O estudo conduzido pela Kaspersky, realizado no final de 2023, revelou que mais de 37% das PMEs na América Latina sofreram alguma violação de cibersegurança nos últimos dois anos. Dados do mesmo levantamento indicam também que 20% desses incidentes em pequenas empresas tiveram como causa senhas fracas.

É importante destacar que as consequências de ataques que utilizam credenciais corporativas comprometidas podem resultar em vazamentos de dados confidenciais, danos à reputação e prejuízos financeiros. Isso acontece porque uma senha simples (como 12345 ou asdfg) pode ser adivinhada em minutos por um hacker. Esse criminoso passará a ter acesso direto à rede corporativa e poderá realizar diferentes ações maliciosas, como o comprometimento de outro usuário que tenha privilégios de administração (um gestor) ou pode instalar um malware para roubar dinheiro e informações confidenciais.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga

Para evitar problemas desse tipo, a Kaspersky oferece algumas dicas para reforçar as políticas de senhas em PMEs:

• Eduque os funcionários a criar senhas fortes e únicas

Esta medida óbvia é frequentemente negligenciada pelas pessoas que precisam gerenciar inúmeras credenciais de acesso em diferentes serviços (pessoais e corporativos). Para simplificar essa gestão, recomenda-se o uso de um gerenciador de senha, que armazenam os códigos com segurança (usando criptografia). Além disso, as sequências precisam ser únicas, pois caso seja hackeada ou vazada, apenas um serviço é impactado.

Uma dica simples para criar senhas únicas e complexas é usar músicas ou frases que sejam relevantes para a pessoa. Por exemplo, uma frase como ‘batatinha quando nasce espalha a rama pelo chão’ pode ser a base para criar uma sequência única juntamente com um caractere especial, resultando na senha B#Q#N#3#A#R#P#C. A senha não tem sentido quando se olha apenas para ela, mas para quem criou a frase é algo simples de lembrar. ‍

• Implementar a autenticação de dois ou mais fatores

A autenticação multifator (MFA) acrescenta camadas adicionais de segurança ao exigir que os funcionários forneçam uma verificação adicional para além de uma simples senha. Isto pode incluir dados biométricos, códigos temporários enviados para um dispositivo ou perguntas de segurança. Embora as pequenas empresas possam considerar a MFA complexa ou desnecessária, ela pode ser uma medida simples e muito eficiente, como a adoção de um VPN com o uso de um token físico. Isso vai garantir que acessos não autorizados por criminosos não aconteçam e manterão a rede e dados confidenciais a salvos – pelo menos dessa ameaça.

• Tenha políticas para o uso de senhas

A atualização regular das senhas é uma prática frequente que visa reduzir o risco de uma violação por causa de credenciais comprometidas. Apesar de ser uma prática com certo valor, ela sozinha não tem muito efetividade: quando há um vazamento, a empresa estará vulnerável até o prazo estipulado para a troca (normalmente de 3 meses). Como toda estratégia de segurança, as senhas precisam de camadas de proteção, por isso é sempre recomendado a obrigatoriedade do uso de letras maiúsculas, minúsculas, números e caracteres especiais – pois assim o código torna-se uma sequência complexa.

Outra boa prática é evitar que o nome e aniversário do colaborador seja usado, pois são dados públicos em uma rápida busca nas redes sociais. Por fim, uma última dica é limitar as tentativas de inserir a senha (até 3) e forçar o colaborador a falar com a área de TI/segurança. Desta forma, evita-se os ataques de força-bruta, que basicamente são robôs programados para testar uma lista gigante de sequências até que consigam realizar o acesso.

• Ofereça treinamentos de conscientização para todos os colaboradores

Cerca de 4 em 10 colaboradores brasileiros não entendem como suas ações podem causar danos à empresa. Essa falta de conhecimento é uma barreira para reduzir o impacto do fator humano na segurança corporativa. A melhor forma de reduzir esse risco é oferecendo treinamentos de conscientização de cibersegurança para todos. Opte por cursos online que ofereçam maior flexibilidade para as pessoas fazê-lo nos horários livres, mas tenha o comprometimento dos principais gestores da empresa para tornar o curso algo obrigatório.

Proteção com eficiência operacional

Entre os principais erros das pequenas empresas é a negligência na sua proteção que, em geral, instalam uma solução barata, muitas vezes para uso doméstico, que não oferece as ferramentas necessárias para a correta operação da organização. O recomendado para negócios em desenvolvimento é verificar soluções que sejam desenhadas considerando suas necessidades, principalmente as opções de automatização de processos de segurança e um console de gestão na nuvem. Essas funções permitem manter a eficiência operacional ao mesmo tempo que oferece uma boa proteção para dispositivos e rede.
‍
“A segurança nas pequenas e médias empresas enfrenta diversos desafios e podemos dizer que praticamente todos eles são internos, pois as ameaças são as mesmas das grandes organizações (fraudes financeiras, phishing, ransomware). O que muda é a escala e a complexidade. E do lado da empresa, a pesquisa reforça esse ponto de vista, pois destaca a negligência com algo simples, crítico e de controle da organização: as senhas. Nesse contexto, destaco a necessidade de amadurecimento das PMEs para o assunto de cibersegurança e reforço as dicas acima para dizer que a solução é mais simples do que se imagina”, destaca Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.