É inegável que estamos vivendo na era digital. É raro encontrar quem não use aplicativos para acessar a conta no banco, pedir um táxi ou uma refeição. O SAC de lojas e prestadoras de serviços também mudou. Ao invés de ligações telefônicas, a ajuda vem por meio de chats, aplicativos de mensagens instantâneas ou redes sociais. Diante de toda essa mudança, a segurança dos dados se tornou uma grande preocupação para as empresas. Como garantir a seguridade de suas informações, de seus clientes e fornecedores no momento em que grande parte do mercado é digital? E como fazer isto quando o seu negócio é um e-commerce?
A falta dela coloca em risco dados confidenciais de pessoas físicas e jurídicas, imagem de empresas e gera grandes prejuízos financeiros, principalmente para as PMEs. Com orçamentos menores, o investimento em segurança nem sempre corresponde às reais necessidades das companhias, deixando-as mais vulneráveis aos ataques de criminosos.
Segurança como parte do negócio
O erro de muitas empresas em termos de segurança da informação é pensar nele apenas como um projeto de TI, em vez de considerá-lo uma parte fundamental dos negócios. Algumas organizações subestimam os riscos aos quais estão expostas, sem reconhecer que a perda de informações confidenciais pode significar o fim dos negócios. Portanto, a seguridade precisa estar entre as decisões estratégicas da empresa, levando em consideração todas as possibilidades de ataques e fornecendo blocos para minimizar a vulnerabilidade dos dados. É necessário deixar claro para toda a administração quais são os riscos e os impactos de um ataque ou roubo de informações.
Todas as organizações, independente do tamanho, devem saber claramente a quais riscos estão expostas e proteger os dados que possuem. Um dos erros mais comuns entre as PMEs é acreditar que, por serem pequenas, não são estão na mira de hackers. Isso, no entanto, não é verdade. Um estudo da FIESP (Federação das Indústrias do Estado de São Paulo) mostra que cerca de 65% dos crimes cibernéticos acontecem justamente nos negócios de menor porte. Isso porque normalmente possuem redes não seguras e dispositivos sem recursos básicos de proteção.
Para enfrentar esses riscos, separei quatro dicas para ajudar a evitar ataques cibernéticos, proteger seu comércio eletrônico e, consequentemente, sua reputação.
1 – Atualize seu registro de CAA (Certificate Authority Authorization)
Um dos primeiros pilares de segurança digital é a adoção do certificado SSL / TLS. Trata-se de uma tecnologia padrão para manter segura uma conexão à internet e proteger todos os dados confidenciais enviados entre dois sistemas — impedem que criminosos leiam e modifiquem qualquer informação. Estas certidões são fornecidas por empresas de Autoridades Certificadoras (CA) e é neste momento que pode acontecer uma fraude.
É comum que pessoas mal-intencionadas, sejam elas de dentro ou de fora da companhia, tentem obter um certificado confiável de uma autoridade de certificação externa em nome de um domínio legítimo, no caso em nome da sua empresa.
Como esse “certificado fraudulento” é emitido por uma autoridade conhecida pelo nome verdadeiro da sua empresa, os consumidores não têm motivos para questionar sua legitimidade, e os invasores podem ocultar conteúdo malicioso livremente. Ou seja, os criminosos emitem um certificado para o seu negócio e o colocam em um domínio falso, roubando assim seus dados e de seus clientes. Para proteger os proprietários de domínio de tais ataques, em 2017, foi estabelecido que todas as autoridades competentes devem obrigatoriamente verificar o registro da CAA de um domínio antes de emitir um certificado.
Os registros CA são uma “lista branca” de autoridades de certificação confiáveis, definidas pelo proprietário de um domínio. Ao manter este controle rigoroso e permitir que apenas as CAs com padrões rigorosos de autenticação emitam certificados, sua empresa pode impedir que os invasores usem certificados falsos que comprometam sua identidade.
2 – Não se esqueça do Certificado de Transparência (CT)
Um registro CT é uma lista completa de certificados com os quais as empresas podem identificar rapidamente aqueles emitidos com erro ou falsificados. Juntamente com os recursos de monitoramento, ele permite que o proprietário do domínio assuma o controle de todos os certificados emitidos para esse do mesmo. Ao monitorar pro-ativamente os registros de CT, você pode detectar os certificados que foram emitidos sem a aprovação expressa do proprietário ou que não respeitam a política de domínio da empresa. E tudo isso em questão de minutos, em vez de dias, semanas ou meses.
Se você não usar o monitoramento de log de CT, pode haver certificados emitidos por autoridades de certificação fraudulentas, não aprovadas ou instalados incorretamente que podem criar vulnerabilidades nos domínios mais importantes da empresa, afetando inclusive seu cliente e reputação do seu negócio.
3 – Cheque sempre suas listas negras
Se você tiver um problema de segurança em um de seus domínios, corre o risco de perder a confiança de seus clientes e também de seu domínio ser incluído na lista negra. Ter uma solução de gerenciamento de certificados que inclui um verificador de lista negra não apenas simplifica sua administração de certificados, mas também garante que seu domínio não seja visto com desconfiança pelos navegadores sem o seu conhecimento.
4 – Tenha cuidado com equipamentos IoT
Em uma organização, funcionários, contratados e parceiros usam todos os tipos de dispositivos para acessar informações confidenciais por meio de redes e aplicativos corporativos. A falha na autenticação correta de usuários e dispositivos pode levar a um incidente de segurança e, como consequência, à perda de dados e reputação. Ao implementar a infraestrutura de chave pública (PKI) para dispositivos móveis, o acesso via VPN e o login com cartão inteligente, você garantirá que apenas usuários e dispositivos confiáveis tenham acesso às informações autorizadas pela empresa.