Com a tecnologia cada vez mais interligada com todos os aspectos dos negócios, o CNET @ Work pode ajudá-lo - prosumers para pequenas empresas com menos de cinco funcionários - para começar.

Se uma empresa de reparo de computadores e recuperação de dados pode ser hackeada, você também pode.

A LaptopMD.com, com sede em Nova York, foi vitimada por um ataque cibernético quando um invasor explorou uma vulnerabilidade em uma versão desatualizada do WordPress que ninguém havia mantido.

"Todo o nosso servidor ficou cheio de malware muito rapidamente e as ferramentas de remoção não conseguiram impedir o problema", lembrou Matt Ham, agora proprietário de uma empresa-irmã, a Computer Repair Doctor. "Nosso provedor de hospedagem nos deu uma pequena chance de corrigi-lo, mas ele não foi bem-sucedido e eles foram colocados em quarentena e acabaram excluindo toda a nossa conta.

"Foi um exemplo clássico de como não rodar atualizações pode causar grandes problemas", disse Ham. "Lembrei-me da importância de garantir que todos os produtos, sites, aplicativos, etc. sejam atualizados, mesmo se você não os estiver usando."

O ataque também foi um lembrete de que, embora as violações da segurança cibernética em grandes organizações como Target, Sony e Heartland Payment Systems possam atrair a maior parte da atenção da mídia, hackers mal-intencionados também têm pequenos negócios em suas miras.

Considere o seguinte: em 2011, os hackers de pequenas empresas representaram menos de 20% de todos os ataques; Atualmente, o número está próximo de 50%.

Enquanto as grandes empresas são manchetes, a realidade é que as violações de dados documentadas em uma em três ocorrem em empresas menores. E o resultado é muitas vezes sombrio. Cerca de 60% das pequenas empresas fecham suas portas dentro de seis meses após um ataque cibernético, de acordo com Brian Kearney, diretor de subscrição da Travelers Small Commercial Accounts.

Só é preciso que um funcionário abra uma mensagem de e-mail mal-intencionada para um cibercriminoso para obter acesso à rede de uma empresa para obter acesso a informações confidenciais de clientes ou financeiras.

No entanto, apenas 53% (PDF) das empresas com menos de 50 funcionários atribuem alta prioridade à segurança cibernética. Em um mundo cada vez mais digital, isso é um convite para problemas.

As pequenas empresas, obviamente, não conseguem igualar o que suas grandes empresas podem gastar em segurança cibernética. Ainda assim, existem maneiras de compensar quaisquer limitações orçamentárias e implementar uma defesa abrangente antes que os cibercriminosos o ataquem.

Aqui estão 11 dicas que você pode aplicar à tarefa.

Procure ajuda de segurança

Se você não puder configurar sua segurança e seus processos adequadamente, contrate um profissional. Não é uma pena se você não pode fazer isso em casa. É muito mais fácil se proteger adequadamente desde o começo do que lidar com um hack ou perda de dados depois do fato. Há vários fornecedores de serviços de segurança gerenciados e revendedores de valor agregado que podem ajudar. A associação comercial CompTIA, que representa a maior parte do universo revendedor de tecnologia, é um bom recurso para iniciar sua pesquisa.

Siga para a nuvem

Por conveniência e segurança, mova mais dados para a nuvem. Muitas pequenas lojas não têm recursos para realizar esse tipo de projeto por conta própria, mas existem vários provedores de serviços gerenciados (MSPs, Managed Service Providers) que podem lidar com a transição e fornecer serviços contínuos. A Aliança MSP é um bom recurso para consultar. Confira nossa lista de provedores de hospedagem para opções adicionais em serviços em nuvem.

Faça backup dos seus dados

O ransomware é a nova arma favorita dos cibercriminosos. Ele permite que os agentes mal-intencionados mantenham os dados da empresa como reféns até que a vítima pague. Mais uma razão pela qual você deveria fazer backup de seus sistemas para que haja uma cópia pura de seus dados em algum lugar seguro. E faça o backup dos dados em vários locais, seja envolvendo um serviço na nuvem ou discos rígidos externos. Se você fizer apenas um único backup e houver uma falha, você estará sem sorte.

Atualize tudo

Faça parte da rotina. Isso inclui atualizar seu sistema operacional - e não ignore os patches de segurança mensais da Microsoft, se você for uma loja do Windows - seus aplicativos, Java e qualquer plug-in relacionado ao navegador. Se sua empresa opera um site, atualize seu sistema de gerenciamento de conteúdo e não se esqueça de instalar atualizações de segurança em seu servidor também. A maioria das pessoas com um site hospedado atualizará o WordPress, mas depois se esqueça de atualizar o servidor.

Tornar a autenticação multifator uma obrigação

Não há desculpa para não fazer isso - ontem. A autenticação de dois fatores deve ser aplicada não apenas à sua VPN, mas também às contas do LinkedIn e do Google da sua organização, bem como a qualquer outra conta online.

Procurar por malware

Analisar regularmente em busca de malware: semanalmente, se possível, mensalmente, no mínimo. Você precisa garantir que seus sistemas permaneçam limpos e livres de infecções por vírus.

Gerenciamento de senhas

Use senhas complexas e nunca as reutilize em sites diferentes. Lembrar todos eles pode ser complicado, então você pode achar útil tentar um utilitário de gerenciamento de senhas, como o LastPass. Ao mesmo tempo, certifique-se de que existe um processo para alterar automaticamente todas as senhas confidenciais quando os funcionários saírem da empresa.

Fique atento à cadeia de suprimentos digital

As pequenas empresas estão cada vez mais conectadas a cadeias de fornecimento corporativas de software e serviços. Mas com dados em movimento e fluindo constantemente em muitas direções, a ideia tradicional de um perímetro de segurança não significa muito mais. Isso coloca o ônus sobre você para garantir que os fornecedores com os quais você está conectado digitalmente tenham adotado medidas de segurança adequadas para proteger a integridade das informações que chegam e saem de seus canos.

Pregue o evangelho da segurança

Reserve um tempo para instruir sua equipe sobre o uso aceitável de recursos corporativos. Exija a adesão aos protocolos de segurança e conscientize os funcionários sobre os riscos envolvidos quando eles abrem e-mails de estranhos e clicam nos anexos. O treinamento deve se concentrar em promover a compreensão dos funcionários sobre como minimizar riscos, como violações de dados. Reforce a mensagem regularmente - até mesmo ao ponto de incluir a conscientização sobre segurança cibernética como parte de sua revisão anual, se isso for necessário.

Resposta ao incidente

Uma pesquisa encomendada pela seguradora Nationwide revelou que 79% dos proprietários de pequenas empresas não têm um plano de resposta a ataques cibernéticos. Isso é particularmente imprudente, considerando que 63% deles relataram ter sido vítimas de pelo menos um tipo de ataque cibernético. Vale a pena investir tempo para mapear um plano de resposta a incidentes antes de um ataque cibernético, explicitando papéis e responsabilidades específicos para mitigar os efeitos de uma violação.

Olhe para o seguro de segurança cibernética

Converse com um corretor para discutir as opções de seguro para proteger sua empresa em caso de violação e perda de dados do cliente. No caso de haver um processo, você precisa estar protegido.

Você também pode procurar outras dicas e ferramentas de segurança cibernética na página da SBA sobre recursos de segurança cibernética para pequenas e médias empresas. Além disso, a FCC (PDF) e o Departamento de Segurança Interna (PDF) organizam páginas dedicadas a pequenas empresas.