nonprofits-approach-to-cybersecurity

6 Formas de Fortalecer a Abordagem

de Cibersegurança da sua Organização Sem Fins Lucrativos

6 Maneiras de Fortalecer a Abordagem de Cibersegurança da Sua Sociedade Sem Fins Lucrativos

Quando se pensa sobre a vítima média de uma violação de dados, a imagem de uma grande organização empresarial vem à tona. Afinal de contas, muitas manchetes se concentram nas enormes perdas monetárias que afligem as empresas que são nomes conhecidos. No entanto, os cibercriminosos não limitam seus ataques a essas entidades. O Relatório de Investigação de Violação de Dados de 2020 da Verizon, observou que 250 entrevistados com menos de 1.000 funcionários relataram 407 incidentes com 221 divulgações de dados confirmadas.

Os cibercriminosos não visam apenas nomes conhecidos - eles atacam qualquer organização que seja fácil de explorar. Por esse motivo, as organizações sem fins lucrativos (NPOs) que não seguem as modernas melhores práticas de cibersegurança estão se colocando em grande risco. E quando você é uma NPO em uma missão, você não tem tempo para ser prejudicado por grandes ameaças e violações dispendiosas.

Para proteger seus dados, sua organização sem fins lucrativos pode aumentar seus programas de cibersegurança, considerando algumas das melhores práticas. Vamos analisar mais de perto 6 maneiras de fortalecer a segurança da sua NPO.

6 Maneiras de Fortalecer a Abordagem de Cibersegurança da Sua Sociedade Sem Fins Lucrativos

A otimização contínua de uma estratégia de cibersegurança requer um planejamento dedicado e um investimento em expertise, o que faz com que colocar essa iniciativa em segundo plano pareça tentador. No entanto, uma abordagem madura para a segurança é absolutamente crítica para as missões sociais e financeiras das organizações sem fins lucrativos. Ao empregar algumas dessas melhores práticas, sua NPO será capaz de ficar fora de perigo e concentrar-se na verdadeira tarefa no momento: sua missão. Vamos mergulhar em algumas táticas:

1. Empenhe-se em uma Avaliação de Risco

Toda a cibersegurança é baseada no risco. A maioria dos profissionais de segurança reconhece que não importa o quão bem eles protejam seu ecossistema de TI, os agentes maliciosos estão esperando para encontrar uma fraqueza. Mesmo as organizações com maiores recursos estão constantemente concentradas em novos riscos potenciais e em formas de mitigá-los.

Ao considerar os riscos enfrentados por sua organização sem fins lucrativos, você deve considerar os tipos de dados que você armazena, coleta, transmite e processa, bem como os dispositivos, usuários e aplicativos que se conectam à sua rede. Todas essas áreas oferecem vetores de risco, mas ganhar visibilidade sobre todos os aspectos de sua rede é extremamente difícil.

A maioria das organizações menores tem uma compreensão básica de seus riscos de cibersegurança, mas pouca visibilidade sobre exatamente onde estão os riscos. No entanto, para evitar violações de dados, elas precisam conhecer todas as áreas potenciais onde um cibercriminoso pode encontrar uma vulnerabilidade. A criação de uma avaliação de risco focalizada ajuda a identificar informações sensíveis, usuários de alto risco e potenciais pontos fracos no ecossistema de TI da organização.

2. Estabelecer um Processo de Gerenciamento de Riscos de Terceiros

À medida que sua cadeia de suprimentos de TI continua a se tornar mais complexa, os agentes maliciosos encontrarão mais vulnerabilidades para explorar. De acordo com o Relatório de Custo de uma Violação de Dados de 2020 da IBM, as fraquezas de um software terceirizado foram os vetores iniciais de ataque para 16% das violações maliciosas em 2019, e um outro relatório da Verizon descobriu que os aplicativos da web estavam envolvidos em 43 por cento de todas as violações em 2019.

Quase todas as organizações utilizam fornecedores de serviços de tecnologia terceirizados. Alguns dos terceirizados mais onipresentes incluem:

  • Google Suite
  • Microsoft Office 365
  • GoToMeeting
  • Salesforce
  • Amazon Web Services (AWS)
  • Microsoft Azure
  • Google Cloud
  • Oracle Cloud

As organizações sem fins lucrativos devem se empenhar em avaliações de risco de terceiros para avaliar os pontos fracos potenciais neste aspecto cada vez maior de seu ecossistema de TI. Ao se empenhar nestas avaliações, algumas coisas a serem consideradas são:

  • Criticidade: Até que ponto o fornecedor é crítico para a capacidade da organização de conduzir suas operações diárias?
  • Dados: O fornecedor terceirizado acessa, transmite, armazena, processa ou coleta dados sensíveis como informações pessoalmente identificáveis (PII) ou informações financeiras?
  • Acesso: O fornecedor tem acesso a recursos sensíveis em nuvem ou a bancos de dados?

3. Fornecer ao Funcionário Treinamento de Conscientização de Usuário sobre Cibersegurança para Reduzir os Riscos Cibernéticos

Enquanto seus funcionários tentam fazer tudo o que podem para manter sua empresa segura, agentes maliciosos utilizam uma variedade de métodos para explorar suas falhas de conhecimento e boa vontade. Para reforçar a segurança, você precisa se certificar de que seus funcionários tenham o treinamento adequado de conscientização sobre cibersegurança. Eis aqui algumas áreas importantes para aumentar a conscientização sobre cibersegurança em sua organização:

Tenha Cuidado ao Fornecer Informações Pessoais ou Comerciais

As organizações tendem a compartilhar muitas informações sensíveis sem se darem conta, e as organizações sem fins lucrativos não são exceção. Na verdade, como as organizações, os funcionários e voluntários de uma NPO procuram fazer o bem no mundo, é natural que eles tenham mais probabilidade de compartilhar informações. Os agentes maliciosos geralmente passam um tempo fazendo o reconhecimento de uma organização antes de iniciar um ataque. E-mails ou telefonemas inesperados solicitando informações pessoais ou da empresa podem fazer parte de sua investigação de base.

Como parte do treinamento de conscientização sobre cibersegurança, você deve certificar-se de lembrar seus funcionários de:

  • Nunca compartilhar informações não públicas em um e-mail ou por telefone sem confirmar o remetente.
  • Sempre verificar as solicitações de transferência de dinheiro de forma independente.
  • Relatar imediatamente à equipe de TI quaisquer solicitações suspeitas.

Usar Senhas Fortes

Outra lição importante do treinamento sobre conscientização de cibersegurança é a força da senha. Muitas vezes, os agentes maliciosos utilizam software para crackear senhas potenciais utilizando senhas excessivamente usadas, palavras de dicionário e cadeias previsíveis de letras e números. Uma boa política de senhas protegerá você contra esses ataques de força bruta, e poderá até mesmo proteger sua organização se um funcionário estiver envolvido em uma violação de dados.

Ao estabelecer uma política de senhas para sua organização sem fins lucrativos, você deve ter em mente as seguintes melhores práticas sobre o uso de senha:

  • Use uma mistura de números, letras e caracteres especiais em todas as senhas.
  • Evite utilizar palavras de dicionário em sua senha - em vez disso, utilize abreviações, uma sequência de palavras, palavras sem sentido ou uma sequência aleatória de números, letras e caracteres especiais.
  • O comprimento é importante - utilize pelo menos oito caracteres em sua senha, mas, preferivelmente muitos mais.
  • Nunca reutilize uma senha em diferentes serviços.
  • Redefina sua senha regularmente.
  • Utilize autenticação de dois fatores sempre que possível.

Adicionalmente, você pode oferecer ferramentas de gerenciamento de senhas para que seus funcionários possam se lembrar mais facilmente dessas senhas complexas.

4. Monitorar os Recursos em Nuvem Mal Configurados

À medida que mais organizações sem fins lucrativos movem seu trabalho para a nuvem, elas precisam certificar-se de configurar apropriadamente todos os recursos em nuvem. O Relatório de Investigações de Violação de Dados da Verizon observou que o principal erro que levava à violação de dados era a "má configuração", na maioria das vezes decorrente de administradores de sistema que acidentalmente deixavam locais de armazenamento em nuvem abertos para a internet pública.

Com mais dados sendo transferidos para a nuvem, a segurança tradicional pode não proteger informações sensíveis. Em vez de armazenar dados em um disco rígido, sua organização agora depende de servidores distintos para criar locais de armazenamento. Quando o usuário que configura uma implantação de nuvem pública comete um erro, ele pode colocar os dados da sua organização em risco.

Alguns exemplos de más configurações são:

  • Acesso incorreto aos buckets de armazenamento
  • Políticas de segurança de grupo excessivamente permissivas
  • Caminhos de conectividade com a internet não detectados, não utilizados ou com vazamento

Muitas organizações sem fins lucrativos podem recorrer a um provedor de serviços de segurança gerenciados (MSSP) para ajudá-las a reduzir os riscos, implementando sistemas de gerenciamento de segurança que mitiguem os riscos de má configuração.

5. Realizar Negócios On-Line de uma Forma Mais Segura

Muitas organizações sem fins lucrativos agora realizam negócios na internet. Desde inscrições para eventos de arrecadação de fundos a aceitação de pagamentos de doações on-line, as organizações sem fins lucrativos coletam, transmitem, armazenam e processam uma ampla gama de informações sensíveis.

As organizações sem fins lucrativos devem garantir que utilizam conexões de navegador seguras quando se envolvem em atividades de negócios on-line. Algumas considerações para garantir uma conexão segura do navegador são:

  • Certificar-se de que o site utiliza uma Certificação Secure Sockets Layer (SSL)
  • Estabelecer políticas de firewall seguras
  • Utilizar criptografia

6. Manter-se atualizado

As organizações sem fins lucrativos devem se manter atualizadas tanto do ponto de vista técnico quanto regulatório. O gerenciamento de riscos de cibersegurança é um processo contínuo porque os agentes maliciosos estão constantemente evoluindo suas metodologias. Há três perspectivas essenciais a serem consideradas ao avaliar a segurança de sua organização sem fins lucrativos: conformidade, inteligência e tecnologia.

Do ponto de vista da conformidade, você precisa estar ciente das novas leis de privacidade, regulamentos de segurança específicos do setor e atualizações de padrões tecnológicos, como as Publicações Especiais do Instituto Nacional de Normas e Tecnologia (NIST). Isso o ajudará a permanecer nas boas graças dos reguladores, garantindo ao mesmo, tempo que sua organização atenda aos requisitos mínimos de segurança.

Do ponto de vista da inteligência das ameaças, você precisa se certificar de estar atualizado sobre as últimas violações de dados, especificamente quais vulnerabilidades foram exploradas no estado natural e quais os métodos de ataque que foram utilizados. Por exemplo, um agente malicioso utilizou algum tipo de malware, metodologia de engenharia social, ou explorou uma vulnerabilidade em um software de terceiros? Depois, certifique-se de que sua rede esteja protegida contra os métodos de ataque mais comuns.

De uma perspectiva tecnológica, você precisa certificar-se de instalar as atualizações de segurança. Pesquisas descobriram que aproximadamente um terço de todas as violações de software podem ser atribuídas a organizações que não corrigem seus sistemas operacionais, software ou hardware de forma oportuna. Certifique-se de que sua equipe de TI tenha processos dedicados em vigor para assegurar que seus funcionários não ignorem nenhuma atualização crucial.

Considerações Finais

As organizações sem fins lucrativos utilizam a tecnologia para simplificar as operações de negócios que as ajudam a atingir seus objetivos sociais e cívicos. Infelizmente, apesar de seu impacto positivo sobre a sociedade, elas não estão imunes aos ataques lançados contra elas pelos cibercriminosos.

Na SoftwareONE, acreditamos que as organizações sem fins lucrativos são importantes para tornar o mundo um lugar melhor. É por isso que estamos comprometidos em construir ferramentas acessíveis e de baixo custo que fortaleçam as organizações sem fins lucrativos em sua jornada de transformação digital. O serviço ONEImpact da SoftwareONE permite que as organizações sem fins lucrativos tenham acesso à tecnologia e serviços de nível empresarial a baixo ou a nenhum custo de entrada, fornecendo-lhes os recursos necessários para proteger sua organização e construir infraestruturas de TI mais resilientes.

Transforme sua Organização Sem Fins Lucrativos para Possibilitar uma Melhor Segurança

O ONEImpact foi projetado para ajudar as organizações sem fins lucrativos a se tornarem mais seguras, ajudando-as a se concentrar totalmente na realização de suas missões.

Saiba Mais

Comente esse artigo

Deixe seu comentário para sabermos o que você achou desse assunto.

Deixe um comentário

Autores

Joe Morley

Joe Morley

Technical Evangelist – ONEImpact

Nonprofit sector

Artigos relacionados

Por que usar software no fim da vida útil é uma má ideia

Por que usar software no fim da vida útil é uma má ideia

É imperativo que as organizações entendam como reduzir os riscos que o software EOL representa e se preparem para atualizar as soluções que estão se aproximando de sua data de EOL. Saber mais.

cyber-security-update-june-2021
  • 12 julho 2021
  • Bala Sethunathan
  • Segurança cibernética, Segurança Gerenciada, Cybersecurity User Awareness, Cyber Threat Bulletin
  • Segurança de Dados, Segurança da informação, Ataques cibernéticos, Conscientização Cibernética

Atualização de Cibersegurança Junho de 2021

Bilhões de registros são roubados em todo o mundo a cada ano. Mas você sabe quanto suas informações pessoais valem para os criminosos cibernéticos? Descubra!

Why Cybersecurity is Necessary for Nonprofits & How to Protect Your NPO

Por Que a Cibersegurança é Necessária para as Organizações Sem Fins Lucrativos e Como Proteger Sua NPO

As organizações sem fins lucrativos confiam na boa vontade e na confiança de seus benfeitores, tornando a cibersegurança uma prioridade absoluta. Saiba mais sobre as medidas que sua NPO deve tomar.