Manual de boas práticas em cibersegurança: 9 passos para conscientizar colaboradores

Com o aumento dos ataques cibernéticos no Brasil e no mundo, as empresas têm investido cada vez mais em estratégias de cibersegurança que envolvem diretamente seus colaboradores. Segundo a 3ª Pesquisa Nacional BugHunt de Segurança da Informação, 60% das companhias brasileiras priorizam campanhas de conscientização como medida de segurança digital.

Comportamentos descuidados no ambiente digital podem abrir brechas para várias ameaças virtuais, como phishing, vazamento de informações, engenharia social, malware e ransomware, colocando em risco informações sensíveis da empresa. Segundo a Cybersecurity Outlook 2024, este ano, 95% dos ataques foram originados de falhas humanas.

Para Bruno Telles, COO e cofundador da BugHunt, empresa brasileira pioneira em Bug Bounty na América Latina, algumas medidas simples, mas efetivas, como o uso de senhas robustas e a verificação em duas etapas, são essenciais para contribuir com a segurança organizacional. “Além disso, políticas claras sobre o uso de dispositivos pessoais, o acesso a redes públicas e o controle da manipulação de dados sensíveis são fundamentais para prevenir vazamentos e ataques como ransomware”, orienta.

Pensando em contribuir com a aplicação da cibersegurança no dia a dia das organizações, o executivo elaborou um manual de boas práticas com recomendações simples de serem implementadas na rotina dos colaboradores.

• Uso de senhas fortes e únicas

Utilizar senhas complexas e evitar reutilizar combinações é uma recomendação unânime na cibersegurança. Atualmente, há no mercado gerenciadores de senhas criados especificamente para o armazenamento seguro de palavras-chaves. Segundo o especialista, essas ferramentas são úteis para guardar credenciais de forma segura e prática, eliminando a necessidade de memorização e evitando o hábito de criar combinações fáceis.

“O ideal é usar frases ou combinações que façam sentido apenas para o usuário, mas que sejam difíceis de adivinhar. Além disso, é recomendado que cada conta tenha uma senha única. Isso reduz o risco de invasões em caso de vazamento de dados”, complementa.

• Autenticação de dois fatores 

Ativar a autenticação em dois fatores em sistemas e contas é essencial para adicionar uma camada extra de proteção. Ao exigir uma confirmação adicional, como um código enviado por SMS ou um aplicativo autenticador, essa ferramenta dificulta o acesso não autorizado de agentes mal intencionados, mesmo que a senha seja comprometida.

“Essa ferramenta oferece proteção para contas e serviços importantes, como e-mail, redes sociais e aplicativos bancários. No entanto, é importante que, ao ativar a autenticação de dois fatores, seja utilizado um e-mail que não esteja instalado no celular”, orienta o especialista.

• Atualizações regulares

Manter sistemas operacionais, softwares, aplicativos e antivírus atualizados é uma prática fundamental para evitar vulnerabilidades conhecidas e minimizar os riscos de exploração. As atualizações frequentemente incluem patches de segurança que corrigem brechas críticas, além de melhorias no desempenho dos sistemas.

“Vale reforçar que o ideal é sempre fazer o download e a atualização dos apps e softwares diretamente dos canais oficiais de cada sistema. No caso dos celulares corporativos, é recomendável baixar do Google Play Store ou App Store”, sugere Telles.

• Cuidado com e-mails e links suspeitos

Evitar clicar em links ou abrir anexos de fontes desconhecidas e estar atento ao conteúdo de e-mails que gerem urgência ou peçam informações sensíveis são recomendações  unânimes na segurança da informação. Segundo o especialista, muitas fraudes começam com mensagens que simulam remetentes confiáveis, como bancos ou fornecedores conhecidos.

“A engenharia social é uma prática comum dos cibercriminosos, e clicar em arquivos ou hiperlinks pode levar o usuário para sites onde as informações de login, senha e outros dados sensíveis da organização são roubados“, alerta o executivo.

• Uso de redes seguras

Evitar redes Wi-Fi públicas desprotegidas, especialmente para acessar informações sensíveis da empresa, é crucial para assegurar a proteção de informações sigilosas.  Telles aconselha utilizar VPNs corporativas ao trabalhar remotamente, já que redes públicas frequentemente expõem dados a interceptações, facilitando ciberataques.

“Caso seja necessário se conectar remotamente, é aconselhável utilizar uma VPN para garantir que as informações trafeguem de forma criptografada. Também é recomendável instalar soluções de segurança confiáveis, como antivírus e firewalls, para impedir a entrada de malwares”, comenta o COO da BugHunt.

• Gestão de acessos

Para garantir a segurança organizacional, é importante estabelecer um controle de acessos que assegure que somente colaboradores autorizados possam acessar informações sensíveis da empresa.

“Revisar essas permissões regularmente também é parte fundamental da gestão de acessos, pois evita que contas desnecessárias ou inativas se tornem pontos de vulnerabilidade na rede”, recomenda o executivo.

• Conscientização contínua

Participar de treinamentos de segurança cibernética e manter-se atualizado sobre as melhores práticas de proteção é o que se espera de uma equipe responsável e proativa. Para Telles, a conscientização dos colaboradores é uma das principais barreiras contra ataques cibernéticos.

“A segurança da informação começa pelas pessoas. Criar uma cultura de cibersegurança é tão importante quanto investir em tecnologias de ponta”, analisa.

• Relatório de incidentes

Em caso de comportamentos suspeitos ou falhas em sistemas, é preciso comunicar imediatamente à equipe de segurança da informação da empresa. O especialista reforça que um ambiente de confiança e comunicação aberta é essencial para detectar problemas antes que se tornem grandes incidentes cibernéticos.

“A proteção das informações corporativas começa com a responsabilidade individual, e cada colaborador tem um papel fundamental na manutenção de um ambiente digital seguro”, pontua.

• Uso de dispositivos pessoais

Utilizar aparelhos pessoais no trabalho tem se tornado um hábito cada vez mais frequente, porém vai na contramão das práticas recomendadas na cibersegurança. O simples ato de enviar um e-mail pelo celular pode criar vulnerabilidades na rede de toda a empresa, além dos riscos do armazenamento de informações nos dispositivos pessoais.

“É importante evitar armazenar dados corporativos localmente no dispositivo. Sempre que possível, acessar os sistemas diretamente na nuvem ou na rede corporativa. Caso o colaborador precise salvar algo, deve se certificar de que o dispositivo esteja protegido e, se possível, criptografado”, conclui o COO da Bug Hunt.

 

Sobre a BugHunt

A BugHunt é uma empresa de cibersegurança referência em Bug Bounty, programa de recompensa por identificação de falhas. Pioneira na modalidade no Brasil, une uma comunidade de mais de 20 mil especialistas a marcas comprometidas com a segurança da informação e privacidade de dados.

Criada em 2020 pelos irmãos Caio e Bruno Telles, a BugHunt é responsável por democratizar o acesso à segurança digital e garantir proteção antecipada por meio da identificação de vulnerabilidades que colocam em risco a operação de organizações de diferentes setores de atuação, como OLX, WebMotors e Tim do Brasil.