* Por Dean Coclin
Em um mundo interconectado, a segurança cibernética se torna cada vez mais importante para os negócios. A falta dela coloca em risco dados confidenciais de pessoas físicas e jurídicas, imagem de empresas e gera grandes prejuízos financeiros, principalmente para as PMEs. Com orçamentos menores, o investimento em seguridade nem sempre corresponde às reais necessidades das companhias, deixando-as mais vulneráveis aos ataques de criminosos.
Acontece que todas as organizações, independente do tamanho, devem saber claramente a quais ricos estão expostas e proteger os dados que possuem, sejam dela própria, de clientes ou de fornecedores. Um dos erros mais comuns entre as PMEs é acreditar que, por serem pequenas, não são estão na mira de hackers. Isso, no entanto, não é verdade. Um estudo da FIESP (Federação das Indústrias do Estado de São Paulo) mostra que cerca de 65% dos crimes cibernéticos acontecem justamente nos negócios de menor porte, pois normalmente possuem redes não seguras e dispositivos sem recursos básicos de proteção.
Pensando nisto, separei quatro passos essenciais para que você proteja seus negócios online de ataques virtuais e consiga manter sua reputação no mercado:
Crie uma lista de autorizações da Autoridade de Certificação (CA)
Um dos primeiros pilares de segurança digital é a adoção do certificado SSL / TLS, tecnologia padrão para manter segura uma conexão à internet e proteger todos os dados confidenciais enviados entre dois sistemas, impedindo que criminosos leiam e modifiquem qualquer informação. Estas certidões são fornecidas por empresas de Autoridades Certificadoras (CA) e é neste momento que pode acontecer uma fraude.
É comum que pessoas mal-intencionadas, sejam elas de dentro ou de fora da companhia, tentem obter um certificado confiável de uma autoridade de certificação externa em nome de um domínio legítimo, no caso em nome da sua empresa.
Como esse “certificado fraudulento” é emitido por uma autoridade conhecida pelo nome verdadeiro da sua empresa, os consumidores não têm motivos para questionar sua legitimidade, e os invasores podem ocultar conteúdo malicioso livremente. Ou seja, os criminosos emitem um certificado para o seu negócio e o colocam em um domínio falso, roubando assim seus dados e de seus clientes. Para proteger os proprietários de domínio de tais ataques, em 2017, foi estabelecido que todas as autoridades competentes devem obrigatoriamente verificar o registro da CAA de um domínio antes de emitir um certificado.
Os registros CA são uma “lista branca” de autoridades de certificação confiáveis, definidas pelo proprietário de um domínio. Ao manter este controle rigoroso e permitir que apenas as CAs com padrões rigorosos de autenticação emitam certificados, sua empresa pode impedir que os invasores usem certificados falsos que comprometam sua identidade.
Supervisione os registros do Certificado de Transparência (CT)
Um registro CT é uma lista completa de certificados com os quais as empresas podem identificar rapidamente aqueles emitidos com erro ou falsificados. Juntamente com os recursos de monitoramento, ele permite que o proprietário do domínio assuma o controle de todos os certificados emitidos para esse do mesmo. Ao monitorar proativamente os registros de CT, você pode detectar os certificados que foram emitidos sem a aprovação expressa do proprietário ou que não respeitam a política de domínio da empresa. E tudo isso em questão de minutos, em vez de dias, semanas ou meses.
Se você não usar o monitoramento de log de CT, pode haver certificados emitidos por autoridades de certificação fraudulentas, não aprovadas ou instalados incorretamente que podem criar vulnerabilidades nos domínios mais importantes da empresa, afetando inclusive seu cliente e reputação do seu negócio.
Verifique as listas negras
Se você tiver um problema de segurança em um de seus domínios, corre o risco de perder a confiança de seus clientes e também de seu domínio ser incluído na lista negra. Ter uma solução de gerenciamento de certificados que inclua um verificador de lista negra não apenas simplifica sua administração de certificados, mas também garante que seu domínio não seja visto com desconfiança pelos navegadores sem o seu conhecimento.
Verifique a identidade de usuários e dispositivos
Em uma organização, funcionários, contratados e parceiros usam todos os tipos de dispositivos para acessar informações confidenciais por meio de redes e aplicativos corporativos. A falha na autenticação correta de usuários e dispositivos pode levar a um incidente de segurança e, como consequência, à perda de dados e reputação. Ao implementar a infraestrutura de chave pública (PKI) para dispositivos móveis, o acesso via VPN e o login com cartão inteligente, você garantirá que apenas usuários e dispositivos confiáveis tenham acesso às informações autorizadas pela empresa.
* Dean Coclin é diretor sênior de Desenvolvimento de Negócios da Digicert.