Cibersegurança
Cibersegurança

Cibersegurança: 10 boas práticas a serem implementadas para startups

Enquanto as ameaças de computador estão aumentando, favorecidas pelo teletrabalho, desmaterialização e uso massivo de SaaS e Cloud, os riscos são particularmente altos para grandes empresas e start-ups. Estes últimos constituem alvos de escolha, pois são menos preparados, menos protegidos e possuem dados valiosos devido à sua hiperconexão.

Como os ataques estão aumentando constantemente e cada vez mais sofisticados, os riscos ligados à perda de receita, confiança, know-how à concorrência ou multas são realmente muito reais. “ É sua responsabilidade explicar que a segurança cibernética não pode ser relegada a segundo plano. É um trabalho por si só e um assunto que precisa ser cuidado  ”, disse Tobias Rohrle, engenheiro de soluções da Cloudflare, durante sua conferência intitulada “  Os 10 mandamentos da segurança cibernética para startups  ” durante o Tech .Rocks Summit 2021 .

Conheça abaixo suas 10 melhores práticas essenciais e fáceis de aplicar dentro dessas organizações, que não são poupadas por ataques informáticos.

1. Educar

Inculque uma cultura de cibersegurança em sua startup, conscientizando seus funcionários, organizando workshops, mostrando gentileza para incentivar relatos de anomalias e adotar as ações corretas. E configure uma carta de segurança e/ou uma carta de TI, a ser incluída no pacote de boas -vindas , para evitar cair nas armadilhas dos hackers. Dica de Tobias Rohrle: encontre vídeos de exemplo no YouTube sobre a consulta “  defcon de engenharia social  ” ou siga Rachel Tobac, CEO da SocialProof Security.

2. Acesso seguro

Nomes de usuário e senhas são gateways para hackers. Você deve implementar uma política de senha centralizada. “  Deve definir a duração da expiração da senha, sua complexidade, a proibição de reutilizar logins antigos e proibir o compartilhamento de identificadores. » Verifique se suas senhas não estão em bancos de dados que já foram hackeados, por exemplo, através do site Have I Been Pwned.

A utilização de um provedor de identidade (idP) é possível, assim como a autenticação multifator, evitando o SMS que não é criptografado, ou mesmo o uso de um gerenciador de senhas. Você também pode configurar o controle de acesso em sentido amplo (arquivos, aplicativos, redes, compartilhamento de documentos na nuvem, etc.). Outras práticas recomendadas: não permitir o acesso de administradores a estações de trabalho e proibir, ou mesmo limitar, o uso de terminais pessoais.

3. Mapeie e reaja

Você precisa conhecer suas vulnerabilidades e superfícies de ataque, como ângulos óbvios (endereços IP públicos) e áreas cinzentas, bem como novos vetores criados pelo trabalho remoto e serviços em nuvem. “  É preciso se colocar no lugar do atacante: o que ele vê? Ele usará verificações automatizadas. As ferramentas são legião no GitHub: Shodan, Security Trail…  » Use também uma ferramenta de gerenciamento de eventos (SIEM), que permitirá detectar alertas, enquanto mira em tempo real. “  Devemos agir assim que uma falha for detectada . »

4. Fique de olho

As ameaças mudam diariamente, portanto, você deve manter-se atualizado sobre os novos tipos de ataque, chamados de ”  dia 0, até o lançamento  “. Tobias Rohrle também aconselha convidar palestrantes para conhecer suas equipes, participar de encontros sobre o assunto ou até mesmo organizar eventos internos (Capture The Flag, etc.).

Recursos a seguir para o seu cyber watch:

  • o canal Slack #sobre segurança,
  • blogs e sites como Krebs on Security ou Security Affairs,
  • as contas de Nicolas Caproni (@ncaproni no Twitter) ou FireEye nas redes sociais,
  • CERT-FR, que é o centro do governo para monitorar, alertar e responder a ataques de computador.

5. Equipe-se

As boas intenções não são suficientes para garantir uma boa proteção e combater as ameaças. Entre as ferramentas recomendadas, encontramos: um antivírus /EDR (Endpoint detection and response), firewalls físicos e “next gen”, a arquitetura Zero Trust para substituir a VPN, chaves Yubikey/Thetis para autenticação multifator (MFA) e soluções de inteligência. “ Os atacantes têm. Se você não tiver um, você pode ficar sobrecarregado. » Cerque-se de especialistas e ferramentas especializadas (pagamento, mensagens, DNS, etc.). Outra boa prática: realizar auditorias externas, testes de penetração, de forma recorrente ou ad hoc. Você também pode considerar colocar um sistema de recompensas de bugs também.

6. Procedimentos e rigor

A abordagem Security by design  consiste em ”  incluir a segurança como elemento essencial no desenvolvimento do seu produto, compreender e identificar riscos, minimizar superfícies de ataque, distinguir e restringir privilégios, manter terceiros vigilantes e manter a confidencialidade dos códigos de erro”. Você também tem a opção de realizar revisões de código (PR), atualizar um cadastro de parceiros ou até mesmo manter seus logs e histórico de solicitações de acesso. “  Se não está escrito, não existe.  » Uma equipe de incidentes pode ser configurada para responder rapidamente ao menor alerta porque «  a velocidade é um fator chave aqui “. As atualizações de software também devem ser realizadas regularmente.

7. Priorize

Para Tobias Rohrle, a criticidade das falhas geralmente vem da duração da implementação da correção. “ Estamos falando de 80-20 aqui: 80% de esforço para 20% de resultados. » Conselho: quanto mais cedo você priorizar e implementar suas ações de segurança cibernética, mais você limitará o risco de ataques. O especialista também aconselha recorrer às chamadas  soluções “ embaladas ” adequadas para startups, como as suítes Google, Microsoft ou Amazon. Em particular, eles incluem ferramentas para fortalecer a segurança de TI.

8. Exigir Parceiros

Se o nível de segurança de uma empresa pode ser avaliado ao nível do seu elo mais fraco, é essencial impor aos seus parceiros, em particular àqueles que possam gerir os seus dados e a quem confia o seu acesso, o mesmo nível de requisitos de segurança cibernética do que aquele que você impõe a si mesmo internamente em sua startup.

9. Antecipar

Isso envolve estabelecer um plano de recuperação de desastres (PRA), ou mesmo um plano de continuidade de negócios (BCP), que também pode ser muito útil, mesmo para startups. ”  No mínimo, pense no que é crítico na sua estrutura, como você consegue restaurar os backups …” Diante do ransomware, a única forma de se recuperar de um ataque desses, para o especialista, é ”  ou pagar, ou para restaurar os backups  “. Estes não devem estar no mesmo sistema de informação que foi alvo.

10. Segurança Física

Existem muitas ameaças hoje: intrusão em suas instalações, roubo de estações de trabalho, aparelhos telefônicos em transporte, no local de start-up ou na casa de seus funcionários, mas também espionagem de sua tela por alguém de fora com binóculos, ou se alguém consegue obter as gravações de suas câmeras de vigilância. Eles nunca devem estar voltados para telas ou teclados, nem devem gravar som, para evitar comprometer a segurança física de sua organização.

en_USEnglish