Estudo conduzido pela Kaspersky no fim de 2023 indica que 37% das pequenas e médias empresas (PMEs) da América Latina sofreram alguma violação de cibersegurança nos últimos dois anos. E que 20% desses incidentes tiveram como causa senhas fracas.
Segundo a empresa, credenciais corporativas comprometidas podem resultar em vazamentos de dados confidenciais, trazer danos à reputação da empresa, além de prejuízos financeiros. Uma senha muito simples (como 12345 ou asdfg) pode ser adivinhada em minutos por um hacker, que passa a ter acesso direto à rede corporativa.
Veja 4 dicas da Kaspersky para reforçar as políticas de senhas em PMEs:
Educação de funcionários
Esta medida é frequentemente negligenciada por pessoas que precisam gerenciar inúmeras credenciais de acesso em diferentes serviços (pessoais e corporativos). Para simplificar a gestão, recomenda-se o uso de um gerenciador de senha, que armazenam os códigos com segurança (usando criptografia).
Além disso, as senhas precisam ser únicas, pois caso ela seja hackeada ou vazada, apenas um serviço é impactado. Uma dica dada pela Kaspersky para criar senhas únicas e complexas é usar músicas ou frases que sejam relevantes para a pessoa.
Leia também: e-book gratuito sobre cibersegurança
Autenticação de dois ou mais fatores
A autenticação multifator (MFA) acrescenta camadas adicionais de segurança ao exigir que os funcionários forneçam uma verificação adicional para além de uma simples senha. Isto pode incluir dados biométricos, códigos temporários enviados para um dispositivo ou perguntas de segurança.
Embora as pequenas empresas possam considerar a MFA complexa ou desnecessária, ela pode ser uma medida simples e muito eficiente, como a adoção de um VPN com o uso de um token físico. Isso vai garantir que acessos não autorizados por criminosos não aconteçam e manterão a rede e dados confidenciais a salvos – pelo menos dessa ameaça.
Políticas para uso de senhas
A atualização regular das senhas é uma prática frequente que visa reduzir o risco de uma violação por causa de credenciais comprometidas. Apesar de ser uma prática com certo valor, ela sozinha não tem muito efetividade: quando há um vazamento, a empresa estará vulnerável até o prazo estipulado para a troca (normalmente de 3 meses).
Como toda estratégia de segurança, as senhas precisam de camadas de proteção, por isso é sempre recomendado a obrigatoriedade do uso de letras maiúsculas, minúsculas, números e caracteres especiais – pois assim o código torna-se uma sequência complexa. Outra boa prática é evitar que o nome e aniversário do colaborador seja usado, pois são dados públicos em uma rápida busca nas redes sociais.
Por fim, vale limitar as tentativas de inserir a senha (até 3) e forçar o colaborador a falar com a área de TI/segurança. Desta forma, evita-se os ataques de força-bruta, que basicamente são robôs programados para testar uma lista gigante de sequências até que consigam realizar o acesso.
Treinamentos para os colaboradores
Cerca de 4 em 10 colaboradores brasileiros não entendem como suas ações podem causar danos à empresa. Essa falta de conhecimento é uma barreira para reduzir o impacto do fator humano na segurança corporativa. A melhor forma de reduzir esse risco é oferecendo treinamentos de conscientização de cibersegurança para todos.
Opte por cursos online que ofereçam maior flexibilidade para as pessoas fazê-lo nos horários livres, mas tenha o comprometimento dos principais gestores da empresa para tornar o curso algo obrigatório.
Proteção com eficiência operacional
Entre os principais erros das PMEs é a negligência na sua proteção que, em geral, instalam uma solução barata, muitas vezes para uso doméstico, que não oferece as ferramentas necessárias para a correta operação da organização.
O recomendado para negócios em desenvolvimento é verificar soluções que sejam desenhadas considerando suas necessidades, principalmente as opções de automatização de processos de segurança e uma console de gestão na nuvem. Essas funções permitem manter a eficiência operacional ao mesmo tempo que oferece uma boa proteção para dispositivos e rede.
