é compartilhado por um membro DWEN como parte de nossas vozes de membros programa, qual é escrito por membros para membros.

Riscos e proteções de segurança de dados para pequenas empresas

Por Tosin Ojo, Fundador e Consultor Principal da CITSAP Consulting

Os dados são o coração de todos os negócios, o que os torna um ativo essencial de uma organização e um alvo principal para hackers e malfeitores. A importância dos dados na geração de valor empresarial não pode ser subestimada, da mesma forma, a sua proteção também deve ser priorizada de forma adequada, independentemente do tamanho da empresa. No entanto, a maioria das pequenas empresas considera o seu nível de ameaça comparativamente baixo quando comparado com organizações maiores.

Com base em relatórios recentes, esta escola de pensamento não resiste à realidade. Números recentes mostram que as pequenas empresas são especialmente vulneráveis a violações de dados. De acordo com o Relatório de investigações de violação de dados (DBIR) de 2019 da Verizon1, aproximadamente 43% de violações de dados visam pequenas e médias empresas (SMBs); enquanto outro relatório observou que 60%2 das pequenas e médias empresas que foram vítimas de violações de dados acabam fechando as portas e fechando nos próximos seis meses.

A crescente dependência da computação em nuvem e a proliferação de empresas de comércio eletrônico proporcionam às pequenas e médias empresas, à semelhança das grandes organizações, maior acesso a clientes confidenciais ou dados pessoais, como cartões de crédito, números de segurança social, endereços de e-mail e endereços IP.

Alguns dos riscos que podem ocorrer devido a medidas inadequadas de segurança de dados são:

  1. Risco reputacional: Uma consequência imediata de uma violação de dados é a má publicidade/imprensa, resultando na perda de credibilidade entre consumidores, clientes e potenciais investidores. Muitas vezes, os clientes podem perder a confiança na capacidade da empresa de proteger os seus dados sensíveis e procurar outras empresas com salvaguardas mais fortes para fornecer o mesmo serviço ou um serviço semelhante.
  2. Risco financeiro: A falta de proteção de dados pode resultar em perdas financeiras para a organização. Os elevados custos das violações de dados tendem a estar relacionados com as ações que as empresas têm de tomar após uma violação de dados, tais como custos de investigação, implementação de controlos de segurança, multas legais ou regulamentares, etc.
  3. Risco Regulatório ou Legal: As multas regulamentares também podem ser uma consequência da violação dos regulamentos de proteção de dados. Os clientes podem tomar medidas legais contra a organização quando seus dados forem violados. As multas regulamentares ou legais podem ser mais elevadas quando as organizações não conseguem demonstrar que foram tomadas as devidas diligências para proteger adequadamente os dados pessoais ou sensíveis dos clientes.
  4. Risco operacional: Outro grande impacto de uma violação de dados é o potencial tempo de inatividade que a organização pode enfrentar após o evento. Dependendo da natureza do evento, a empresa poderá ter de encerrar as suas operações, incluindo os principais sistemas ou websites geradores de receitas, enquanto investiga e/ou contém os danos causados pela violação ou interrupções não planeadas do negócio; levando ainda mais ao aumento da insatisfação do cliente e potencial perda de receita.
  5. Risco do Cliente ou Cliente: Os hackers podem usar os dados violados dos clientes para cometer fraudes ou golpes, aumentando ainda mais a responsabilidade das pequenas e médias empresas.

Para as pequenas empresas frequentemente confrontadas com restrições de recursos, é importante identificar e implementar medidas para reduzir eficazmente os riscos para um nível aceitável. Abaixo estão 10 medidas essenciais que as pequenas e médias empresas podem implementar para se protegerem contra riscos de segurança de dados.

  1. Priorize o treinamento e a conscientização da equipe

Os funcionários são essencialmente um firewall humano e a primeira linha de defesa da organização. As empresas devem fornecer treinamento obrigatório de conscientização de segurança para seus funcionários, pelo menos uma vez por ano, para educá-los sobre riscos de segurança, como phishing e ransomware.

  1. Manter um inventário de sistemas e dados

As empresas devem fazer um balanço periódico do seu ambiente e manter um inventário dos sistemas e dados críticos para compreender onde residem os dados mais sensíveis e as salvaguardas a serem implementadas.

  1. Proteja dados confidenciais

O principal alvo dos cibercriminosos são os dados confidenciais da sua empresa, incluindo informações de identificação pessoal (PII), segredos comerciais, dados financeiros e outras informações confidenciais. A implementação de procedimentos robustos de controle de acesso, criptografia e descarte seguro de dados pode ajudar a proteger seus dados confidenciais.

  1. Use autenticação multifator (MFA)

A MFA fornece uma camada adicional de segurança, exigindo um ou mais meios de verificação da identidade de um indivíduo, por exemplo, uma senha única, diferente de nome de usuário e senha.

  1. Implementar soluções de firewall e antivírus

As empresas devem proteger a sua rede usando um firewall, e o software antivírus deve ser implementado em todos os dispositivos da empresa para proteger contra malware, ransomware e ameaças relacionadas.

  1. Mantenha os patches do sistema atualizados

As empresas devem garantir que estão atualizadas com os patches necessários para reduzir o risco de os sistemas da empresa serem suscetíveis a ameaças cibernéticas.

  1. Revise os controles de segurança de terceiros

As empresas que dependem de fornecedores terceirizados para aspectos críticos de suas operações devem garantir que existam procedimentos para validar periodicamente a adequação dos controles de segurança dos fornecedores, pois uma violação de segurança dos sistemas do fornecedor pode ter um impacto em cascata em seus negócios.

  1. Garanta avaliações periódicas de vulnerabilidade

Execute ou contrate um provedor de serviços de gerenciamento para verificar periodicamente seus sistemas, sites, etc., para identificar e corrigir oportunamente vulnerabilidades que possam ser exploradas por hackers para obter acesso não autorizado aos seus sistemas.

  1. Tenha um plano de resposta a incidentes

Um plano de resposta a incidentes documentado e testado descreve as etapas necessárias a serem executadas no caso de um incidente de segurança, como uma violação de dados.

  1. Execute backups periódicos e planejamento de recuperação de desastres

O backup periódico de sistemas e dados críticos pode evitar uma interrupção prolongada dos negócios no caso de perda de dados devido a uma violação de segurança, exclusão acidental ou desastre natural. Um plano de recuperação de desastres ajudaria a empresa a colocar seus sistemas novamente online usando backups disponíveis e outros componentes do sistema após uma grande interrupção nos negócios.

Embora as salvaguardas fornecidas acima não sejam uma lista exaustiva, elas fornecem uma base de salvaguardas de segurança de dados. Também é importante observar que, se houver leis ou regulamentos específicos em seu setor ou jurisdição em relação à segurança de dados, você deverá manter-se atualizado e implementar todos os requisitos aplicáveis.

Referências:

1 https://www.verizon.com/business/resources/articles/small-business-cyber-security-and-data-breaches/ 

2 4 principais razões pelas quais as PME e PME falham após um grande ataque cibernético | CSO on-line


Assista a seguir - Evitando o marketing de “objetos brilhantes”

Leia a seguir - Dicas privilegiadas sobre como acertar o passo

Sobre Tosin Ojo, CISSP, CRISC, CISA, CISM, CIA, CFE, MSc. – Fundador e Consultor Principal da CITSAP Consulting

Tosin Ojo é uma profissional talentosa em gerenciamento, garantia e consultoria de riscos de tecnologia/segurança cibernética, com 20 anos de experiência em vários setores, incluindo serviços financeiros, energia, petróleo e gás, etc. Tosin atualmente trabalha como consultora principal em sua empresa, CITSAP Consulting , onde assessora seus clientes na gestão de riscos de segurança cibernética e fornece suporte técnico na concepção e implementação de programas de conformidade baseados em riscos. Tosin foi anteriormente vice-presidente de gerenciamento de riscos e controles de tecnologia na AIG, uma empresa de serviços financeiros listada na Fortune 100, e gerenciou programas de auditoria e conformidade de TI em várias outras empresas, incluindo Siemens, Dresser-rand, Tokio Marine HCC e PwC. Tosin possui mestrado em segurança cibernética pela Universidade de Houston e atualmente possui diversas certificações reconhecidas pelo setor. Você pode segui-la LinkedIn.

Sobre as vozes dos membros da DWEN

Os membros da DWEN são convidados a compartilhar seus conhecimentos, experiências, técnicas de resolução de problemas arduamente conquistadas ou lições aprendidas. Agradecemos seus envios de apresentações ou artigos sofisticados e prontos para publicação para publicação em DWEN.com e boletins informativos, ou usados em um webcast ao vivo para membros. Contribuir com sua própria experiência é uma ótima maneira de inspirar outros fundadores, estabelecer conexões mais profundas e fortalecer sua própria marca. Cause seu impacto na comunidade DWEN enviando para Member Voices. 


Português do Brasil
English 日本語 Deutsch Français Português do Brasil

Relatório

Bloquear membro?

Por favor, confirme que deseja bloquear este membro.

Número Limite de Entradas

  • Ver postagens de membros bloqueados
  • Mencionar este membro em publicações
  • Agende um período de tempo em que o formulário esteja ativo.
  • Envie uma mensagem para este membro
  • Adicionar este membro como uma conexão

Observe: Esta ação também removerá este membro de suas conexões e enviará um relatório ao administrador do site. Aguarde alguns minutos para que esse processo seja concluído.

Relatório

Você já denunciou isso .