Por Que a Cibersegurança é Necessária para as Organizações Sem Fins Lucrativos e Como Proteger Sua NPO

Embora existam organizações sem fins lucrativos para fazer o bem em suas comunidades e em todo o mundo, muitas de suas operações diárias são paralelas às do espaço comercial. Por exemplo, elas coletam informações sensíveis, seja de voluntários ou como parte de campanhas de doação. Entretanto, ao contrário das empresas comerciais, as organizações sem fins lucrativos muitas vezes têm menos recursos financeiros e de pessoal, o que pode fazer com que elas lutem para garantir a segurança dos dados, mantendo-os acessíveis.

Como as organizações sem fins lucrativos dependem da boa vontade e da confiança de seus benfeitores, proteger seus dados deve ser uma prioridade de missão crítica. Continue lendo para saber porque a cibersegurança é necessária para as organizações sem fins lucrativos que querem proteger seus dados - e, portanto, sua missão.

 

As organizações sem fins lucrativos coletam, processam, transmitem e armazenam informações mais sensíveis do que podem imaginar. Apesar de seu foco em sua missão e objetivos, elas também se envolvem em muitas operações comerciais similares a organizações com fins lucrativos que incorporam informações pessoalmente identificáveis, incluindo:

• Ecommerce: processamento de doações, registro de pessoas para eventos, venda de itens com a marca da organização
• Recursos humanos: processamento de folha de pagamento, registros de seguro saúde
• Marketing: e-mail marketing, mala direta

As organizações sem fins lucrativos gerenciam uma grande quantidade de dados e aplicações, mas frequentemente não têm a flexibilidade financeira para investir na tecnologia e na experiência necessárias para proteger sua paisagem. Isto deixa as organizações sem fins lucrativos de todos os tamanhos vulneráveis a agentes maliciosos. Por exemplo, o Utah Food Bank foi recentemente vítima de hackers que usaram o website da organização sem fins lucrativos para acessar os dados sensíveis de mais de 10.000 doadores. Esta é uma grande prova de que as organizações sem fins lucrativos devem proteger cuidadosamente cada solução e serviço que elas empregam.

 

Em muitos aspectos, as organizações sem fins lucrativos enfrentam os mesmos riscos que as organizações de outros setores. Para se protegerem, elas precisam ser capazes de identificar o risco e entender a melhor forma de mitigá-los.

 

Doações On-Line

Um número cada vez maior de doadores optou em fazer doações on-line, um relatório de 2020 do Blackbaud constatou-se que a doação on-line cresceu 20,7% em relação ao ano anterior. Com isto em mente, muitas organizações sem fins lucrativos descobriram que seus canais de doação on-line são um recurso indispensável.

Entretanto, como demonstrado em incidentes como a violação da SolarWinds, os terceiros podem tornar organizações sem fins lucrativos abertas ao risco. As organizações sem fins lucrativos devem avaliar cuidadosamente os serviços que utilizam para coletar e processar esses pagamentos, e assegurar que sua organização esteja preparada para o pior, realizando uma avaliação de risco e vulnerabilidade – caso contrário, elas podem colocar em risco as informações mais sensíveis de seus doadores.

 

Voluntários

As organizações sem fins lucrativos frequentemente empregam voluntários ou funcionários de curto prazo para esforços no local. Entretanto, os voluntários frequentemente não passam pelo mesmo treinamento de segurança rigoroso ou processo de verificação de antecedentes como os funcionários em tempo integral.

Isto pode tornar os voluntários menos ciberconscientes, colocando a organização em risco.. Por exemplo, eles podem não entender como criar uma senha segura, ou podem usar o acesso, acidentalmente ou propositalmente de forma indevida. De qualquer forma, isto coloca as informações sem fins lucrativos em risco.

 

Golpes de Phishing e Ransomware

Para se comunicar com organizações parceiras e voluntários, as organizações sem fins lucrativos utilizam e-mail, SMS, mensagens instantâneas e muito mais. Cada um desses canais de comunicação deixa os funcionários vulneráveis a ataques de engenharia social – e para os agentes maliciosos, as organizações sem fins lucrativos oferecem uma oportunidade privilegiada.

Ataques de engenharia social geralmente começam com golpes de phishing como forma de passar o malware, como o ransomware.

 

Estes ataques são bem sucedidos porque utilizam a emoção das vítimas para levá-las a tomar medidas contra seus melhores interesses. Como os funcionários de organizações sem fins lucrativos também se comunicam com outras organizações sem fins lucrativos e, provavelmente são pessoas empáticas, é menos provável que desconfiem de um e-mail vindo do que parece ser uma organização doadora ou parceira.

 

Ataques de Malware

Geralmente, os ataques de malware começam com golpes de phishing. No entanto, os sites maliciosos são outro vetor de ameaça de malware. Voluntários e funcionários que procuram informações na Internet podem acidentalmente clicar em um site malicioso e baixar o malware para seu dispositivo.

 

Ataque de Injeção de SQL

Mesmo que os ataques de injeção de SQL pareçam extremamente técnicos, eles são uma metodologia de ataque comum e fácil de usar para agentes maliciosos. Os hackers podem ter como alvo portais de login de websites que coletam um nome de usuário e uma senha. Eles procuram aqueles que são menos seguros e inserem um código malicioso. A aplicação web aceita este novo código como válido, dando-lhes acesso ao banco de dados onde podem visualizar, alterar ou baixar informações sensíveis.

 

Como as organizações sem fins lucrativos digitalizam suas operações, elas precisam se concentrar na proteção de seus dados e de sua reputação. O primeiro passo para colocar em prática um plano de cibersegurança é identificar, analisar e compreender as fontes de risco.

 

Entender as fontes de dados e os riscos

Antes de fazer qualquer outra coisa, toda organização precisa identificar e classificar os dados que ela coleta, transmite, processa e armazena.

 

Ao iniciar o processo de identificação, as organizações sem fins lucrativos devem procurar para ver se coletam:

• Nomes
• Datas de nascimento
• Endereços residenciais
• Endereços de e-mail
• Números de seguridade social
• Informações de conta financeira
• Informações de cartão de crédito
• Endereços de IP
• Informações de saúde
•  

Depois, elas devem saber onde armazenar essas informações, incluindo os seguintes locais:

• Laptops/desktops
• Dispositivos móveis, como smartphones e tablets
• Provedores de serviços de nuvem, como M365, Google Suite, ou Box.
• Servidores, tanto no local como em nuvem
• Hardware removível, como unidades USB

Finalmente, eles devem entender quem tem acesso aos dados, incluindo:

• Colaboradores
• Voluntários
• Empresas terceirizadas
• Fornecedores de serviços de tecnologia terceirizados

 

Realizar uma Avaliação de Risco

Após de coletar essas listas de dados, lugares e pessoas, as organizações sem fins lucrativos devem avaliar seus riscos. Por exemplo, alguns usuários podem estar correndo um risco maior do que outros. Um administrador de TI que pode criar contas ou alterar qualquer informação é um risco maior do que um voluntário que só pode ter acesso a um único computador com conectividade limitada à Internet.

Após determinar o risco que cada tipo de dado, usuário e dispositivo representa, a organização deve analisar o impacto que uma violação de dados poderia causar. Isto significa analisar a probabilidade de uma violação de dados ocorrer em combinação com o impacto financeiro e reputacional que a violação teria sobre a organização. Isto ajudará as organizações sem fins lucrativos a criar uma estratégia de cibersegurança que proteja contra uma grande variedade de vulnerabilidades.

 

Detalhar os Riscos Reais

Nem todos os riscos são iguais. Alguns ativos são de baixo risco. Por exemplo, um único computador localizado no local que não tenha conexão com a Internet é um ativo de baixo risco. Enquanto isso, um banco de dados em nuvem que armazena informações sensíveis e está equipado com muitos aplicativos de terceiros é um ativo de alto risco.

Ao aprofundar os riscos reais, a organização sem fins lucrativos pode decidir como priorizar suas estratégias de mitigação de riscos de cibersegurança.  Em alguns casos, um risco pode ser muito alto, então a organização encontra outra tática para evitar o risco por completo. Por exemplo, um determinado fornecedor pode não ter uma grande reputação de segurança, por isso, ele muda para um fornecedor diferente com segurança de ponta. Em outros casos, a organização pode decidir mitigar o risco colocando em prática controles de segurança ou transferir o risco comprando um seguro de risco cibernético.

 

As organizações sem fins lucrativos precisam transformar digitalmente suas operações para que possam continuar a ter um impacto sobre as questões sociais mais críticas do mundo. A SoftwareOne reconhece esta necessidade e está comprometida em trabalhar com as organizações sem fins lucrativos para que elas possam implantar tecnologia de ponta, segura e inovadora para fazer avançar sua missão.

A SoftwareOne está comprometida em trabalhar com a Microsoft Tech para  Impacto Social, construindo ferramentas baratas e acessíveis para proteger as organizações sem fins lucrativos e seus dados, ao mesmo tempo em que as ajuda a transformar. Através de nossos serviços OneImpact nos esforçamos para capacitar as organizações sem fins lucrativos a atualizar sua infraestrutura tecnológica de forma a garantir que essas equipes de TI, tipicamente com falta de pessoal e sobrecarregadas, tenham as ferramentas necessárias para proteger os dados.