Cibersegurança: O cibercrime refere-se a atividades criminosas que envolvem computadores, redes de computadores ou dispositivos de processamento de dados. Inclui uma vasta gama de crimes, desde ataques de Ddos (negação de serviço) e roubo de identidade até ao furto de dados e extorsão através de ransomware. Para as Pequenas e Médias Empresas em Portugal, o cibercrime representa uma ameaça significativa e crescente, apesar de muitas vezes terem menos recursos de segurança cibernética do que grandes empresas, as PME’s continuam a ser alvos lucrativos para os cibercriminosos devido ao valor dos seus dados e sistemas.
Um dos principais perigos é o furto de informações confidenciais, como dados de clientes, segredos comerciais e propriedade intelectual, um ataque bem-sucedido pode resultar em enormes prejuízos financeiros, danos na reputação da empresa e perda de confiança dos seus clientes. Outro risco é a interrupção das operações através de ataques de Ddos (negação de serviço) ou infeções de malware, o que pode paralisar os sistemas críticos e causar tempos de inatividade dispendiosos.
As PME’s em setores altamente regulamentados, como finanças e saúde, também enfrentam o risco de multas severas por violações de conformidade relacionadas à segurança de dados. Os criminosos cibernéticos também recorrem cada vez mais a esquemas de extorsão através de ransomware, que criptografa os dados da vítima e exige um resgate para a chave de descriptografia. Além dos perigos cibernéticos diretos, as PME’s portuguesas também precisam considerar os riscos associados à cadeia de fornecedores, pois os ataques podem ser usados como um trampolim para comprometer sistemas conectados.
À medida que mais negócios passam a online, o impacto potencial de incidentes cibernéticos continuará a crescer. As PME’s em Portugal devem adotar uma postura proativa de cibersegurança, investindo em proteções robustas e educando os funcionários sobre as melhores práticas de segurança.
Como podem as pequenas e médias empresas garantir que os funcionários estão devidamente formados nos fundamentos da cibersegurança?
Para as Pequenas e Médias Empresas em Portugal, garantir que os colaboradores estão devidamente formados nos fundamentos da cibersegurança é crucial para proteger os seus negócios contra a ameaças cibernéticas. Segundo as recomendações da Equipa de Resposta a Incidentes de Segurança Informática Nacional (CERT.PT), as PME’s devem adotar as seguintes práticas-chave:
- Fornecer formação sobre as políticas de segurança da informação, os funcionários devem receber formação sobre as políticas de segurança da informação da organização, incluindo a utilização adequada de computadores, redes e ligações à internet, limitações de utilização pessoal dos recursos da empresa e restrições no processamento de dados comerciais em casa.
- Exigir contas individuais para cada funcionário, estabelecer contas separadas para cada utilizador de computador individual, com palavras-passe fortes que sejam alteradas regularmente, para evitar acessos não autorizados e a instalação de software malicioso.
- Limitar o acesso a dados e sistemas, controlar o acesso a dados e sistemas sensíveis, fornecendo aos funcionários acesso apenas aos sistemas e informações específicos necessários para desempenhar as suas funções, evitando dar acesso a contas administrativas para impedir a instalação não autorizada de software.
- Formar os funcionários sobre os princípios básicos de segurança, educar os funcionários sobre os princípios básicos de segurança, como reconhecer anexos de e-mail e links da Internet que possam conter código malicioso, evitar janelas popup, realizar transações online seguras e proteger os pontos de acesso wi-fi.
- Procurar ajuda especializada quando necessário, as PME’s devem procurar ajuda especializada em segurança de sistemas de informação através de recursos como Centros de Apoio Empresarial, Associações Comerciais e Industriais locais e instituições de ensino técnico.
- Proteger informações sensíveis durante a eliminação, garantir que os computadores e meios de armazenamento antigos são eliminados corretamente, removendo e destruindo discos rígidos, componentes eletrónicos, conectores, meios de armazenamento obsoletos e triturando papel contendo informações sensíveis.
Ao implementar estas práticas, as Pequenas e Médias Empresas em Portugal podem formar eficazmente os seus funcionários nos fundamentos da cibersegurança e proteger os seus negócios contra ameaças cibernéticas.
Dez procedimentos essenciais para proteger as informações, sistemas e redes das PME’s
De acordo com as recomendações do Instituto Nacional de Normas e Tecnologia (NIST) dos EUA, as dez procedimentos essenciais para proteger as informações, sistemas e redes das pequenas empresas são as seguintes:
- Instalar software antivírus e anti-spyware em todos os computadores utilizados nas operações empresariais e garantir que é atualizado regularmente.
- Fornecer segurança para a ligação à internet.
- Procurar ajuda especializada em segurança de sistemas de informação quando necessário, através de recursos como Centros de Apoio Empresarial e Associações Comerciais e Industriais.
- Eliminar de forma segura computadores e meios antigos, destruindo discos rígidos, componentes eletrónicos, conectores e meios de armazenamento obsoletos.
- Proteger informações e sistemas contra técnicas de engenharia social, formando os funcionários para estarem atentos quando solicitados a fornecer informações ou acesso especial aos sistemas.
- Desenvolver planos de contingência e recuperação de desastres para interrupções como desastres naturais e / ou falhas de energia, priorizando a informação para a continuidade do negócio.
- Considerar factores de prevenção de custos na segurança da informação, calculando os custos de não proteger a informação e potenciais violações de segurança.
- Estabelecer políticas empresariais relacionadas com a segurança da informação para orientar os funcionários sobre a utilização e proteção adequadas da informação da empresa e dos clientes.
- Analisar cuidadosamente anexos de e-mail e links da Internet para evitar distribuir spyware ou código malicioso.
- Evitar janelas popup e outros truques de hacker, conduzir negócios e operações bancárias online de forma segura, e atualizar continuamente os sistemas operativos com patches e atualizações.
Ao implementar estes procedimentos essenciais, as Pequenas e Médias Empresas em Portugal podem melhorar significativamente a segurança e eficácia dos seus sistemas de informação, protegendo dados sensíveis, informações de clientes e operações empresariais contra ameaças cibernéticas.
Medidas recomendadas para as Pequenas e Médias Empresas em Portugal
Para as Pequenas e Médias Empresas em Portugal, as medidas recomendadas incluem examinar cuidadosamente os anexos de e-mail e ter cautela ao abrir mensagens que solicitem informações sensíveis. É crucial evitar conectar-se a links da Internet de mensagens maliciosas de e-mail, a menos que o remetente seja confiável e o link seja conhecido como legítimo. As empresas também devem evitar janelas popup que possam conter software malicioso e garantir que os funcionários não introduzam pen drives infetados nos dispositivos do escritório.
Realizar negócios e operações bancárias online de forma segura é essencial para proteger informações sensíveis. Procurar ajuda especializada em segurança de sistemas de informação quando necessário também é aconselhado, juntamente com a proteção de informações sensíveis durante a eliminação de computadores e meios antigos. Devem ser implementadas medidas para proteger informações e sistemas contra técnicas de engenharia social, como a formação de funcionários para autenticar ligações telefónicas que solicitem informações sensíveis.
Recomenda-se que as Pequenas e Médias Empresas em Portugal desenvolvam e divulguem políticas escritas que definem bem as práticas aceitáveis, expectativas e formas de agir nos processos da empresa, deve existir políticas relacionadas com os recursos humanos, práticas permitidas dos funcionários e regras de segurança para aceder à Internet,. É crucial uma comunicação clara das políticas a todos os funcionários, obter declarações assinadas a confirmar a compreensão e conformidade, bem como aplicar penalizações por violações das políticas para assegurar e garantir a responsabilização do uso seguro da Internet.
Um Bom Plano de Segurança Robusto de Cibersegurança
Um bom plano de segurança de cibersegurança para as Pequenas e Médias Empresas em Portugal incluem o desenvolvimento de planos de contingência e recuperação de desastres para potenciais interrupções, como desastres naturais e / ou falhas de energia. É crucial realizar negócios e operações bancárias online de forma segura, utilizando uma ligação Internet segura (https) e um browser (navegador web) e recomenda-se que apague o cache do navegador web após as sessões. O envolvimento em práticas de pessoal seguras, realizando verificações de antecedentes e contactando referências para novos funcionários, também é recomendado.
Adicionalmente, a adoção de práticas seguras para navegação na Internet, limitando as transferências de software de fontes desconhecidas e formando os funcionários para evitar técnicas de engenharia social, são considerações a ter e incluir no plano de segurança. O desenvolvimento e divulgação de políticas escritas relacionadas com segurança da informação, práticas aceitáveis e saber as expectativas dos funcionários é necessário para transmitir as expectativas da gestão e assim conseguir um concenso de uso em defesa da segurança e estabilidade da segurança da informação da PME.
O plano de segurança de cibersegurança para as Pequenas e Médias Empresas em Portugal também necessita de envolver a realização de backups regulares dos dados da empresa mais importantes, controlar o acesso físico a computadores e componentes de rede, e procurar ajuda especializada em segurança de sistemas de informação quando necessário.
É recomendado que as Pequenas e Médias Empresas em Portugal procurem seguir as melhores práticas de cibersegurança definidas pela Comissão Nacional de Proteção de Dados (CNPD) e pelo Centro Nacional de Cibersegurança (CNCS). Estas entidades fornecem orientações atualizadas e recursos para ajudar as PME’s a protegerem os seus sistemas e dados contra ameaças cibernéticas. Todos os dias existem novidades que é preciso ter em conta.
As Pequenas e Médias Empresas podem beneficiar de programas de formação e certificação em cibersegurança oferecidos por instituições como a Associação Portuguesa de Segurança (APSEI) e o Instituto Superior Técnico. Obter certificações reconhecidas pode ajudar a demonstrar um compromisso com a segurança da informação e a construir confiança junto dos clientes e parceiros de negócio.
É importante destacar que a cibersegurança é um processo contínuo e não um projeto único. As ameaças cibernéticas estão constantemente a evoluir, pelo que as PME’s devem rever e atualizar regularmente as suas políticas, procedimentos e tecnologias de segurança para manterem-se protegidas.
Ao implementar práticas e um plano de segurança robusto de cibersegurança, as PME’s em Portugal podem mitigar eficazmente os riscos cibernéticos, proteger dados valiosos, cumprir regulamentos e normas relevantes, e estabelecer uma vantagem competitiva através de uma maior confiança dos clientes e parceiros de negócio.