5 problemas críticos de segurança que você deve ter corrigido agora


Há problemas críticos de segurança nos negócios que precisam ser resolvidos mais cedo ou mais tarde. Na semana passada, descobri que tínhamos ido dormir e esquecido de trancar a porta dos fundos raramente usada na nossa casa. Na verdade, não foi apenas desbloqueado - estava ligeiramente entreaberto.

E assim foi durante pelo menos três dias.

Felizmente, não fomos assaltados ou mortos em nosso sono, então a história teve um final feliz. Na verdade, dado que não havia consequências, imaginei que apenas deixaria a porta aberta e destrancada indefinidamente. Quero dizer, porque não? Eu sou um cara ocupado - eu tenho outras coisas importantes para fazer.

Não me entenda mal, não sou idiota. Eu irei fechá-lo eventualmente. Mas continuamos com isso aberto até agora, então não há pressa.

(Até agora, você vê isso é uma metáfora, certo?)

Obtendo um Tuit Redondo

Um amigo meu costumava ter uma placa na parede que estava rotulada como “ A Round Tuit. Sua esposa costumava reclamar que, quando ela pedia a ele para fazer um trabalho em casa, ele dizia que ele faria isso quando ele " chegasse lá". Então, ela imaginou que se ela lhe comprasse uma, então as coisas poderiam começar a ser feitas.

Está assegurando seu negócio on-line (ou revisando a segurança que você já tem em vigor) um desses trabalhos que você acha que vai resolver quando chegar a esse ponto ?

Talvez você tenha lido sobre certificados SSL e tenha decidido que vai conseguir um deles eventualmente. Ou você sabe que sua Política de Privacidade não foi atualizada nem revisada em cinco anos, mas está na sua lista de tarefas pendentes - em algum lugar.

Essa não é uma ótima posição para se estar, porque, potencialmente, sua porta dos fundos não está apenas destrancada, mas também está entreaberta. Só porque ninguém - até agora - entrou no seu negócio on-line e atiçou tudo, não significa que você pode continuar colocando essas coisas fora.

Não são apenas os seus lucros e a privacidade dos seus clientes que correm riscos. A negligência que leva a uma violação grave pode resultar em multas ou até mesmo tempo de prisão .

Então, pense neste artigo como sua Tuit Round pessoal quando se trata de questões de segurança em seus negócios. Aqui estão cinco áreas do seu negócio on-line que você deve rever e bloquear o mais rápido possível.

Por favor, saibam que nada disso é um conselho legal - eu sou escritor e não advogado. A maior parte das informações deste artigo veio de pessoas em nosso negócio que entendem isso muito melhor do que eu, então é um conselho sólido. Mas ainda assim ... cabe a você fazer sua devida diligência e pesquisar o que sua empresa precisa para estar em conformidade com a lei.

  1. Compre um certificado SSL

Um certificado SSL (Secure Sockets Layer) é uma prova de que sua empresa tem uma camada rígida de segurança que protege a conexão entre seu site e os computadores de seus clientes.

Se você precisa saber mais sobre os detalhes da tecnologia, há alguns bons vídeos explicativos no YouTube, mas tudo o que você realmente precisa saber é que é barato comprar e é ESSENCIAL se você coletar qualquer tipo de dados de seus visitantes.

Quer se trate de nomes, endereço de e-mail, endereços físicos, números de cartão de crédito, dados bancários… não importa. Se esse bit de dados identificar seus visitantes de alguma forma, ele deve ser criptografado e o SSL é o meio mais rápido e mais rápido de realizar isso.

A Genesis Digital (Genndi) possui um certificado SSL no nível da empresa que verifica e protege todos os nossos sites. Para obter a certificação a esse nível não é barato, mas, se você é uma pequena empresa com um único site, você pode comprar um certificado SSL por apenas alguns dólares por mês.

E aqui está a questão de investir em segurança para o seu negócio ...

Quando seus clientes conseguem ver que você leva a segurança on-line a sério - tanto a sua quanto a deles -, isso alimenta a percepção positiva dos negócios e gera confiança.

O dinheiro gasto na segurança do seu negócio não se paga apenas por si. A longo prazo, aumenta seus lucros.

AÇÃO: Faça o "Certificado SSL" do Google e adquira um fornecedor respeitável (que pode ser sua empresa atual de hospedagem de sites).

  1. Crie (ou reveja) sua política de privacidade

Existem requisitos legais para a Política de Privacidade da sua empresa e eu nem vou fingir que isso não é complicado. Mas a boa notícia é que esse material é escalável.

Se você é uma grande empresa, você deve procurar aconselhamento jurídico. Se você é uma pequena empresa ou um solopreneur, comprar um modelo de Política de Privacidade barato e personalizá-lo para o seu negócio pode ser suficiente.

Antes de chegar ao estágio de pensar sobre conformidade legal, é bom criar uma Política de Privacidade ACTUAL para o seu negócio. Por exemplo, a política de Genndi é esta:

Descubra o que protege o maior número de pessoas e implemente-o.

É um conceito simples, mas engloba nossa determinação em manter a segurança e nossa decisão de escolher as melhores opções de segurança, independentemente do custo ou da complexidade.

Sim, esta é uma decisão ética, mas também é uma decisão de negócios. Acreditamos firmemente que o melhor interesse de nossos clientes também é de nosso interesse. A segurança apertada custa mais, mas a confiança que ela nos proporciona aumenta nossas vendas e nossa lucratividade.

Isso significa que a segurança para Genndi é…

  • Fazendo nossa pesquisa.

  • Observando as alterações nas políticas e adaptando-as conforme necessário.

  • Considerando os requisitos legais em TODAS as áreas geográficas onde os clientes residem.

  • Escrevendo um documento formal de Política de Privacidade que reflete o acima.

Isso também nos levou a decisões como usar o Cloudflare , tornar-se compatível com o escudo de privacidade da UE (União Europeia) e usar processadores de pagamento de terceiros respeitáveis ​​para que não armazenássemos informações de cartão de crédito do cliente.

Se você é um pequeno negócio, comece pesquisando o “Gerador de Política de Privacidade”. Um modelo básico é barato e fácil de personalizar. Se você é um grande negócio (ou uma vez que você começa a crescer nessa direção), busque aconselhamento profissional e esteja disposto a investir em sistemas que protejam seus clientes.

AÇÃO: Crie um documento de Política de Privacidade e adicione-o ao seu site (ou revise seu documento existente).

  1. Prepare-se para uma brecha

Aqui está a má notícia ...

Quando se trata de uma violação de seus servidores, não é tanto "se", mas "quando".

A boa notícia é que as violações vêm em uma variedade de formas e não necessariamente têm que envolver invasores invadindo seu servidor e roubando coisas. Um ataque de negação de serviço distribuída (DDoS), por exemplo, geralmente é realizado com o objetivo de reduzir seu site em vez de furtar seus dados digitais. Ainda é uma dor de cabeça, mas não um problema tão grande quanto perder dados confidenciais de clientes.

Felizmente, Genndi nunca experimentou nenhum tipo de violação de dados de clientes, mas estamos cientes de que, à medida que nossa empresa cresce e se torna mais visível, é lógico supor que nos tornaremos cada vez mais um alvo.

O truque é preparar com antecedência para que, se o pior acontecer, você tenha um plano claro do que fazer e como responder. Se você esperar até que uma brecha aconteça, você estará estressado demais para pensar claramente, então agora é a hora de determinar seu plano de ação.

Considere fazer alguns ou todos os itens a seguir:

  • Certifique-se de que seus servidores sejam submetidos a backup com frequência e teste um backup recente para garantir que seu sistema esteja funcionando corretamente.

  • Fale com seus servidores sobre a segurança que eles empregam e considere mudar para um servidor dedicado.

  • Certifique-se de sempre atualizar seu software assim que uma atualização for lançada, caso contenha um patch para uma falha de segurança.

  • Crie um plano de ação para avaliar seus ativos caso ocorra uma violação, para que você possa avaliar adequadamente o que foi e o que não foi comprometido.

  • Decida, com antecedência, qual será a sua resposta ao PR (relações públicas).

O último item desta lista é aquele que tende a ser ignorado em favor de uma atitude “vamos esperar para ver”. Isso é um erro porque cria a tentação de tentar encobrir a brecha e esperar que ninguém perceba.

Se você anunciar publicamente que você sofreu uma violação, você vai ter um hit - que não pode ser ajudado - mas é muito, muito pior se você for violado E você é acusado de tentar encobrir .

As violações de dados são esquecidas de forma surpreendentemente rápida (lembram o eBay em 2014 ou o PlayStation da Sony em 2011 ou o MailChimp em 2018 ?), Mas tendem a permanecer no noticiário quando surgem detalhes de respostas ruins ou tentativa de encobrimento.

Pode ser uma pepita dura para engolir, mas a honestidade é sempre a melhor política. Tenha certeza de que, se Genndi experimentar um "evento", você saberá de nós, não da CNN.

AÇÃO: Revise seu sistema de backup e segurança do servidor e planeje proativamente sua resposta a uma violação.

  1. Proteja-se do Ransomware

O ransomware é um tipo de malware que criptografa os dados do seu disco rígido e, em seguida, tenta extorquir dinheiro de você em troca de liberar seu conteúdo. Esse cenário profundamente desagradável é terrível o suficiente quando chega a uma máquina individual, mas, quando chega a uma rede de computadores, o impacto pode prejudicar seus negócios .

Se você tiver a infelicidade de ter seu computador afetado, siga os seguintes passos:

  • Se você estiver em uma rede, desconecte imediatamente (ou puxe o plugue ou desligue seu Wi-Fi).

  • Tire fotos da sua tela.

  • Verifique se é uma infecção real e não apenas um pop-up fingindo ser um ransomware.

  • Use um dispositivo não infectado para procurar por soluções alternativas ou correções (até mesmo algumas das variedades baseadas em criptografia mais desagradáveis ​​têm patches para remover com segurança o malware e restaurar seus dados).

  • Seu seguro pode cobri-lo por quaisquer danos, então registre um relatório da polícia (é onde suas fotos são úteis).

Pagar os bandidos que o infectaram deve ser um último recurso absoluto e, mesmo assim, é melhor você cortar suas perdas. Dar dinheiro a vigaristas raramente funciona bem e, na melhor das hipóteses, ajuda a perpetuar o problema.

Evidentemente, a prevenção é sempre melhor que a cura. Você pode reduzir o risco de contrair ransomware e mitigar os danos causados ​​se tiver uma infecção com as seguintes precauções.

Não abra anexos de e-mail nem clique em links em e-mails, a menos que você tenha 100% de certeza de que é de uma fonte confiável. Mesmo se você reconhecer o nome e o endereço no campo “de”, tenha cuidado se o conteúdo parecer estranho. Não é impossível falsificar cabeçalhos de e-mail para que pareça que o e-mail é de alguém que você conhece.

Fique longe de sites de filmes, programas de TV e download de software. Se você realmente quer assistir a nova temporada de Stranger Things , desembolsar alguns dólares para uma assinatura da Netflix em seu lugar.

Instale o software antivírus. Sim, eles podem retardar o seu sistema e atrapalhar, mas é melhor que a alternativa.

Tenha um sistema de backup para todo o seu conteúdo local. Se você contrata ransomware que não pode ser eliminado, você sempre terá a opção de formatar seu computador e restaurar tudo de um back-up. Se você detesta a ideia de comprar unidades de backup, experimente um dos serviços on-line que é executado em segundo plano e faz o backup contínuo da nuvem.

AÇÃO: Instale um sistema de backup e tenha cuidado com os sites que você visita e os e-mails que você abre.

  1. Esteja ciente da engenharia social

À medida que a segurança digital melhora, hackers criminosos estão cada vez mais procurando manipular falhas em sistemas humanos. Por que se dar ao trabalho de tentar hackear um sistema seguro quando você pode ligar para um call center e enganá-lo para que ele forneça informações pessoais.

Isso é mais comum do que você imagina. Quando você liga para o consultório do seu médico para marcar uma consulta, a recepcionista pergunta o seu nome e, uma vez que você disser, ele geralmente responde: “ Seu endereço é Juniper Lane? " Este é apenas um exemplo de como é fácil para os stalkers obterem seu endereço residencial.

Até mesmo operadores de call center bem perfurados podem escorregar e, inadvertidamente, fornecer informações confidenciais quando os botões certos são pressionados, como um bebê chorando ao fundo .

Não te assustar, mas a maior fraqueza de segurança em seu negócio pode ser interna - não de funcionários antiéticos, mas apenas de pessoas legais sendo ingênuas .

Seu primeiro ponto de ação deve ser limitar o fluxo de informações internas. Quanto menor o número de pessoas que têm acesso a dinheiro da empresa ou informações do cliente, menos vulnerabilidades estão disponíveis aos criminosos.

Na Genndi, muito poucas pessoas têm acesso a sistemas críticos e os gatekeepers são todos funcionários de alto nível. Para maior segurança, também garantimos que nenhum sistema individual seja inteiramente gerenciado por uma pessoa. Geralmente, pretendemos ter duas pessoas com acesso a dados confidenciais que possam revisar as ações umas das outras.

O sistema de segurança apropriado para o seu negócio dependerá da estrutura do seu negócio. Se você é um solopreneur, você pode ser o único gatekeeper em seu negócio. Mas mesmo uma pequena empresa com apenas um punhado de funcionários ainda deve rever periodicamente quem tem acesso a quê.

Depois disso, trata-se principalmente de treinar seus funcionários para seguir protocolos de segurança, usar senhas complexas que são alteradas regularmente e ter a coragem de se recusar a fornecer informações se o destinatário não tiver concluído as verificações de segurança (não importa o quanto estejam irritadas ou chateadas) .

AÇÃO: Analise quem na sua empresa tem acesso a informações confidenciais e atualize periodicamente seus funcionários em protocolos de segurança.

Mais simples é mais seguro

Há uma boa chance de você estar pensando: "Esse é um ótimo conselho, devo marcar este artigo e revisá-lo novamente em breve".

Por favor, não faça isso.

Em vez disso, abra seu calendário e limpe pelo menos um (preferencialmente dois) dias para tomar medidas em relação a tudo neste artigo. Se você está preocupado com o custo, o tempo necessário para colocar a segurança em vigor ou a complexidade de seguir algumas dessas recomendações, aqui vai uma dica final que simplificará seus requisitos…

Use agências de terceiros confiáveis ​​para lidar com dados confidenciais.

Aqui está um exemplo de como isso funciona ...

Se você vende um produto em seu site e aceita pagamentos com cartão de crédito, geralmente há duas abordagens:

  • O cliente insere os detalhes do cartão de crédito em um formulário no seu site. Você envia essas informações para o processador de pagamento.

Ou…

  • Você envia seu cliente ao seu processador de pagamento (como o Paypal) e a empresa leva as informações do cartão de crédito diretamente.

Do ponto de vista do cliente, esses dois métodos são praticamente os mesmos. Mas da sua perspectiva, há uma enorme diferença. A primeira abordagem significa que você deve assumir total responsabilidade por criptografar e proteger as informações do cartão de crédito de seus clientes, enquanto, com a segunda, você permite que o processador de pagamentos assuma a propriedade da segurança.

Remover sua empresa da parte de coleta de cartão de crédito não está abdicando de sua responsabilidade. Em vez disso, é um reconhecimento de que seu processador de pagamentos ESPECIALIZA-se a coletar essas informações com segurança.

Ao sair do processo, você está oferecendo aos bandidos menos oportunidades de interceptar a transação.

Este conceito é igualmente verdadeiro para coisas como autoresponders e hospedagem na web. Lidar com isso internamente e você tem um monte de questões de segurança e privacidade para enfrentar, mas, se você atribuir o trabalho a uma agência respeitável, especializada em cuidar desses dados, você fornecer uma experiência mais segura para seus clientes e salve-se um muito estresse desnecessário.

Esta é realmente uma das filosofias por trás do nosso software Kartra . Quando nossos clientes usam o Kartra para gerenciar com segurança vários elementos de seus negócios (autoresponders, hospedagem de sites, helpdesk, portal de associação, carrinho de compras, gerenciamento de afiliados, etc.), eles também se aliviam do estresse de ter que bloquear a segurança de todos. esses diferentes elementos.

E como todos esses elementos dos negócios de nossos clientes estão protegidos em um único sistema, isso também limita o número de entradas para hackers atacarem.

Provavelmente vai sem dizer, mas vou dizer assim mesmo assim…

Esta não é uma lista exaustiva de problemas de segurança que sua empresa precisa considerar. Mas estes representam os melhores lugares para começar.

A grande chave é começar. Esqueça logo, mais tarde, na próxima semana e 'round-tuits' - reserve algum tempo na sua agenda agora.

Não se trata apenas de evitar a dor ou até mesmo criar confiança com seus clientes - é sobre sua linha de fundo. Cuide da segurança de seus clientes e eles se sentirão confiantes para comprar seus produtos e serviços com confiança.


5 visualizações

© 2020 ALCANTARA MARKETING ONLINE

TODOS OS DIREITOS RESERVADOS