Mais um ano está quase a terminar e o nível e o volume da cibercriminalidade ainda não diminuíram. Para atenuar estes ataques cibernéticos contínuos, a MetaCompliance sugere cinco boas práticas de segurança cibernética em 2023.

Em 2021, os inquéritos e relatórios que exploram o panorama das ciberameaças lançaram alguns avisos severos: A IBM registou no “Cost of a Data Breach Report 2021” que os ataques cibernéticos deste ano resultaram nos custos mais elevados de sempre associados a violações de segurança nos 17 anos de história do relatório; um outro relatório concluiu que o ransomware quase duplicou no primeiro semestre de 2021; e o phishing continua a ser a variedade de ataque de “ação principal”, de acordo com a Verizon, ao ponto de a segurança do correio eletrónico ter sido considerada o principal projeto de TI do ano.

Toda esta atividade prepara o cenário para o que está para vir no próximo ano e para as vulnerabilidades que a tua organização terá de enfrentar. Aprendendo as lições dos últimos anos, podemos desenvolver algumas boas práticas para ajudar a nossa organização a resistir aos ciberataques em 2023 e nos anos seguintes.

Credenciais roubadas e phishing continuam a ser preferidos pelos cibercriminosos

Os relatórios dos analistas e os inquéritos realizados no último ano encontraram um ponto em comum nas credenciais roubadas que conduzem a violações de dados. As tácticas e as técnicas são encadeadas para formar o ataque cibernético:

O phishing dos empregados leva ao roubo de credenciais que conduzem a um acesso não autorizado que leva a violações de dados, malware e infeção por ransomware.

O relatório da IBM sobre o custo de uma violação de dados analisou as violações de dados de mais de 500 organizações. O relatório concluiu que as repercussões da pandemia de COVID-19, como o trabalho a partir de casa e o aumento da utilização de serviços baseados na nuvem, conduziram a um aumento dos ciberataques mais dispendiosos. Grande parte desta situação deveu-se ao facto de a segurança informática não ter conseguido acompanhar a mudança repentina para novos padrões de trabalho e tecnologias.

O estudo concluiu que as credenciais roubadas são a causa mais comum das violações da segurança da informação. O relatório também refere que 82% das pessoas reutilizam as palavras-passe em várias contas, o que leva a ataques de preenchimento de credenciais e à aquisição de contas.

Em novembro de 2021, a publicação do sector Dark Reading realizou um inquérito sobre os tipos de ciberameaças nos 12 meses anteriores. Os resultados mostram que o phishing continua a ser a causa número um de uma violação de dados, com mais de metade das empresas inquiridas a revelarem que foram vítimas de uma violação.

5 Melhores práticas de cibersegurança em 2023

As melhores práticas de segurança cibernética em 2023 abaixo oferecem maneiras de enfrentar o espetro dos ataques cibernéticos:

1. Faz de 2023 o ano em que as tuas políticas de segurança ganham vida

As políticas de segurança não devem ser um exercício de seleção. Ter uma política de segurança bem pensada e acionável é a base para uma abordagem sólida da segurança dos dados e para o desenvolvimento de uma postura de segurança positiva.

Em 2023, move o dial da política de segurança envolvendo os seus empregados na implementação e aplicação das necessidades da sua política. O software de gestão de políticas pode ajudar-te a atingir este objetivo, envolvendo os teus empregados nos aspectos importantes da política que os afectam. Uma política sólida e acionável também protegerá a reputação e a posição da sua empresa em termos de normas de segurança e regulamentos de proteção de dados.

2. Envolve o teu pessoal na luta contra as ciberameaças

O Centro Nacional de Cibersegurança do Reino Unido (NCSC) declarou:

“As pessoas devem estar no centro de qualquer estratégia de cibersegurança”

2023 tem de ser o ano em que as organizações criam força através da educação.

Os teus funcionários são fundamentais para a luta contra os ciberataques. Os piratas informáticos utilizam frequentemente esquemas de engenharia social para obter acesso a informações sensíveis e enganam com êxito os funcionários para que estes executem inadvertidamente tarefas em nome do fraudador.

Estes truques estão envolvidos em e-mails fraudulentos, palavras-passe roubadas, esquemas nas redes sociais, esquemas de Business Email Compromise (BEC), etc. As violações acidentais são também uma forma comum de exposição de dados. Quer sejam acidentais ou deliberadas, ambas causam embaraço a uma organização, custos de retificação e colocam-na em situação de não conformidade com os regulamentos.

A luta contra a pirataria informática deve ser levada a cabo em ambas as frentes para mitigar as ameaças internas e externas. Em 2023, certifica-te de que a tua organização constrói uma cultura em que os funcionários compreendem como os eventos de segurança acontecem e como evitar que prejudiquem a tua empresa. Constrói uma firewall humana baseada em funcionários bem formados e o teu pessoal terá menos probabilidades de puxar o gatilho da segurança e tornar-se-á a tua melhor defesa.

3. Automatiza a tua formação de sensibilização para a segurança

A automatização dos programas de sensibilização para a segurança permite que uma organização seja mais eficiente e eficaz no fornecimento de conteúdos educativos de segurança de qualidade aos funcionários. As plataformas de automatização são concebidas para criar programas de formação contínua que também fornecem análises das métricas do programa para otimizar continuamente a formação.

4. Sê inteligente em relação à segurança

A segurança inteligente consiste em enfrentar o cenário de ameaças em constante mudança utilizando soluções de segurança adaptáveis e versáteis.

Sê inteligente:

Ameaças em mudança: as ameaças à segurança são cada vez mais difíceis de detetar e prevenir. Uma resposta a isto são as soluções de segurança inteligentes que se mantêm automaticamente actualizadas com as mudanças nas tendências da cibersegurança. Estas ferramentas inteligentes utilizam a inteligência artificial para se adaptarem às ameaças actualizadas e podem ser implementadas como um serviço ou através de um MSP.

Início de sessão dos empregados: certifica-te de que, sempre que possível, implementas credenciais de início de sessão robustas, como a autenticação de dois factores e o início de sessão baseado no risco. Estas medidas não são infalíveis, mas ajudam a proteger o acesso a aplicações empresariais e outros recursos.

Manutenção da rede e dos terminais: mantém todas as suas aplicações, terminais e software de servidor corrigidos e actualizados. Configura a gestão automatizada de patches para executar esta tarefa, para que o erro humano seja eliminado da equação.

5. Aperfeiçoa os teus conhecimentos

Um estudo do (ISC)2 concluiu que mais de metade das organizações prevêem um aumento do risco cibernético devido a problemas de pessoal. Se não conseguires recrutar profissionais de segurança qualificados, existem duas opções:

1. Forma o teu pessoal: oferece a todos os empregados uma formação contínua de sensibilização para a segurança, para garantir que têm os conhecimentos necessários para ajudar a evitar um ataque informático. Além disso, oferece-se para enviar os funcionários interessados para cursos de certificação. Estes funcionários com formação podem ajudar a gerir e a implementar a formação de sensibilização para a segurança para o resto da força de trabalho.
2. Externaliza as tuas necessidades em matéria de cibersegurança: as empresas especializadas podem oferecer serviços geridos, como exercícios de simulação, consultores e/ou podem prestar apoio na formação do pessoal em matéria de sensibilização para a segurança.

Faz de 2023 o ano em que ganhaste contra as ciberameaças

Os cibercriminosos continuam a desafiar as organizações em todo o mundo, tirando partido dos funcionários e dos parceiros comerciais. Em 2023, concentra-te em alterar a dinâmica dos ciberataques, reduzindo as vulnerabilidades do pessoal e sendo inteligente em termos de cibersegurança.