Como evitar 5 erros de segurança comuns

erros

Atualmente, mais e mais empresas estão tentando proteger sua infraestrutura contra ataques, mas ainda cometem grandes erros. Abaixo você pode ver como esses erros podem ser evitados.

  1. Eles são flexíveis com contas de administrador

Sua empresa provavelmente possui muitas contas de administrador, oferecendo aos funcionários controle ilimitado sobre materiais e serviços vitais. E isso é perigoso, de acordo com Rob Clyde, CEO da Clyde Consulting.

Clyde chama as contas de administrador de “o ponto fraco de qualquer organização”. Ele explica: “Os gerentes têm privilégios totais e geralmente têm acesso a ambientes virtuais e ao ambiente em nuvem. Isso significa que um hacker que acessa uma conta de administrador pode literalmente assumir um negócio inteiro. E, no entanto, os ataques aos administradores geralmente são ignorados. ”

Ele aconselha as organizações a escolher o número de contas de administrador e garantir que apenas quem precisa delas as tenha. Ele também sugere que cada conta só tenha acesso aos recursos necessários para realizar seu trabalho.

Por fim, de acordo com Clyde, a empresa precisa considerar a possibilidade de aprovação secundária para certos procedimentos, como a exclusão de todas as máquinas virtuais ou contêineres. Dessa forma, mesmo que os hackers obtenham acesso a uma conta de administrador, eles não poderão causar tanto dano, porque outros administradores precisam ser aprovados para ações de alto risco.

  1. Eles desconhecem a necessidade de uma estrutura integrada de gerenciamento de riscos

As empresas geralmente desenvolvem um conjunto de sistemas e procedimentos de segurança, mas não levam em consideração como os riscos cibernéticos afetam toda a organização. Portanto, a cibersegurança é considerada uma questão puramente técnica que requer atenção apenas do departamento de TI e não de todo o negócio. O resultado? As empresas são menos seguras porque não é possível que todas as equipes e indivíduos estejam cientes dos perigos do ciberespaço e tenham cuidado com eles. É o que afirma Chris Dimitriadis, ex-presidente do Conselho de Administração da ISACA.

Dimitriadis diz que uma estrutura abrangente de gerenciamento de riscos deve descrever claramente como os riscos cibernéticos se traduzem em riscos comerciais e como eles podem afetar os negócios. As organizações podem arriscar milhões de dólares e perder a confiança de seus clientes. Dessa forma, toda a empresa, do conselho de administração a funcionários comuns, estará ciente dos riscos e terá maior probabilidade de evitá-los.

  1. Eles não fazem as atualizações necessárias

Os Srs. Clyde e Dimitriadis enfatizam a importância do que deve ser uma parte comum da rotina de segurança preventiva de uma empresa. No entanto, muitas organizações ainda esquecem de incorporar essa prática. Existem inúmeros exemplos de vulnerabilidades não especificadas que levam a ataques cibernéticos bem-sucedidos, com o dano literalmente chegando a centenas de milhões de dólares.

  1. Eles ignoram a segurança dos dispositivos IoT

É fácil para as empresas esquecerem que seus dispositivos IoT, como sensores e câmeras de vigilância, são um alvo muito grande e muito tentador para hackers e podem ser facilmente explorados. Clyde diz que as empresas precisam lidar com eles da mesma maneira que os servidores e outros sistemas relacionados à TI. Isso significa não apenas garantir que eles estejam protegidos contra firewalls, mas também manter-se informado e protegido contra a alteração de senhas com frequência.

  1. Eles não oferecem educação adequada

A melhor proteção contra hackers e violações de dados é uma força de trabalho treinada em riscos de segurança cibernética. Embora essa seja a primeira linha de defesa, a grande maioria das empresas não instilou uma cultura estável de segurança cibernética. Clyde aponta um estudo da ISACA de 2018, no qual 95% dos profissionais de segurança dizem que existe uma lacuna entre a cultura de segurança que sua empresa deseja e a cultura de segurança que possui.

A melhor maneira de instilar uma cultura de conscientização de segurança cibernética é treinar. E o treinamento certo não significa apenas seminários, nos quais os funcionários relutam em participar e esquecem-no imediatamente. Significa trabalho ativo e contínuo sobre essas questões.