Ser dono de uma pequena empresa representa muitos desafios, o que inclui principalmente a administração segura da tecnologia. Nesse sentido, cada risco pode ter um efeito significativo sobre a capacidade de permanência do negócio. Normalmente as grandes organizações são as únicas que contam com recursos de segurança para a proteção do negócio. No entanto, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST, sigla em inglês) pretende mudar isso com o lançamento do "CiberSecurity Corner for Small Businesses".
Como proteger uma pequena empresa?
De um modo geral, as técnicas necessárias para proteger uma pequena empresa não são tão diferentes daquelas necessárias para proteger uma grande organização. As maiores diferenças são: complexidade, experiência e capacidade de recuperação.
Uma pequena rede é muito menos complexa, o que significa que pode ser mais fácil de proteger. Mas se você não tem experiência para saber se protegeu adequadamente seus dados e dispositivos, essa simplicidade é irrelevante. Apesar do custo de um incidente de segurança poder ser menor devido a um pequeno número de registros ou máquinas afetadas, pode representar uma grande porcentagem de uma pequena quantia de lucros e, consequentemente, pode ser bem difícil para a empresa se recuperar.
Dicas para avaliar e proteger a segurança de uma empresa contra os riscos existentes no campo da cibersegurança podem ser fundamentais para aqueles que não são especialistas na área. Mas agora, a novidade é que existe um recurso específico voltado para as pequenas empresas, que utiliza uma linguagem mais acessível. Esse recurso ajuda as pequenas empresas a entender seus riscos específicos, bem como as medidas utilizadas para mitigá-los.
Recursos do NIST para pequenas empresas
Para ilustrar a variedade de recursos que o NIST oferece, vamos fazer um tour bem rápido pelo "Cybersecurity Corner for Small Businesses". A primeira seção são informações básicas sobre cibsergurança, que é um excelente lugar para começar.
- Noções básicas de cibersegurança
Esta seção é composta de três subseções: "Riscos de cibersegurança", "Para administradores" e "Glossário". A página de Riscos de cibersegurança tem dois grupos de artigos. O primeiro grupo é chamado "Riscos e ameaças" e abrange uma ampla variedade de preocupações comuns. É bem equilibrado, pois é bastante útil entender as diferentes ameaças, bem como aprender a identificá-las. O segundo grupo é chamado de "Gerenciamento de Risco" e analisa especificamente os mitos do gerenciamento de riscos e fornece estatísticas que destacam a importância de gerenciar o risco tecnológico.
A seção "Para administradores" aborda a segurança de uma perspectiva de gerenciamento. Isso inclui discussões em nível de Diretoria sobre segurança e riscos, tópicos de discussão para CEOs que consideram a postura de segurança da empresa, como melhorar a cultura de segurança em todos os níveis da organização e como contratar novos funcionários para a área de segurança.
O “Glossário” é exatamente o que qualquer um esperaria. Abrange várias dezenas de termos que descrevem os conceitos de segurança usados em todo o site. A seção "Conceitos básicos sobre cibersegurança" é um bom ponto de partida para aqueles que são muito novos no mundo da segurança e pode ser uma boa revisão para aqueles que estão mais familiarizados. O documento sobre mitos provavelmente seja útil para aqueles que têm certos conceitos estabelecidos sobre segurança.
- Guias de planejamento
Esta seção tem o tipo de conteúdo pelo qual o NIST se tornou famoso, bem como artigos extras que cobrem esses recursos em uma linguagem mais clara e menos técnica.
O "Roteiro dos recursos de cibersegurança" é um bom lugar para começar a navegar nesta seção. É um infográfico que o ajudará a determinar como começar ou para onde você deve ir se estiver progredindo em sua jornada rumo à proteção de seu ambiente. Cada nível indicará os recursos específicos que serão mais úteis.
- Respondendo a um incidente cibernético
Esta é a seção que você deve conferir caso tenha sido vítima de um incidente de segurança e agora esteja sem saber o que fazer. O guia de violação de dados inclui um modelo de amostra para uma notificação de resposta de violação. Será útil para que você possa garantir as bases necessárias da maneira mais eficiente e profissional possível, mesmo em uma situação muito estressante.
- Treinamento
Esta seção foi criada com a Manufacturing Extension Partnershio (MEP) do NIST e é destinada principalmente a pequenos fabricantes e, além disso, disponibiliza mais detalhes sobre o Manual do NIST 800-171 para ajudar aqueles que fornecem produtos para o Departamento de Defesa.
- Diretório de colaboradores
Esta seção é uma lista de recursos e outras organizações governamentais que ajudam a melhorar a cibersegurança. Eu particularmente gostaria de destacar o "Workforce Management Guidebook", desenvolvido pela Iniciativa Nacional para a Educação em Cibersegurança (NICE, sigla em inglês), que pode ser particularmente útil caso esteja com a intenção de contratar profissionais para ajudá-lo a melhorar sua capacidade de segurança.
- Perguntas mais frequentes
A seção de perguntas frequentes responde as perguntas mais frequentes sobre o site NIST Small Business Cybersecurity, como, por exemplo, por que as pequenas e médias empresas precisam se preocupar com a segurança.
- Blog
Depois de conhecer os conceitos básicos, provavelmente você queira visitar regularmente o site para ver quais são os assuntos mais interessantes. A seção Blog é atualizada periodicamente com as coisas que o NIST está fazendo, bem como os eventos mais atuais.
Espero que os esforços do NIST sejam apenas o começo de uma tendência importante para educar os donos de pequenas empresas sobre questões de segurança. Há uma enorme necessidade sobre isso, especialmente em fazer com que o cumprimento das regras seja algo compreensível para os meros mortais.