A maioria das empresas que sofre um incidente cibernético grave não carecia de ferramentas sofisticadas de segurança. Faltavam-lhes o básico. Sistemas sem patches, credenciais fracas, backups inoperantes e acesso irrestrito são responsáveis pela maioria dos ataques bem-sucedidos. Acertar nos fundamentos não é um ponto de partida antes de o trabalho real de segurança começar. Para a maioria das organizações, este é o trabalho real de segurança.
Este guia cobre os controles que formam uma linha de base de cibersegurança credível para uma pequena ou média empresa. Nenhum deles exige hardware especializado ou grandes orçamentos. Todos eles reduzem materialmente a probabilidade e o impacto de um incidente de segurança.
Por que a segurança básica é onde a maioria dos incidentes começa
Os atacantes seguem o caminho de menor resistência. Para PMEs, esse caminho quase sempre passa por controles que nunca foram implementados, não por controles que foram superados. O phishing tem sucesso porque o MFA não estava em vigor. O ransomware se espalha porque os sistemas não tinham patches. Os dados são exfiltrados porque os controles de acesso eram muito amplos. A recuperação falha porque os backups nunca foram testados.
O Relatório de Investigações de Violação de Dados da Verizon constatou consistentemente que a grande maioria dos ataques bem-sucedidos explora vulnerabilidades conhecidas, credenciais roubadas ou phishing, em vez de técnicas avançadas. Isso significa que o investimento mais eficaz para a maioria das organizações não são ferramentas sofisticadas de detecção. É garantir que o básico esteja em vigor e seja mantido.
Os controles da linha de base
Autenticação multifator
O MFA é o controle de maior valor para a maioria das empresas. Significa que uma senha roubada isoladamente não é suficiente para acessar uma conta. Ative-o no e-mail, no acesso remoto, em serviços na nuvem e em qualquer sistema acessível fora da rede. Aplicativos de autenticação são significativamente mais seguros do que códigos por SMS. O MFA deve ser obrigatório, não opcional, para qualquer conta com acesso a dados sensíveis ou funções administrativas.
Gestão de patches
Sistemas operacionais, aplicativos e firmware devem receber patches em um ciclo definido. Patches de segurança críticos, especialmente para sistemas voltados para a internet, devem ser aplicados dentro de 72 horas após o lançamento. A maioria das campanhas de ransomware explora vulnerabilidades para as quais patches estão disponíveis há meses. Um processo documentado de gestão de patches, mesmo que simples, elimina a lacuna entre um patch disponível e um patch aplicado.
Proteção de endpoints
Todo dispositivo que acessa sistemas corporativos deve ter proteção moderna de endpoint instalada. Isso significa mais do que antivírus legado. As ferramentas atuais de detecção e resposta de endpoint identificam e contêm ameaças que as ferramentas baseadas em assinatura não detectam. Garanta que a cobertura se estenda a laptops usados remotamente, não apenas a dispositivos na rede do escritório. Dispositivos pessoais não gerenciados que acessam e-mail ou arquivos da empresa representam uma exposição significativa e frequentemente ignorada.
Controle de acesso e privilégio mínimo
Os usuários devem ter acesso apenas aos sistemas e dados que sua função exige. Contas de administrador não devem ser usadas para o trabalho diário. O acesso privilegiado deve ser auditado regularmente e revogado quando não for mais necessário. Contas inativas de ex-funcionários, prestadores de serviços ou contas de teste são um ponto de entrada comum. Uma revisão trimestral de quem tem acesso a quê leva menos tempo do que o incidente que ela previne.
Backup e recuperação testada
Os backups só são úteis se funcionarem e puderem ser restaurados com rapidez suficiente para fazer diferença. Siga a regra 3-2-1: três cópias dos dados, em dois tipos de mídia diferentes, com uma armazenada fora do local ou em uma conta de nuvem separada, não conectada ao ambiente principal. Teste as restaurações pelo menos trimestralmente. O ransomware frequentemente visa especificamente os sistemas de backup, portanto, backups com air-gap ou imutáveis devem fazer parte do design para qualquer organização que lida com dados sensíveis.
Segmentação de rede
Redes planas permitem que um atacante que obtém acesso a um sistema se mova livremente para outros. A segmentação básica, separando o Wi-Fi de visitantes da rede corporativa, isolando a tecnologia operacional dos sistemas de TI e restringindo a comunicação entre servidores, limita o raio de impacto de um comprometimento. Isso não requer infraestrutura complexa. A configuração de VLAN em um switch gerenciado é suficiente para a maioria dos ambientes de PME.
Segurança de e-mail
O e-mail é o principal mecanismo de entrega de phishing, malware e comprometimento de e-mail corporativo. No mínimo, configure registros SPF, DKIM e DMARC para evitar falsificação de domínio. Use um gateway de e-mail ou serviço de filtragem que inspecione anexos e links antes da entrega. Treine os funcionários para reconhecer phishing, mas não dependa apenas do treinamento. Os controles técnicos capturam o que a conscientização perde.
Plano de resposta a incidentes
Um plano de resposta a incidentes não precisa ser longo. Ele precisa responder a três perguntas: quem decide quando um incidente é sério o suficiente para ser escalado, quem é acionado quando isso acontece e o que fazemos nas primeiras quatro horas. Organizações sem um plano tomam decisões piores sob pressão, demoram mais para conter incidentes e frequentemente os agravam ao tomar a ação inicial errada. Escreva antes de precisar.
Frameworks que se alinham a esta linha de base
Se sua organização opera em um setor regulamentado ou está considerando um seguro cibernético, dois frameworks valem a pena ser entendidos em relação a esta linha de base.
Cyber Essentials (Reino Unido) cobre cinco controles técnicos: firewalls, configuração segura, controle de acesso, proteção contra malware e gestão de patches. A certificação é relativamente direta para organizações que têm o básico em vigor e fornece uma validação útil de terceiros de sua postura de segurança. Muitos contratos do setor público e alguns seguros a exigem.
ISO 27001 vai significativamente além, exigindo um sistema de gestão de segurança da informação completo. É adequado para organizações com obrigações regulatórias, grandes bases de clientes ou responsabilidades significativas de tratamento de dados. Os controles de linha de base descritos aqui formam um subconjunto do que a ISO 27001 exige. Consulte nosso guia de ISO 27001 para PMEs para um passo a passo mais detalhado.
NIS2 aplica-se a organizações em setores críticos em toda a UE e impõe requisitos obrigatórios de notificação de incidentes e medidas mínimas de segurança. Os controles de linha de base neste artigo estão estreitamente alinhados com o que o NIS2 exige no nível fundamental. Nosso guia NIS2 cobre o escopo completo das obrigações.
Por onde começar se você está partindo do zero
Tentar implementar tudo de uma vez raramente funciona. Priorize nesta ordem:
- MFA no e-mail e acesso remoto: esta semana
- Processo de gestão de patches: definir, documentar e executar dentro do mês
- Teste de backup: confirmar que os backups existem e podem ser restaurados
- Revisão de acesso: remover contas inativas e privilégios excessivos
- Proteção de endpoint: verificar a cobertura em todos os dispositivos
- Configuração de segurança de e-mail: SPF, DKIM, DMARC
- Plano de resposta a incidentes: uma página, por escrito
Uma avaliação de segurança fornece uma visão clara de onde você está em relação a essa linha de base, quais são as lacunas e qual deve ser a ordem de prioridade para o seu ambiente específico. É um ponto de partida mais rápido e confiável do que tentar fazer uma autoavaliação.
Não tem certeza de como está a linha de base de segurança da sua empresa?
Avaliamos a postura de cibersegurança de empresas nos setores de saúde, serviços financeiros e hospitalidade. Conte-nos com o que você trabalha e diremos o que precisa ser mudado primeiro.
Iniciar uma conversa →