A segurança envolve muitos aspetos que não são necessariamente «cibernéticos». Não se trata apenas de hackers de ataques complexos às redes.
Para além dos ciberataques tradicionais que utilizam malware ou exploram vulnerabilidades conhecidas de software, existem também formas de roubo menos técnicas, mas igualmente devastadoras.
Isso não significa que as boas práticas de cibersegurança já conhecidas não se apliquem. Todos os proprietários de pequenas empresas devem continuar a utilizar palavras-passe únicas para cada conta, ativar a autenticação multifator, manter o software e os sistemas operativos atualizados e utilizar software de cibersegurança sempre ativo.
Mas para o proprietário de uma pequena empresa que, no dia a dia, tem de gerir dezenas de contas, redes, dispositivos e a enorme quantidade de dados que são criados, armazenados e partilhados através de mensagens de texto, e-mails e portais online, este conselho é para si.
Por ocasião da Semana Nacional das Pequenas Empresas nos EUA, eis três formas de proteger a sua empresa que não exigem grandes conhecimentos técnicos.
Não utilize o seu número de segurança social como número de identificação fiscal
Nos EUA, o Internal Revenue Service (IRS) permite que os proprietários de pequenas empresas utilizem o seu número de segurança social (SSN) pessoal como número de identificação fiscal federal. Trata-se de uma pequena facilidade destinada a simplificar a manutenção dos registos anuais para empresários em nome individual e proprietários-funcionários, mas, para os cibercriminosos, é um descuido básico que gostariam que todas as pequenas empresas cometessem.
Utilizar o seu número de segurança social como número de identificação fiscal federal significa que esse número vai acabar nas mãos de cada vez mais pessoas. Isto porque os impostos das pequenas empresas são diferentes dos impostos aplicáveis aos trabalhadores assalariados comuns.
Sempre que uma pequena empresa aceita um novo cliente ou um prestador de serviços que paga por serviços no valor mínimo de 600 dólares, essa pequena empresa tem de fornecer e receber o chamado formulário W-9. Este formulário não é apresentado ao IRS, mas é utilizado para registar os pagamentos para efeitos de declarações fiscais posteriores.
O mais importante, porém, é que este formulário solicita o nome, a morada e o número de identificação fiscal do proprietário.
Isto significa que, à medida que uma pequena empresa cresce, a sua vulnerabilidade ao roubo de identidade aumenta em paralelo. Cada formulário W-9 preenchido que utilize o número de segurança social (SSN) do proprietário como número de identificação fiscal representa mais uma oportunidade para que esse SSN seja roubado. Após apenas um ano de atividade, o SSN do proprietário de uma pequena empresa pode acabar nas caixas de entrada, nos arquivos e nas unidades de armazenamento na nuvem de uma dúzia de pessoas e empresas diferentes.
É exatamente isso que os cibercriminosos querem.
Com um formulário W-9 relativo à sua empresa, um cibercriminoso pode fazer-se passar por si ou pela sua empresa. Pode abrir uma linha de crédito empresarial, apresentar declarações fiscais fraudulentas que reivindiquem os rendimentos da sua pequena empresa ou enganar os seus clientes.
Como se manter em segurança:
Solicite um Número de Identificação do Empregador (EIN) gratuito em IRS.gov. É um processo rápido que permite separar a identidade fiscal da sua empresa da sua identidade fiscal pessoal. Depois disso, indique o EIN nos formulários W-9, 1099 e em toda a restante documentação empresarial, em vez do seu Número de Segurança Social (SSN).
Mantenha o seu armazenamento na nuvem pessoal em privado
O serviço de armazenamento na nuvem mais popular entre a maioria dos proprietários de pequenas empresas é aquele que já possuem: o seu Google Drive ou iCloud pessoal.
Concebidas para facilitar ao máximo o arquivo de memórias, estas ferramentas permitem fazer cópias de segurança e proteger automaticamente praticamente todos os momentos captados pelo seu dispositivo, desde as fotos das férias que tirou no verão passado, passando pelos primeiros passos do seu filho gravados em vídeo, até às mensagens que enviou, às notas que tomou e aos compromissos agendados no calendário.
Mas este tipo de arquivamento automático representa uma ameaça para qualquer informação não pessoal que visualize, envie, anote ou assine ao utilizar o seu smartphone pessoal. De repente, e muitas vezes sem se aperceber, o seu armazenamento na nuvem contém cópias de segurança de contratos assinados, declarações fiscais, formulários de registo de clientes, faturas, demonstrações financeiras da empresa e fotografias de documentos em papel.
Acima, alertámos para os riscos de utilizar o seu número de segurança social como identificação fiscal, uma vez que isso representa um risco caso alguém da sua rede profissional seja vítima de uma violação de segurança. No entanto, guardar informações de clientes no seu armazenamento pessoal na nuvem cria um problema diferente: transfere esse risco diretamente para si.
A agravar esta ameaça está o facto de muitas contas de armazenamento na nuvem pessoal serem partilhadas com familiares. Um maior número de pessoas a aceder à mesma conta significa maior exposição e mais possibilidades de erros, mesmo que todos tenham boas intenções.
Como se manter em segurança:
Verifique as definições de cópia de segurança na nuvem, tanto no telemóvel como no computador, e defina quais os dados que serão sincronizados. Transfira os ficheiros empresariais confidenciais para uma conta de armazenamento empresarial dedicada, dotada de controlos de acesso adequados, permissões de partilha e registos de auditoria — algo que lhe permita saber quem abriu um ficheiro e quando.
Se for necessário guardar qualquer informação profissional numa conta de nuvem pessoal, atribua a essa conta uma palavra-passe forte e única, ative a autenticação multifator e não partilhe o acesso com ninguém além de si.
Proteja o acesso aos dispositivos e às contas em casa
Os dispositivos têm uma maneira engraçada de se deslocarem. O seu smartphone acaba nas mãos do seu cônjuge, que decide o que ouvir no carro. O seu tablet passa a maior parte das noites no quarto dos seus filhos, enquanto eles vêem televisão. E o seu portátil é levado de um lado para o outro, do sofá para a bancada e para a mesa da cozinha — sempre totalmente aberto e com sessão iniciada, um portal para a Internet.
Confia que todos em sua casa agem com segurança na Internet, mas o caminho para a segurança online está repleto de erros.
Hoje em dia, basta um único clique inadvertido num anúncio falso, num resultado de pesquisa malicioso ou num ficheiro de download disfarçado para comprometer o seu dispositivo, bem como todos os registos da sua pequena empresa.
Além da ameaça de malware, alguém que utilize o seu dispositivo pode efetuar compras, apagar ficheiros acidentalmente e sobrescrever documentos importantes.
Lembre-se de que uma «ameaça interna» não precisa de ser maliciosa para causar danos — basta que esteja dentro da sua rede (que, neste caso, é a sua casa).
Como se manter em segurança:
Trate os dispositivos que utiliza para trabalhar como dispositivos de trabalho. Isso significa exigir um código de acesso ou uma palavra-passe para aceder ao dispositivo, bem como autenticação multifator para contas empresariais importantes.
Além disso, para garantir que nenhum clique acidental resulte no download de um PDF malicioso ou na instalação indesejada de malware, utilize um software de proteção antimalware sempre ativo, como Malwarebytes Teams.
Garanta o seu sucesso
É fácil sentir-se sobrecarregado com os conselhos atuais sobre cibersegurança. Todas as semanas surgem novas vulnerabilidades para corrigir, novos esquemas fraudulentos a evitar e novos vírus e programas maliciosos que parecem capazes de tomar o controlo do seu dispositivo, dos seus dados e do seu negócio.
Felizmente, existem medidas importantes que pode tomar hoje mesmo, sem precisar de mexer em configurações internas nem de frequentar um curso de engenharia de redes. Algumas das proteções mais eficazes são simples: limite a divulgação de informações confidenciais, mantenha os dados profissionais e pessoais separados e controle quem pode aceder aos seus dispositivos.
Para tudo o resto, experimente Malwarebytes Teams para obter proteção antimalware 24 horas por dia, 7 dias por semana, sempre ativa, para impedir a entrada de vírus, bloquear ataques de malware e manter hackers da sua empresa.
