O velho ditado é que nenhuma boa ação fica impune, e isso é mais verdadeiro quando se trata de organizações sem fins lucrativos e sua segurança. Os invasores aprenderam que empresas sem fins lucrativos geralmente são alvos mais fáceis por razão de seus orçamentos mais enxutos e equipe reduzida. Embora você e eu possamos não ter porquê mira uma organização sem fins lucrativos por razão de nossas inclinações morais, os invasores não compartilham dessa moralidade.

Trabalhei em algumas organizações sem fins lucrativos e tive várias delas porquê clientes e compus a seguinte lista de etapas que você pode seguir para ajudar a proteger sua postura de segurança cibernética. As dicas a seguir são boas para qualquer tipo de negócio, mas são principalmente verdadeiras para organizações sem fins lucrativos.

Você já teve que sentar ao lado do seu tio excêntrico em um enlace? Ele começa a recontar histórias sobre coisas que você nunca quis saber antes. Sejam as histórias sobre seus noivados românticos mais jovens, suas histórias de glória exageradas de salvar vidas e inventar produtos ou sua última preocupação médica em detalhes extremos, você simplesmente quer que ele pare.

Uma das maiores ferramentas que os invasores têm é a perceptibilidade de código ingénuo (OSINT), que é uma informação sobre seu mira que já está disponível no domínio público. OSINT pode ser qualquer coisa, desde senhas e nomes de usuários até datas importantes e detalhes da empresa. Oriente OSINT pode ser gerado a partir de vazamentos de banco de dados, funcionários e contatos anteriores ou até mesmo nossos próprios perfis de mídia social.

Embora na superfície esse tipo de informação pareça simples o suficiente, nas mãos certas, pode ser aproveitado para realizar ataques devastadores. Um dos meus clientes anteriores compartilhou nas redes sociais que seu CEO estava fora do país e promoveu o trabalho que estava fazendo. Um invasor pegou essas informações e elaborou e-mails e textos direcionados para certos funcionários fingindo ser o CEO. O CEO impostor alegou que seu laptop havia quebrado e seus cartões de crédito não estavam funcionando, pois estavam fora do país. Eles portanto instruíram vários funcionários a obter cartões-presente da BestBuy e enviar os códigos a eles. Felizmente, os funcionários que passaram pelo treinamento de conscientização sobre segurança não enviaram moeda, mas um parelha que não recebeu o treinamento infelizmente o fez.

Não estou dizendo que as mídias sociais são ruins, ou que não se deve usá-las. A prelecção cá é limitar quais informações estamos divulgando ao mundo. Isso é muito mais difícil para organizações sem fins lucrativos, pois você quer compartilhar as vitórias. Encontre uma maneira de compartilhar essas vitórias de uma forma segura, porquê esperar até que os viajantes voltem aos Estados Unidos, higienizar postagens e páginas da web para obter detalhes da empresa e, o mais importante, treinar funcionários.

Em uma situação hipotética em que uma empresa só pode escolher uma única estratégia de resguardo de segurança cibernética, minha recomendação, 100 entre 100 vezes, sempre será o treinamento de funcionários.

Nunca invadi um forte antes, mas acho que se tivesse que fazer isso, tentaria a abordagem do Cavalo de Troia. Na Guerra de Troia, a Odisseia conta uma história de Odisseu elaborando um projecto talentoso em que os gregos construiriam um enorme cavalo de madeira porquê tributo aos troianos por “vencerem” a guerra. Vários soldados gregos se esconderiam no cavalo e o resto fingiria velejar para longe. Os troianos abriram seus portões e empurraram o cavalo para o núcleo da cidade, onde começaram a comemorar. Enquanto dormiam depois a celebração, os gregos saíram do cavalo e abriram os portões para o resto do tropa.

No história, Odisseu reconhece que as muralhas da cidade são impenetráveis. Logo, em vez de desperdiçar inúmeros homens em ataques fracassados, ele decide usar a natureza humana de seu inimigo contra eles. Na mesma risco, poderíamos ter os firewalls de última geração mais avançados, EDRs, scanners de rede e uma equipe de hackers ofensivos procurando por vulnerabilidades, mas tudo estaria perdido se Suzy, da contabilidade, caísse em um e-mail de phishing.

O treinamento de conscientização sobre segurança tem consistentemente demonstrado reduzir incidentes de segurança cibernética quando implementado e mantido. Embora as organizações sem fins lucrativos tenham orçamentos limitados, o treinamento de conscientização sobre segurança normalmente é relativamente barato em confrontação a soluções técnicas abrangentes.

Há algumas coisas fáceis que toda empresa pode fazer para melhorar drasticamente sua postura de segurança.

Não reutilize senhas. Não unicamente para você, mas também dentro do escritório. Não sei expor quantas empresas consultei que têm uma “senha Adobe”, ou qualquer outro serviço.

Configure MFA em TUDO. MFA ou Multifactor Authentication é precípuo para logins seguros. Aplicativos MFA porquê o Google Authenticator são os melhores, mas mesmo ter unicamente códigos de e-mail ou texto é uma grande melhoria.

Troque as senhas regularmente e audite o aproximação. Se você tiver rotatividade de funcionários, você deve trocar todas as senhas às quais o funcionário teve aproximação. Em universal, você deve definir suas senhas para morrer a cada 90 dias ou menos.

Embora os backups em si geralmente não se enquadrem no escopo da segurança cibernética, é importante destinar um tempo para discuti-los por vários motivos.

Primeiro, não importa o quão robusta seja sua solução de segurança cibernética, sempre há uma chance de lapso. Isso é principalmente verdadeiro quando há pessoas envolvidas. Há um equívoco geral entre o público de que toda vez que um ataque cibernético bem-sucedido acontece, um hacker está gastando inúmeras horas escrevendo milhares de linhas de código para “assumir” o computador de alguém. Muitas vezes as pessoas comprometem acidentalmente seus próprios computadores. Coisas porquê clicar em um link malicioso em um e-mail, subtrair um software que parecia legítimo ou mesmo simplesmente não se manter atualizado sobre as atualizações levam ao comprometimento.

Segundo, mesmo incidentes não maliciosos por funcionários podem ter consequências devastadoras sem backups. Não consigo recontar o número de estações de trabalho de funcionários das quais limpei malware depois que o funcionário me jurou que não clicou, baixou ou fez zero para obter malware. Às vezes, no momento em que o funcionário alertava alguém sobre o malware em seu computador, ele já havia se enraizado na rede. Se esse malware for ransomware, porquê foi o caso algumas vezes, portanto você realmente fica com duas opções. Você pode remunerar o resgate a esses invasores ou pode restaurar a partir de bons backups. Não só restaurar a partir de backups geralmente é mais barato, porquê também é uma boa teoria caso o invasor tenha deixado um backdoor para trás.

Finalmente, os backups são um retorno relativamente barato sobre o investimento. À medida que os preços do armazenamento continuam a desabar, as soluções de backup estão caindo junto com eles. No entanto, independentemente do dispêndio, mesmo uma solução de backup complexa e face sempre será mais barata do que a escolha de não ter os dados da sua empresa.

Embora qualquer backup seja melhor do que nenhum, há algumas regras rápidas sobre backups que sua empresa deve tentar seguir.

1) Os backups devem ser executados com frequência, de preferência em uma programação – Não adianta zero se seu último backup sabido for de 6 meses detrás. Configurar uma tarefa de backup programada é uma ótima maneira de prometer que você tenha backups atualizados.

a. Dica profissional – Habilite o VSS (Volume Shadow Copy) em suas máquinas baseadas no Microsoft Windows. O VSS pode ser configurado para fazer cópias de sombra de arquivos em intervalos regulares. Isso torna incrivelmente fácil restaurar arquivos excluídos acidentalmente.

2) Os backups devem ser auditados regularmente para prometer que todos os dados necessários sejam cobertos – Independentemente de políticas, padrões e procedimentos, os funcionários tendem a armazenar informações críticas nos lugares mais estranhos. É uma boa teoria verificar continuamente para prometer que todos os dados necessários sejam copiados.

3) Os backups devem ser protegidos e criptografados – A última coisa que você quer é uma imitação não criptografada dos dados da sua empresa caindo nas mãos erradas. A maioria das soluções de backup modernas oferece qualquer nível de criptografia.

4) Uma imitação offsite do seu backup deve ser criptografada e enviada para um servidor ou sítio que não seja o campus principal da sua empresa – leste é autoexplicativo. Se o seu prédio queimar até o solo, seu NAS sítio, disco rígido ou solução de backup em fita serão queimados junto. Muitos provedores de TI oferecem uma solução de backup offsite, incluindo provedores de nuvem.

As organizações sem fins lucrativos desempenham um papel vital em nossas comunidades, muitas vezes operando com orçamentos apertados e recursos limitados. Infelizmente, isso as torna alvos atraentes para invasores cibernéticos. Ao implementar algumas práticas importantes, porquê limitar o compartilhamento excessivo, manter treinamento consistente de conscientização sobre segurança e prometer procedimentos de login seguros, as organizações sem fins lucrativos podem melhorar significativamente sua postura de segurança cibernética.

Lembre-se, o elemento humano é frequentemente o gavinha mais fraco na segurança cibernética. Investir na conscientização e treinamento da sua equipe pode ser uma das medidas mais econômicas para prevenir incidentes cibernéticos. Embora as defesas técnicas sejam essenciais, elas devem ser complementadas com uma equipe vigilante e muito informada.

Por término, independentemente de quanto nos preparamos, não podemos estar preparados para tudo, e é por isso que é vital prometer que sua solução de backup funcione. Você deve reservar um tempo para testar seus backups, verificar se pode restaurá-los e se todos os dados críticos estão sendo copiados. Verifique se seus planos de recuperação de desastres estão atualizados e se as pessoas sabem quais são suas funções em caso de sinistro.

Ao tomar essas medidas proativas, as organizações sem fins lucrativos podem proteger melhor seus dados sensíveis e continuar seu bom trabalho com maior tranquilidade. Nenhuma boa ação deve ser punida por um ataque cibernético.