O ícone de cadeado passa sobre um fundo azul gradiente indicando uma postagem no blog sobre mitos de segurança para 2022.
Learn Why Organizations are Switching to NetDocuments.

O mito anual da auditoria de segurança

2/11/2022

A natureza da segurança cibernética e de rede é que você nunca pode relaxar. No momento em que você acha que cobriu todas as vulnerabilidades em potencial, uma infinidade de novas ameaças surgem.

Cybersecurity is broad, fast-moving and always growing. Because it’s so vast and the stakes so high, those concerned with maintaining security have a tendency to fall into a key myth of cybersecurity: “We are doing fine as long as we pass our annual security audit.”

Essa forma de pensar ocorre quando a segurança cibernética é abordada com uma mentalidade de checkbox. Se você abordar a segurança cibernética como uma lista de itens que pode marcar e depois relaxar, você definitivamente não está seguro.

Empresas como Equifax, Target e Home Depot realizaram as auditorias necessárias relacionadas ao seu setor antes de suas violações de dados de alto perfil. As auditorias de segurança são necessárias para manter a responsabilidade, mas fazem parte de um sistema maior. É melhor abordar a segurança cibernética como um processo constante, em vez de um destino que você pode alcançar.

Com que frequência uma auditoria de segurança deve ser realizada?

É recomendável fazê-lo pelo menos 2 vezes por ano, mas também dependerá do tamanho da organization e do tipo de dados com os quais você está lidando.

Indo além da auditoria anual

Crie um mapa de toda a sua rede

A primeira etapa para aumentar o nível de suas medidas de segurança é começar com sua própria rede. Em vez de começar com os requisitos da auditoria, você deve fazer um mapeamento abrangente de tudo o que está conectado à sua rede.

Uma auditoria fornecerá uma lista de verificação detalhada dos itens a serem respondidos. Os firewalls estão atualizados? Quais são suas ameaças? Esta lista de verificação será útil. No entanto, não vai dar uma imagem completa de sua rede ou a capacidade de criar segmentação em sua rede.

Este mapa incluiria:

  1. Roteadores, switches, firewalls, WAF
  2. Impressoras e dispositivos conectados
  3. Internet das coisas (smart TVs, termostatos, câmeras, etc.)
  4. Dispositivos móveis
  5. Cloud / Saas - suas assinaturas de software e senhas

O desenvolvimento de um mapa completo de sua rede é o início da segurança de rede aprimorada. Ver a imagem completa de sua rede permite que você aplique a segmentação. Como você não pode se concentrar em todas as coisas ao mesmo tempo, a criação de segmentação permite que você mantenha as partes vulneráveis da rede separadas de seus dados mais importantes.

Você também pode corrigir e avaliar sistematicamente áreas dentro da rede, passando de um segmento para o outro. Isso permite que você supere a opressão da segurança cibernética e coma o elefante uma mordida de cada vez.

Saiba onde você pode ser fraco

After you’ve mapped the network, the next thing you’ll need to do is prioritize your effort. According to a 2017 Verizon report, 80% of hacks are successful due to a lack of patching.

Você precisará construir um plano para avaliar e corrigir as vulnerabilidades. Este é outro motivo pelo qual a segmentação em sua rede é importante. Se você tiver sistemas legados, pode não ser capaz de corrigi-los. No entanto, você pode mantê-los separados das informações confidenciais em sua rede.

Ao implantar um scanner de vulnerabilidade, você pode se manter atualizado sobre onde os patches são necessários e priorizar os segmentos de sua rede que são mais importantes.

Crie um programa de conscientização do usuário

A única ameaça mais premente do que corrigir vulnerabilidades é o seu pessoal.

O elemento humano continua a impulsionar as violações. Quer seja o uso de credenciais roubadas, phishing ou simplesmente um erro, as pessoas continuam a desempenhar um papel importante em incidentes e violações.

  • https://www.verizon.com/business/resources/reports/dbir/2022/summary-of-findings/

According to the same Verizon report, 80% of hacking-related breaches employ reused, stolen, or weak passwords. There’s been an almost 30% increase in stolen credentials since 2017, cementing it as one of the most tried-and-true methods to gain access to an organization for the last four years.

Os hackers sabem que as equipes estão investindo em segurança cibernética. A melhor chance de entrar na rede é obter as credenciais de alguém que tenha permissão para acessar a rede. Portanto, não importa o quão bem você protegeu sua rede, se as credenciais de um funcionário forem roubadas, você pode estar em risco.

A consciência do usuário não vai aparecer em uma auditoria anual, mas pode colocar seus dados em risco. Para garantir que toda a sua equipe siga as práticas recomendadas, há algumas dicas que você pode empregar.

Send out a monthly security newsletter: Speak openly about the threats that exist and take the opportunity to teach one component at a time

Educate users on how to protect their personal data: As you educate your team, connect these cybersecurity issues to the real threat that exists in their personal lives. As they are educated on best practices to protect themselves and their families, they will apply better habits at work.

Perform phishing campaigns: Human curiosity leads people to click on links, which lead to problems. Some companies have their own fake phishing campaigns to test and train their employees. The goal is to create a little bit of healthy paranoia so users will hesitate before clicking on any link.

Invest in a password vault: Weak and stolen passwords are a critical component of cybersecurity. Using a password vault allows your team to have strong passwords without the constant frustration of forgetting them.

Estabeleça um processo contínuo para proteger sua empresa

As auditorias anuais de segurança são úteis para a empresa avaliar sua segurança cibernética e garantir que um nível básico de proteção esteja em vigor. No entanto, os departamentos de TI não devem cair na armadilha de que passar na auditoria significa que tudo estará seguro.

No mundo da segurança cibernética em rápida evolução, as ameaças estão por toda parte. A melhor abordagem é construir um processo contínuo de avaliação e melhoria.

"Ótima empresa, ótimos produtos, ótima liderança, ótimas pessoas, ótima cultura!"
"Eu amo minha equipe e colegas. Somos uma família e nos respeitamos."
"O NetDocuments incentiva um bom equilíbrio trabalho / família."
"Sinto-me respeitado e valorizado pela liderança e pela minha equipa."
"Trabalhamos juntos e apoiamos / encorajamos uns aos outros a fazer o nosso melhor trabalho todos os dias."
"Do início ao fim, meus líderes estão dispostos a me guiar e me deixar tentar coisas novas. Isso mantém o trabalho novo, empolgante e divertido para que eu não fique exausto ou entediado."
"Tenho uma direção clara em minhas tarefas e prioridades de trabalho. Também me sinto encorajado a colocar minha família em primeiro lugar e manter um equilíbrio saudável entre vida profissional e pessoal."
"Eu trabalho com indivíduos altamente motivados que são inteligentes e me permitem aprender com eles!"
"A NetDocuments está comprometida em superar as expectativas dos clientes, construindo produtos líderes hospedados em ambientes sólidos."
"Tenho autonomia para experimentar coisas novas e pensar em processos e campanhas estrategicamente. Posso contar com o apoio de meu chefe, mas não sou microgerenciado, o que é apreciado."
Você também pode estar interessado em…
Um ícone de seta branca para a direita.
Um ícone de seta branca para a direita.
Um ícone de seta branca para a direita.