Guia de segurança da informação para novos funcionários

Para minimizar os ciberincidentes, faça um guia básico de segurança da informação e torne-o leitura obrigatória para os funcionários recém contratados.

Um guia de segurança da informação pode ajudar a minimizar os erros com relação a esse assunto, mas escrever um do zero é bastante desafiador. Para isso, oferecemos um plano geral, ao qual você pode agregar pontos específicos da sua empresa, normas e regulamentos. Em nossa opinião, é um padrão; adicione as necessidades e personalização. Depois de ajustá-lo, não apenas arquive: apresente a todos os novos funcionários e leve-o à atenção da equipe estabelecida também.

Acesso a sistemas e serviços corporativos

1. Use senhas fortes para todas as contas – pelo menos 12 caracteres, sem palavras no dicionário e incluindo caracteres especiais e numerais. Os invasores podem usar força bruta para conseguir senhas simples facilmente.

2. Crie uma senha única para cada conta. Se você reutilizar senhas, um vazamento em um serviço pode comprometer os outros.

3. Mantenha as senhas em segredo, sem exceção. Não os anote, não os salve em um arquivo e não os compartilhe com os colegas. Um visitante aleatório do escritório ou um colega demitido poderia usar sua senha para prejudicar a empresa – é um perigo óbvio, mas as possibilidades de danos são praticamente ilimitadas.

4. Habilite a autenticação de dois fatores para cada serviço que tenha a funcionalidade. O uso de 2FA ajuda a evitar que um invasor obtenha acesso ao serviço, mesmo no caso de vazamento de senha.

Dados pessoais

1. Destrua documentos sem serventia em vez de simplesmente jogá-los fora. Informações pessoalmente identificáveis em uma lata de lixo garantem a atenção dos reguladores e multas pesadas.

2. Use canais seguros para trocar arquivos contendo dados pessoais (por exemplo, compartilhe documentos do Google Doc com colegas específicos, não por meio da opção “qualquer pessoa com o link”). O Google, por exemplo, indexa documentos que qualquer pessoa na internet pode visualizar, o que significa que podem aparecer nos resultados da pesquisa.

3. Compartilhe os dados pessoais dos clientes com colegas com base na estrita necessidade de saber. Além de causar problemas com os órgãos reguladores, o compartilhamento de dados aumenta o risco de vazamento deles.

Ciberameaças comuns

1. Verifique os links nos e-mails com cuidado antes de clicar e lembre-se de que um nome de remetente convincente não é garantia de autenticidade. Entre os muitos truques dos cibercriminosos para fazer as pessoas clicarem em links de phishing, eles podem personalizar mensagens especificamente para sua empresa ou até mesmo usar a conta sequestrada de um colega.

2. Para gerentes de orçamento: Nunca transfira dinheiro para contas desconhecidas apenas com base em um e-mail ou mensagem direta. Em vez disso, entre em contato diretamente com a pessoa que supostamente autorizou a transferência para confirmá-la.

3. Não mexa em dispositivos USBs desconhecidos; não conecte a mídia encontrada a um computador. Ataques por meio de unidades flash infectadas não são apenas material de ficção científica – os cibercriminosos podem e têm instalado dispositivos maliciosos em locais públicos e em escritórios.

4. Antes de abrir um arquivo, verifique se ele não é executável (os invasores geralmente disfarçam arquivos maliciosos como documentos de escritório). Não abra e execute arquivos deste tipo de fontes não confiáveis.

Contatos de Emergência

1. Quem entrar em contato – nome e número de telefone – em caso de e-mail suspeito, comportamento estranho do computador, nota de ransomware ou qualquer outro problema questionável. Pode ser uma empresa de segurança, um administrador de sistema, ou até mesmo o proprietário da empresa.

Esses são os princípios básicos – as coisas que todos em todas as empresas precisam saber. Para uma maior conscientização sobre as ciberameaças atuais, no entanto, recomendamos .

Dicas