Neste artigo serão abordadas as seguintes medidas para proteger os dados da startup:
- Criação de uma política de segurança de dados;
- Investimento em softwares originais;
- Realização de testes de vulnerabilidade;
- Adquirir uma VPN;
- Treinamento da equipe.
A preocupação com a proteção de dados deve ser algo permanente, que acompanha, não somente os avanços da tecnologia, como o crescimento da startup; quanto maior ela for, mais aprimorado deve ser o sistema que a protege e as medidas de prevenção. Atentos a isso, reunimos abaixo algumas ações primordiais:
Crie uma política de segurança de dados
Depois de identificar a necessidade de aprimorar a segurança da sua startup, a primeira medida a ser tomada é a construção de uma política de segurança de dados – se esse documento já existe, talvez seja o caso de aprimorá-lo. O formato ou como ele será construído pode variar, mas é imprescindível que existam normas em relação aos seguintes pontos:
1-) Minimização, compartilhamento e criptografia das informações
Considere estabelecer como norma o controle da quantidade de informações sensíveis armazenadas, principalmente em relação a clientes e funcionários. Isso significa angariar somente o necessário para a realização de operações e descartar o que já está em desuso. Afinal, ninguém é capaz de violar o que não existe, correto?
Já que estamos falando de dados sensíveis, não esqueça de criptografá-los e de fazer o mesmo com outras informações, como endereços de e-mail de clientes e documentos institucionais.
Além disso, inclua na políticas de segurança de dados diretrizes para o compartilhamento de arquivos. Portanto, considere criar níveis de acesso conforme a confiança e a responsabilidade dos funcionários.
2-) Navegação segura
A política de segurança de dados também deve abordar normas em relação à navegação na internet para prevenir possíveis malwares que chegam através de comportamentos imprudentes. Afinal de contas, crimes cibernéticos não são realizados somente por cibercriminosos que utilizam ferramentas sofisticadas para cometer invasões. Por vezes, colaboradores e terceirizados acabam provocando a vulnerabilidade. Por isso, esse é um passo importante para proteger os dados da sua startup.
“Colaboradores desatentos e terceirizados causam a maioria das violações de dados”, conta o fundador da Indusface, Venkatesh Sundar, com base em estudo focado na ameaça de segurança cibernética para pequenas e médias empresas (PMEs), assinado pelo Instituto Ponemon.
Uma das primeiras medidas para proteger os dados da empresa é aplicar uma política de filtro para acesso de websites ou conteúdos específicos – de acordo com a cultura da startup. É através desta ferramenta que será possível evitar que os colaboradores acessem sites e conteúdos maliciosos. Inclusive, o ideal é que, nessa construção, haja participação de representantes de várias áreas, para que todos estejam ciente das decisões e possam contribuir.
Uma vez estabelecidas, as normas podem ser inseridas em um filtro web (do inglês web filtering). Uma solução digital para restringir a navegação dos usuários no local de trabalho que possui inúmeras vantagens.
Vivo Filtro Web
O filtro web da Vivo Empresas se chama Vivo Filtro Web e é um serviço que realiza a análise e, se necessário, o bloqueio do tráfego, de dispositivos locais ou móveis, que não cumpre com a política de segurança da startup.
O produto não requer nenhum hardware ou software adicional na rede ou nas estações de trabalho do usuário final; a operação é realizada na nuvem. Ademais, o serviço está disponível na modalidade autogestão. Isso significa que quem o contrata torna-se responsável pelo controle e configuração das regras de acesso e interação. Confira outros diferenciais da ferramenta que ajuda a proteger os dados de uma empresa:
- Infraestrutura de qualidade: infraestrutura de alta disponibilidade e constantemente atualizada.
- Aplicação de políticas: por perfil de acesso, horário e localidade.
- Proteção contra malwares: por meio de dois motores de detecção.
- Inspeção de tráfego: com criptografia SSL (HTTPS).
- Fácil implementação: rápido e sem instalação de equipamentos.
- Controle anular de aplicações online: incluindo redes sociais e serviços de streaming.
Por fim, é importante reforçar que o conteúdo da política para proteger dados não é estática, ela varia com a natureza e o crescimento da startup. Os próximos tópicos, por exemplo, podem ser compreendidos como diretrizes. No entanto, para fins de destaque, vamos abordá-los separadamente.
Invista em softwares originais e atualize-os
A ideia de conseguir um sistema operacional, um editor de vídeos ou um antivírus de forma gratuita é boa somente na teoria. Uma empresa deve possuir softwares originais, não apenas pela garantia do fabricante, mas principalmente porque versões piratas costumam vir com malwares embutidos. Ademais, são vulneráveis à inúmeras falhas – justamente o que estamos tentando evitar. Portanto, vale a pena investir em um primeiro momento para evitar uma dor de cabeça depois.
Em relação às atualizações, elas são igualmente importantes e precisam ser constantes – principalmente tratando-se de antivírus, pois são capazes de corrigir uma das falhas preferida de cibercriminosos: de segurança.
Realize testes de vulnerabilidade
Engana-se quem pensa que testes de vulnerabilidade devem ser realizados apenas por grandes empresas; é uma solução eficaz e econômica para qualquer organização interessada em evitar uma violação de dados. E o único requisito para realizá-los é não ter medo de encarar os pontos fracos da sua startup para conseguir estar um passo à frente de cibercriminosos.
Isso porque esse tipo de teste vasculha procedimentos de segurança, design, implementações ou qualquer sistema interno à procura de falhas. O objetivo? Antever o problema e resolvê-lo de forma imediata. Ou seja, reduzir a probabilidade da startup ser vítima de um cibercrime.
Depois de todas essas informações você pode estar se perguntando: e como eu aplico testes de vulnerabilidade na minha startup? Bom, como esse processo deve ser feito constantemente, existem ferramentas que fazem isso para você. Dessa forma, não há necessidade de onerar a equipe de TI.
Vivo VAMPs Lite
O Vivo VAMPs Lite é uma dessas ferramentas. Ela reúne pessoas, tecnologia e processos para fazer análises constantes em ambientes de TI à procura de falhas e vulnerabilidades de segurança.
Isto é, através de ferramentas de varredura, testes de intrusão, como pentests remotos persistentes e pentests in loco, e alertas de segurança.
Adquira uma Rede Virtual Privada (VPN)
Em uma rede privada, também conhecida como rede VP, todas as atividades são conduzidas em um ambiente seguro. Isso porque o compartilhamento de dados é criptografado, o que, conforme vimos no primeiro tópico, é muito importante para evitar que pessoas mal-intencionadas acessem dados confidenciais.
Além disso, a rede VP possui a capacidade de anonimato durante uma sessão online. Isso significa que se um colaborador precisar acessar informações confidenciais armazenadas em um local online, poderá fazer isso sem que pessoas rastreiem suas atividades.
Como escolher um fornecedor
À vista dos benefícios mencionados acima, e da preocupação em proteger os dados da empresa, a demanda por VPNs aumentou. Por consequência, existem inúmeros provedores e fica quase impossível não escolher somente pelo preço. No entanto, tratando-se da segurança dos dados do seu negócio, a escolha deve ser feita a partir da notoriedade e confiabilidade do fornecedor.
“Seja você um microempreendedor ou um empresário que trabalha em um escritório, é importante escolher uma VPN que você conheça e confie”, aconselha o membro da Forbes, Chris Cunningham. A Vivo Empresas, por exemplo, possui o serviço de VPN.
Caso contrário, a empresa contratada pode estar coletando informações sobre os seus colaboradores, até mesmo sobre a sua startup e vendendo-as a terceiros. E nesse caso, a intenção de usufruir da segurança fornecida pela VPN cai por terra.
Para proteger os dados treine sua equipe
Por fim, lembre-se da citação de Venkatesh Sundar e treine a sua equipe. Afinal, informar os colaboradores sobre o que pode ou não ser feito, e de que forma eles(as) devem seguir a política de segurança de dados é um passo indispensável. Portanto, não pense duas vezes em gastar uma quantia significativa de tempo e dinheiro – se assim necessário – com cursos ou treinamentos sobre segurança da informação.
Assegure-se de que seus colaboradores sabem como criar senhas seguras e confiáveis e identificar links e anexos suspeitos, bem como conhecem o significado de phishing e conseguem compreender a importância de uma navegação segura na web. Além disso, deixe claro que a prevenção de perda de dados é responsabilidade de todos. Até a próxima!